This is the Trace Id: 29119c0559c14c3d2c436176682d5fd1
Salt la conținutul principal
Microsoft Security

Ce este FIDO2?

Aflați noțiunile de bază ale autentificării fără parolă FIDO2, inclusiv modul în care funcționează și contribuie la protejarea persoanelor și organizațiilor împotriva atacurilor online.

Reduceți riscul cu autentificarea fără parolă

FIDO2 definit

FIDO2 este un standard deschis pentru autentificarea utilizatorilor care își propune să consolideze modul în care oamenii se conectează la serviciile online pentru a crește încrederea generală. FIDO2 consolidează securitatea și protejează persoanele și organizațiile împotriva infracțiunilor cibernetice, utilizând acreditări criptografice rezistente la phishing pentru a valida identitățile utilizatorilor.

FIDO2 este cel mai recent standard de autentificare deschisă dezvoltat de FIDO Alliance, un consorțiu industrial format din Microsoft și alte organizații tehnologice, comerciale și guvernamentale. Alianța a lansat standardele de autentificare FIDO 1.0 care a introdus autentificarea multifactor rezistentă la phishing (MFA) în 2014 și cel mai recent standard de autentificare fără parolă FIDO2 (numit și FIDO 2.0 sau FIDO 2) în 2018.

Ce sunt cheile de acces și care este legătura acestora cu FIDO2?

Indiferent cât de lungi sau de complexe sau cât de des sunt schimbate, parolele pot fi compromise dacă sunt distribuite voluntar sau involuntar. Chiar și cu o soluție puternică de protecție prin parolă, fiecare organizație prezintă un anumit risc de phishing, hacking și alte atacuri cibernetice în care parolele sunt furate. Odată ajunse pe mâini greșite, parolele pot fi utilizate pentru a obține acces neautorizat la conturi, dispozitive și fișiere online.

Cheile de acces sunt acreditări de conectare FIDO2 care sunt create utilizând criptografie de cheie publică. O înlocuire eficientă a parolelor, acestea cresc securitatea cibernetică în timp ce fac conectarea la aplicații web și site-uri web acceptate mai ușor de utilizat decât metodele tradiționale.

Autentificarea fără parolă FIDO2 se bazează pe algoritmi criptografici pentru a genera o pereche de chei de acces private - numere lungi, aleatorii care sunt legate matematic. Perechea de chei este utilizată pentru a efectua autentificarea utilizatorului direct pe dispozitivul utilizatorului final, indiferent dacă este un computer desktop, laptop, telefon mobil sau cheie de securitate. O cheie de acces poate fi legată de un singur dispozitiv utilizator sau sincronizată automat pe mai multe dispozitive ale unui utilizator printr-un serviciu cloud.

Cum funcționează autentificarea FIDO2?

Autentificarea fără parolă FIDO2 funcționează în general utilizând cheile de acces ca primul factor principal pentru autentificarea contului. Pe scurt, atunci când un utilizator se înregistrează pentru un serviciu online acceptat de FIDO2, dispozitivul client înregistrat pentru a efectua autentificarea generează o pereche de chei care funcționează doar pentru acea aplicație web sau site web.

Cheia publică este criptată și distribuită cu serviciul, dar cheia privată rămâne în siguranță pe dispozitivul utilizatorului. Apoi, de fiecare dată când utilizatorul încearcă să se conecteze la serviciu, serviciul prezintă o provocare unică clientului. Clientul activează dispozitivul cheie de acces pentru a semna solicitarea cu cheia privată și a o returna. Acest lucru face ca procesul să fie protejat criptografic împotriva phishingului.

Tipuri de autentificări FIDO2

Înainte ca dispozitivul să poată genera un set unic de chei de acces FIDO2, trebuie să confirme că utilizatorul care solicită acces nu este un utilizator neautorizat sau un tip de malware. Face acest lucru cu o structură de autentificare, care este un dispozitiv care poate accepta un cod PIN, biometric sau alt gest de utilizator.

