This is the Trace Id: c1806707e90a93681bed823e2f460aa3
Gå til hovedinnhold
Microsoft Sikkerhet

Hva er FIDO2?

Lær det grunnleggende om FIDO2-godkjenning uten passord, inkludert hvordan det fungerer og bidrar til å beskytte enkeltpersoner og organisasjoner mot nettbaserte angrep.

Reduser risikoen med passordløs godkjenning

FIDO2 definert

FIDO2 (Fast IDentity Online 2) er en åpen standard for brukergodkjenning som har som mål å styrke måten personer logger på onlinetjenester for å øke den generelle klareringen. FIDO2 styrker sikkerheten og beskytter enkeltpersoner og organisasjoner mot nettkriminalitet ved å bruke phishing-motstandsdyktig kryptografisk legitimasjon til å validere brukeridentiteter.

FIDO2 er den nyeste åpne godkjenningsstandarden utviklet av FIDO Alliance, et bransjekonsortium av Microsoft og andre teknologi-, kommersielle og offentlige organisasjoner. I 2014 lanserte vi FIDO 1.0-godkjenningsstandardene – som innførte phishing-motstandsdyktig godkjenning med flere faktorer (MFA) – og den nyeste fido2-godkjenningsstandarden – for passordløs godkjenning (også kalt FIDO 2.0 eller FIDO 2) – i 2018.

Hva er tilgangsnøkler, og hvordan er de relatert til FIDO2?

Uansett hvor lange eller komplekse, eller hvor ofte de endres, kan passord kompromitteres ved å deles frivillig eller uvillig. Selv med en løsning for sterkt passordbeskyttelse er alle organisasjoner utsatt for phishing, hacking og andre cyberangrep der passord blir stjålet. Når de er i feil hender kan passord brukes til å få uautorisert tilgang til kontoer, enheter og filer på nettet.

Tilgangsnøkler er FIDO2-påloggingslegitimasjon som opprettes ved hjelp av fellesnøkkelkryptografi. Som en effektiv erstatning for passord øker decybersikkerheten samtidig som de gjør pålogging til støttede nettprogrammer og nettsteder mer brukervennlig enn tradisjonelle metoder.

FIDO2-godkjenning uten passord er avhengig av kryptografiske algoritmer for å generere et par private og offentlige tilgangsnøkler – med lange, tilfeldige tall som er matematisk relaterte. Nøkkelparet brukes til å utføre brukergodkjenning direkte på en sluttbrukers enhet, enten det er en stasjonær datamaskin, bærbar datamaskin, mobiltelefon eller sikkerhetsnøkkel. En tilgangsnøkkel kan bindes til en enkelt brukerenhet eller synkroniseres automatisk på tvers av flere brukeres enheter via en skytjeneste.

Hvordan fungerer FIDO2-godkjenning?

FIDO2-godkjenning uten passord fungerer ved å vanligvis bruke tilgangsnøkler som første og primære faktor for kontogodkjenning. Kort sagt, når en bruker registrerer seg hos en FIDO2-støttet nettjeneste, genererer klientenheten som er registrert for å utføre godkjenningen, et nøkkelpar som bare fungerer for nettappen eller nettstedet.

Fellesnøkkelen krypteres og deles med tjenesten, men privatnøkkelen forblir sikker på brukerens enhet. Hver gang brukeren prøver å logge på tjenesten, presenterer tjenesten deretter en unik utfordring for klienten. Klienten aktiverer tilgangsnøkkelenheten for å signere forespørselen med privatnøkkelen og returnere den. Dette gjør prosessen kryptografisk beskyttet mot phishing.

Typer FIDO2-godkjennere

Før enheten kan generere et unikt FIDO2-sett med tilgangsnøkler, må den bekrefte at brukeren som ber om tilgang, ikke er en uautorisert bruker eller type skadelig programvare. Den gjør dette med en godkjenner, som er en enhet som kan godta en PIN-kode, biometrisk eller annen brukerbevegelse.

Det finnes to typer FIDO-godkjennere:

Roaming-godkjennere (eller på tvers av plattformer)

Disse godkjennerne er bærbare maskinvareenheter som er atskilt fra brukernes klientenheter. Roaming-godkjennere inkluderer sikkerhetsnøkler, smarttelefoner, nettbrett, bærbare enheter og andre enheter som kobles til klientenheter via USB-protokollen eller NFC (Near-Field Communication) og trådløs Bluetooth-teknologi. Brukere bekrefter identiteten sin på en rekke måter, for eksempel ved å koble til en FIDO-nøkkel og trykke på en knapp eller ved å oppgi et biometri, for eksempel et fingeravtrykk, på smarttelefonen. Roaming-godkjennere er også kjent som godkjennere på tvers av plattformer fordi de tillater brukere å godkjenne på flere datamaskiner, når som helst, hvor som helst.

Plattform (eller bundet) godkjennere

Disse godkjennerne er innebygd i brukernes klientenheter, enten det er en stasjonær, bærbar datamaskin, et nettbrett eller en smarttelefon. Plattformgodkjenninger, som består av biometriske funksjoner og maskinvarebrikker for å beskytte tilgangsnøkler, krever at brukeren logger seg på FIDO-støttede tjenester med klientenheten og deretter godkjennes via samme enhet, vanligvis med en biometrisk eller PIN-kode.

Eksempler på plattformgodkjenning som bruker biometriske data, er Microsoft Windows Hello, Apple Touch ID og Face ID og Android-fingeravtrykk.

Slik registrerer og logger du på FIDO2-støttede tjenester:

Følg disse grunnleggende trinnene for å dra nytte av den økte sikkerheten som FIDO2-godkjenning tilbyr:

Slik registrerer du deg for en FIDO2-støttet tjeneste:

  • Trinn 1: Når du registrerer deg for en tjeneste, blir du bedt om å velge en støttet FIDO-godkjenningsmetode.

  • Trinn 2: Aktiver FIDO-godkjenneren med en enkel bevegelse som godkjenneren støtter, enten du skriver inn en PIN-kode, berører en fingeravtrykksleser eller setter inn en FIDO2-sikkerhetsnøkkel.

  • Trinn 3: Når godkjenneren er aktivert, genererer enheten et privat og felles nøkkelpar som er unikt for enheten, kontoen og tjenesten.

  • Trinn 4: Den lokale enheten lagrer privatnøkkelen og eventuell konfidensiell informasjon som gjelder godkjenningsmetoden, for eksempel biometridataene. Fellesnøkkelen krypteres og, sammen med en tilfeldig generert legitimasjons-ID, registreres med tjenesten og lagres på godkjennerserveren.

Slik logger du på en FIDO2-støttet tjeneste:

  • Trinn 1: Tjenesten utsteder en kryptografisk utfordring for å bekrefte tilstedeværelsen.

  • Trinn 2: Når du blir bedt om det, utfører du den samme godkjenningsbevegelsen som ble brukt under kontoregistrering. Når du har bekreftet din tilstedeværelse med bevegelsen, vil enheten deretter bruke privatnøkkelen som er lagret lokalt på enheten, til å signere utfordringen.

  • Trinn 3: Enheten sender den signerte utfordringen tilbake til tjenesten, som bekrefter den med den sikkert registrerte fellesnøkkelen.

  • Trinn 4: Når du er ferdig, er du logget på.

Hva er fordelene med FIDO2-godkjenning?

Fordelene med FIDO2-godkjenning uten passord inkluderer bedre sikkerhet og personvern, brukervennlige opplevelser og forbedret skalerbarhet. FIDO2 reduserer også arbeidsbelastninger og kostnader knyttet til tilgangsadministrasjon.