Există două tipuri de structuri de autentificare FIDO:

Structură de autentificare de roaming (sau pe mai multe platforme)

Aceste structuri de autentificare sunt dispozitive hardware portabile care sunt separate de dispozitivele client ale utilizatorilor. Structurile de autentificare de roaming includ chei de securitate, smartphone-uri, tablete, dispozitive wearable și alte dispozitive care se conectează cu dispozitive client prin protocolul USB sau NFC și tehnologia wireless Bluetooth. Utilizatorii verifică identitatea într-o varietate de moduri, cum ar fi prin conectarea unei chei FIDO și apăsarea unui buton sau prin furnizarea unei date biometrice, cum ar fi o amprentă, pe smartphone. Structurile de autentificare de roaming sunt, de asemenea, cunoscute drept structuri de autentificare pe mai multe platforme, deoarece permit utilizatorilor să se autentifice pe mai multe computere, oricând și oriunde.

Structuri de autentificare de platformă (sau legate)

Aceste structuri de autentificare sunt încorporate în dispozitive client ale utilizatorilor, indiferent dacă sunt desktop, laptop, tabletă sau smartphone. Cuprinzând capabilități biometrice și cipuri hardware pentru protejarea cheilor de acces, structurile de autentificare de platformă solicită utilizatorului să se conecteze la serviciile acceptate de FIDO cu dispozitivul client, apoi să se autentifice prin același dispozitiv, în general cu date biometrice sau un cod PIN.

Printre exemplele de structuri de autentificare de platformă care utilizează date biometrice se numără Microsoft Windows Hello, Apple Touch ID și Face ID și Amprentă Android.

Cum să vă înregistrați și să vă conectați la serviciile acceptate de FIDO2:

Pentru a beneficia de securitatea sporită oferită de autentificarea FIDO2, urmați acești pași de bază:

Cum să vă înregistrați pentru un serviciu acceptat de FIDO2:

  • Pasul 1: Atunci când vă înregistrați la un serviciu, vi se va solicita să alegeți o metodă de structură de autentificare FIDO acceptată.

  • Pasul 2: Activați structura de autentificare FIDO cu un gest simplu acceptat de aceasta, fie că introduceți un cod PIN, atingeți un cititor de amprente sau inserați o cheie de securitate FIDO2.

  • Pasul 3: După activarea structurii de autentificare, dispozitivul va genera o pereche de chei private și publice care este unică pentru dispozitiv, cont și serviciu.

  • Pasul 4: Dispozitivul local stochează în siguranță cheia privată și orice informații confidențiale referitoare la metoda de autentificare, cum ar fi datele biometrice. Cheia publică este criptată și, împreună cu un ID de acreditări generat aleator, înregistrată la serviciu și stocată pe serverul său de autentificare.

Cum să vă conectați la un serviciu acceptat de FIDO2:

  • Pasul 1: Serviciul emite o provocare criptografică pentru a vă confirma prezența.

  • Pasul 2: Atunci când vi se solicită, efectuați același gest de autentificare utilizat în timpul înregistrării contului. După ce v-ați confirmat prezența cu gestul respectiv, dispozitivul va utiliza apoi cheia privată stocată local pe dispozitivul pentru a semna provocarea.

  • Pasul 3: Dispozitivul trimite înapoi provocarea semnată serviciului, care o verifică cu cheia publică înregistrată în siguranță.

  • Pasul 4: După ce ați finalizat acești pași, sunteți conectat.

Care sunt beneficiile autentificării FIDO2?

Beneficiile autentificării fără parolă FIDO2 includ securitate și confidențialitate sporite, experiențe prietenoase cu utilizatorul și scalabilitate îmbunătățită. FIDO2 reduce, de asemenea, sarcinile de lucru și costurile asociate cu gestionarea accesului.

Crește securitatea

Autentificarea fără parolă FIDO2 crește semnificativ securitatea la conectare, pe baza cheilor de acces unice. Cu FIDO2, hackerii nu pot obține cu ușurință acces la aceste informații confidențiale prin phishing, ransomware și alte metode de atac cibernetic. Cheile biometrice și FIDO2 ajută, de asemenea, la eliminarea vulnerabilităților din metodele tradiționale de autentificare multifactor, cum ar fi trimiterea de coduri de acces de unică folosință (OTP) prin mesaje text.

Îmbunătățește confidențialitatea utilizatorilor

Autentificarea FIDO consolidează confidențialitatea utilizatorilor prin stocarea sigură a cheilor criptografice private și a datelor biometrice pe dispozitivele utilizatorilor. În plus, deoarece această metodă de autentificare generează perechi de chei unice, împiedică furnizorii de servicii să urmărească utilizatorii pe site-uri. De asemenea, ca răspuns la preocupările consumatorilor legate de posibila utilizare abuzivă a datelor biometrice, guvernele adoptă legi de confidențialitate care împiedică organizațiile să vândă sau să distribuie informații biometrice.