Øker sikkerheten

FIDO2-godkjenning uten passord øker påloggingssikkerheten betydelig ved å stole på unike tilgangsnøkler. Med FIDO2 kan ikke hackere enkelt få tilgang til denne sensitive informasjonen gjennom phishing, løsepengevirusog andre vanlige metoder for netttyveri. Biometriske nøkler og FIDO2-nøkler bidrar også til å eliminere sårbarheter i tradisjonelle godkjenningsmetoder med flere faktorer, for eksempel sending av engangspassord (OTP-er) via tekstmeldinger.

Forbedrer brukerens personvern

FIDO-godkjenning styrker brukernes personvern ved å lagre private kryptografiske nøkler og biometriske data på brukerenheter på en sikker måte. I tillegg, fordi denne godkjenningsmetoden genererer unike nøkkelpar, bidrar det til å hindre tjenesteleverandører i å spore brukere på tvers av områder. Som svar på forbrukernes bekymringer rundt potensielt misbruk av biometriske data, innfører myndighetene også personvernlover som hindrer organisasjoner i å selge eller dele biometrisk informasjon.

Fremmer brukervennlighet

Med FIDO-godkjenning kan enkeltpersoner raskt og enkelt godkjenne identitetene sine ved hjelp av FIDO2-nøkler, godkjennerapper, fingeravtrykkslesere eller kameraer som er innebygd i enhetene. Selv om brukere må utføre et andre eller til og med tredje sikkerhetstrinn (for eksempel når mer enn én biometrisk er nødvendig for identitetskontroll), sparer de seg selv tid og problemer knyttet til å opprette, huske, administrere og tilbakestille passord.

Forbedrer skalerbarhet

FIDO2 er en åpen, lisensfri standard som gjør det mulig for bedrifter og andre organisasjoner å skalere passordløse godkjenningsmetoder over hele verden. Med FIDO2 kan de levere sikre, strømlinjeformede påloggingsopplevelser til alle ansatte, kunder og partnere uavhengig av deres valgte nettleser og plattform.

Forenkler tilgangsadministrasjon

IT-team trenger ikke lenger å distribuere og administrere passordpolicyer og infrastruktur, redusere kostnader og frigjøre dem til å fokusere på aktiviteter med høyere verdi. I tillegg øker produktiviteten blant brukerstøttepersonell, ettersom de ikke trenger å støtte passordbaserte forespørsler, for eksempel tilbakestilling av passord.

Hva er WebAuthn og CTAP2?

FIDO2-settet med spesifikasjoner har to komponenter: Webgodkjenning (WebAuthn) og Client-to-Authenticator Protocol 2 (CTAP2). Hovedkomponenten, WebAuthn, er et JavaScript-programmeringsgrensesnitt som er implementert i nettlesere og plattformer som samsvarer med forskriftene, slik at registrerte enheter kan utføre FIDO2-godkjenning. Den World Wide Web Consortium (W3C), den internasjonale standardorganisasjonen for World Wide Web, utviklet WebAuthn i partnerskap med FIDO Alliance. WebAuthn ble en formell W3C-nettstandard i 2019.

Den andre komponenten, CTAP2, utviklet av FIDO Alliance, tillater roaming-godkjennere, for eksempel FIDO2-sikkerhetsnøkler og mobile enheter, å kommunisere med FIDO2-støttede nettlesere og plattformer.

Hva er FIDO U2F og FIDO UAF?

FIDO2 utviklet seg fra FIDO 1.0, de første FIDO-godkjenningsspesifikasjonene utgitt av alliansen i 2014. Disse opprinnelige spesifikasjonene inkluderte FIDO Universal Second Factor (FIDO U2F)-protokollen og FIDO Universal Authentication Framework (FIDO UAF)-protokollen.

Både FIDO U2F og FIDO UAF er former for godkjenning med flere faktorer som krever to eller tre bevisdeler (eller faktorer) for å bekrefte en bruker. Disse faktorene kan være noe bare brukeren vet (for eksempel et passord eller en PIN-kode), besitter (for eksempel en FIDO-nøkkel eller en godkjennerapp på en mobil enhet), eller er (for eksempel en biometrisk).

Mer informasjon om disse spesifikasjonene:

FIDO U2F

FIDO U2F styrker passordbaserte autorisasjonsstandarder med godkjenning med to faktorer (2FA), som bekrefter brukeren med to bevis. FIDO U2F-protokollen krever at en enkeltperson oppgir en gyldig kombinasjon av brukernavn og passord som første faktor, og deretter bruker en USB-, NFC- eller Bluetooth-enhet som en annen faktor, som vanligvis godkjenner ved å trykke på en knapp eller taste inn en tidssensitiv OTP.

FIDO U2F er etterfølgeren til CTAP 1 og foregående til CTAP2, som gjør det mulig for enkeltpersoner å bruke mobile enheter i tillegg til FIDO-nøkler som andrefaktorenheter.

FIDO UAF

FIDO UAF forenkler godkjenning uten passord med flere faktorer. Det krever at en person logger på med en FIDO-registrert klientenhet – som bekrefter brukerens tilstedeværelse med en biometrisk kontroll, for eksempel et fingeravtrykk eller ansiktsskanning, eller med en PIN-kode – som første faktor. Enheten genererer deretter det unike nøkkelparet som en andre faktor. Et nettsted eller en app kan også bruke en tredje faktor, for eksempel en biometrisk plassering eller brukerens geografiske plassering.

FIDO UAF er foregående til FIDO2-godkjenning uten passord.

Slik implementerer du FIDO2

Implementering av FIDO2-standarden på nettsteder og apper krever at organisasjonen har moderne maskinvare og programvare. Heldigvis støtter alle ledende nettplattformer, inkludert Microsoft Windows, Apple iOS og MacOS og Android-systemer, og alle de viktigste nettleserne, inkludert Microsoft Edge, Google Chrome, Apple Safari og Mozilla Firefox, FIDO2. Løsningen foridentitets- og tilgangsadministrasjon (IAM) må også støtte FIDO2-godkjenning.

Generelt sett innebærer implementering av FIDO2-godkjenning på nye eller eksisterende nettsteder og apper disse viktige trinnene:

  1. Definer brukerpåloggingsopplevelsen og godkjenningsmetodene, og angi policyer for tilgangskontroll.
  2. Opprett nye eller endre eksisterende registrerings- og påloggingssider med de riktige FIDO-protokollspesifikasjonene.
  3. Konfigurer en FIDO-server for å godkjenne FIDO-registrerings- og godkjenningsforespørsler. FIDO-serveren kan være en frittstående server, integrere med en nett- eller programserver eller leveres som en identitets- og tilgangsstyringsmodul.
  4. Bygg nye eller endre eksisterende godkjenningsarbeidsflyter.

FIDO2 og biometrigodkjenning

Biometrisk godkjenning bruker en persons unike biologiske eller atferdsmessige egenskaper til å bekrefte at personen er den vedkommende hevder å være. Biometriske data samles inn og konverteres til biometriske maler som bare er tilgjengelige med en hemmelig algoritme. Når personen prøver å logge på, henter systemet inn informasjonen, konverterer den og sammenligner den med den lagrede biometriske informasjonen.

Eksempler på biometrisk godkjenning inkluderer følgende:

Biological

  • Fingeravtrykksskanning
  • Retina-skanning
  • Stemmegjenkjenning
  • DNA-samsvar
  • Blodåreskanning

Atferdsmessig

  • Bruk av berøringsskjerm
  • Skrivehastighet
  • Hurtigtaster
  • Museaktivitet

Biometrigodkjenning er en virkelighet i dagens hybride, digitale arbeidsplasser. Ansatte liker det faktum at det gir dem fleksibilitet til raskt og sikker godkjenning uansett hvor de ønsker. Bedrifter liker at det reduserer angrepsoverflaten betydelig, og motvirker nettkriminalitet som ellers kan målrette mot dataene og systemene deres.

Likevel er biometrisk godkjenning ikke helt hackersikkert. Uvedkommende aktører kan for eksempel bruke andres biometriske data, for eksempel et bilde eller silikonfingeravtrykk, for å utgi seg for å være den personen. Eller de kan kombinere flere fingeravtrykksskanninger for å opprette en primær skanning som gir dem tilgang til flere brukerkontoer.

Det finnes andre ulemper med biometrisk godkjenning. Noen systemer for ansiktsgjenkjenning har for eksempel en innebygd bias mot kvinner og fargede mennesker. I tillegg velger noen organisasjoner å lagre biometriske data på databaseservere i stedet for på sluttbrukerenheter, og stille spørsmål om sikkerhet og personvern. Likevel er biometrisk autentisering med flere faktorer fortsatt en av de sikreste metodene som er tilgjengelige i dag for å bekrefte brukeridentiteter.

Eksempler på FIDO2-godkjenning

Krav til sikkerhet og krav til identitetskontroll varierer i og på tvers av organisasjoner. Følgende er vanlige måter organisasjoner i ulike bransjer implementerer FIDO2-godkjenning på.

Banktjenester, finansielle tjenester og forsikring

For å beskytte sensitive forretnings- og kundedata bruker ansatte som jobber i bedriftskontorer ofte stasjonære eller bærbare datamaskiner med plattformgodkjennere. Firmapolicyen hindrer dem i å bruke disse enhetene til personlig bruk. Ansatte på den lokale grenen og telefonsenteret bruker ofte delte enheter og bekrefter identitetene sine ved hjelp av roaming-godkjennere.

Luftfart og flyselskaper

Organisasjoner i disse bransjene må også imøtekomme personer som jobber i forskjellige posisjoner og har varierende ansvar. Ledere, personaladministrasjon og andre kontorbaserte ansatte bruker ofte dedikerte skrivebord og bærbare datamaskiner og godkjenner enten med plattform- eller roaming-godkjennere. Ansatte ved flyplassgater, flymekanikere og mannskap bruker ofte maskinvaresikkerhetsnøkler eller godkjennerapper på sine personlige smarttelefoner for å bekrefte identiteten sin på felles nettbrett eller arbeidsstasjoner.

Produksjon

For å sikre den fysiske sikkerheten til produksjonsanlegg bruker autoriserte ansatte og andre personer roaming-godkjennere – som FIDO2-aktiverte smartkort og FIDO2-nøkler – eller registrerte personlige smarttelefoner med plattformgodkjennere for å låse opp dører. I tillegg bruker produktdesignteam ofte dedikerte skrivebord eller bærbare datamaskiner med plattformgodkjennere for å få tilgang til nettbaserte utformingssystemer som inneholder proprietær informasjon.

Nødetater

Offentlige etater og andre nødetater kan ikke alltid godkjenne ambulansepersonell og andre førstehjelpsrespondenter med fingeravtrykk eller iris-skanninger. Ofte bruker disse personene hansker eller øyebeskyttere samtidig som de trenger rask tilgang til onlinetjenester. I disse tilfellene identifiseres de i stedet gjennom talegjenkjenningssystemer. Nye teknologier for skanning av øreform med smarttelefoner kan også brukes.

Få sikkerhet som gir ro i sinnet med FIDO2

Godkjenning uten passordPassordløs godkjenning blir raskt en anbefalt fremgangsmåte for identitets- og tilgangsstyring. Ved å ta i bruk FIDO2 vet du at du bruker en klarert standard for å sikre at brukerne er den de utgir seg for å være.

For å komme i gang med FIDO2 må du nøye evaluere spesifikke organisasjons- og bransjekrav for identitetskontroll. Deretter effektiviserer du FIDO2-implementeringen med Microsoft Entra ID (tidligere kjent som Azure Active Directory). Veiviseren for metoder uten passord i Microsoft Entra ID forenkler administrasjonen av Windows Hello for bedrifter, Microsoft Authenticator-appen og FIDO2-sikkerhetsnøkler.

Mer informasjon om Microsoft Sikkerhet

Microsoft Entra ID (tidligere kjent som Azure Active Directory)

Beskytt tilgang til ressurser og data ved hjelp av sterk godkjenning og risikobasert adaptiv tilgang.

Mer informasjon

Microsoft Entra identitetsstyring

Øk produktiviteten og styrk sikkerheten ved å automatisere tilgangen til apper og tjenester.

Mer informasjon

Microsoft Entra bekreftet ID

Utsted og bekreft arbeidsplass og annen legitimasjon med en åpen standardløsning.

Finn ut mer

Microsoft Entra arbeidsbelastnings-ID

Reduser risikoen ved å gi apper og tjenester betinget tilgang til skyressurser, alt på ett sted.

Mer informasjon

Vanlige spørsmål

  • FIDO2 står for (Fast IDentity Online 2), den nyeste standarden for åpen godkjenning utgitt av FIDO Alliance. Alliansen består av Microsoft og andre teknologiske, kommersielle og offentlige organisasjoner, og søker å eliminere bruken av passord over World Wide Web.

    FIDO2-spesifikasjoner inkluderer webgodkjenning (WebAuthn), en nett-API som gjør det mulig for onlinetjenester å kommunisere med FIDO2-plattformgodkjenninger (for eksempel fingeravtrykks- og ansiktsgjenkjenningsteknologier som er innebygd i nettlesere og plattformer). WebAuthn er utviklet av World Wide Web Consortium (W3C) i samarbeid med FIDO Alliance og er en formell W3C-standard.

    FIDO2 inkluderer også Client-to-Authenticator Protocol 2 (CTAP2), utviklet av alliansen. CTAP2 kobler roaming-godkjennere (for eksempel eksterne FIDO2-sikkerhetsnøkler og mobile enheter) til FIDO2-klientenheter via USB, BLE eller NFC.

  • FIDO2 er en åpen, lisensfri standard for godkjenning uten passord med flere faktorer i mobil- og skrivebordsmiljøer. FIDO2 fungerer ved hjelp av fellesnøkkelkryptografi i stedet for passord for å validere brukeridentiteter, som hindrer nettkriminelle som forsøker å stjele brukerlegitimasjon gjennom phishing, skadelig programvare og andre passordbaserte angrep.

  • Fordelene med FIDO2-godkjenning inkluderer bedre sikkerhet og personvern, brukervennlige opplevelser og forbedret skalerbarhet. FIDO2 forenkler også tilgangskontroll for IT-team og brukerstøttemedarbeidere ved å redusere arbeidsbelastninger og kostnader knyttet til administrasjon av brukernavn og passord.

  • En FIDO2-nøkkel, også kalt en FIDO2-sikkerhetsnøkkel, er en fysisk maskinvareenhet som kreves for godkjenning med to faktorer og flere faktorer. Den fungerer som en roaming FIDO-godkjenning, og bruker USB, NFC eller Bluetooth til å koble til en FIDO2-klientenhet, slik at brukere kan godkjenne på flere datamaskiner, enten de er på kontoret, hjemme eller i en annen innstilling.

    Klientenheten bekrefter brukerens’identitet ved å be brukeren om å bruke FIDO2-tasten til å foreta en bevegelse, for eksempel berøre en fingeravtrykksleser, trykke på en knapp eller angi en PIN-kode. FIDO2-nøkler inkluderer plugin-modulnøkler, smarttelefoner, nettbrett, bærbare enheter og andre enheter.

  • Organisasjoner distribuerer FIDO2-godkjenningsmetoder basert på deres unike krav til sikkerhet, sikkerhet og bransje.

    Banker og forskningsdrevne produsenter krever for eksempel ofte at kontorbaserte og andre ansatte bruker bedriftsspesifikke stasjonære og bærbare datamaskiner med plattformgodkjenning. Organisasjoner med folk på farten, for eksempel flybesetninger og beredskapsteam, får i stedet ofte tilgang til delte nettbrett eller arbeidsstasjoner og godkjenner deretter ved hjelp av sikkerhetsnøkler eller godkjennerapper på smarttelefonene.

Følg Microsoft Sikkerhet