Promovează simplitatea în utilizare

Cu autentificarea FIDO, persoanele își pot autentifica rapid și convenabil identitățile utilizând chei FIDO2, aplicații de autentificare sau cititoare de amprente sau camere încorporate în dispozitive. Deși utilizatorii trebuie să efectueze un al doilea sau chiar al treilea pas de securitate (cum ar fi atunci când sunt necesare mai multe date biometrice pentru verificarea identității), aceștia economisesc timpul și efortul suplimentar asociat cu crearea, memorarea, gestionarea și resetarea parolelor.

Îmbunătățește scalabilitatea

FIDO2 este un standard deschis, fără licență, care permite afacerilor și altor organizații să scaleze metodele de autentificare fără parolă în întreaga lume. Cu FIDO2, acestea pot oferi experiențe de conectare securizate și simplificate tuturor angajaților, clienților și partenerilor, indiferent de browserul și platforma alese.

Simplifică gestionarea accesului

Echipele IT nu mai trebuie să implementeze și să gestioneze politicile și infrastructura pentru parole, reducând costurile și eliberându-le pentru a se concentra asupra activităților cu valoare mai mare. În plus, productivitatea în rândul personalului de la biroul de asistență crește, deoarece nu mai trebuie să accepte solicitări privind parolele, cum ar fi resetarea parolelor.

Ce sunt WebAuthn și CTAP2?

Setul de specificații FIDO2 are două componente: Autentificare web (WebAuthn) și protocolul client-la-structură de autentificare 2 (CTAP2). Componenta principală, WebAuthn, este un API JavaScript implementat în browsere web și platforme compatibile, astfel încât dispozitivele înregistrate să poată efectua autentificarea FIDO2. World Wide Web Consortium (W3C), organizația internațională de standardizare pentru World Wide Web, a dezvoltat WebAuthn în parteneriat cu FIDO Alliance. WebAuthn a devenit un standard web W3C formal în 2019.

A doua componentă, CTAP2, dezvoltată de FIDO Alliance, permite structurilor de autentificare de roaming, cum ar fi cheile de securitate FIDO2 și dispozitivele mobile, să comunice cu browserul și platformele acceptate de FIDO2.

Ce sunt FIDO U2F și FIDO UAF?

FIDO2 a evoluat de la FIDO 1.0, primele specificații de autentificare FIDO lansate în 2014. Aceste specificații originale includ protocolul FIDO U2F și FIDO UAF.

Atât FIDO U2F, cât și FIDO UAF sunt forme de autentificare multifactor, care necesită două sau trei dovezi (sau factori) pentru a valida un utilizator. Acești factori pot fi ceva ce doar utilizatorul știe (cum ar fi un cod de acces sau un cod PIN), deține (cum ar fi o cheie FIDO sau o aplicație de autentificare pe un dispozitiv mobil) sau este (cum ar fi datele biometrice).

Aflați mai multe despre aceste specificații:

FIDO U2F

FIDO U2F consolidează standardele de autorizare bazate pe parolă cu autentificarea pe două niveluri, care validează utilizatorul cu două dovezi. Protocolul FIDO U2F necesită ca o persoană să furnizeze o combinație validă de nume de utilizator și parolă ca prim nivel, apoi să utilizeze un dispozitiv USB, NFC sau Bluetooth ca al doilea nivel, autentificându-se în general prin apăsarea unui buton sau prin tastarea unui cod de acces de unică folosință sensibil la timp.

FIDO U2F este succesorul CTAP 1 și predecesorul CTAP2, care permite persoanelor să utilizeze dispozitive mobile în plus față de cheile FIDO ca dispozitive cu nivel secundar.

FIDO UAF

FIDO UAF facilitează autentificarea fără parolă multifactor. Necesită ca o persoană să se conecteze cu un dispozitiv client înregistrat cu FIDO care să confirme prezența utilizatorului printr-o verificare biometrică, cum ar fi o amprentă sau o scanare facială sau cu un cod PIN ca prim factor. Dispozitivul generează apoi perechea de chei unică ca al doilea factor. Un site web sau o aplicație poate utiliza, de asemenea, un al treilea factor, cum ar fi o locație biometrică sau locația geografică a utilizatorului.

FIDO UAF este predecesorul autentificării fără parolă FIDO2.

Cum să implementați FIDO2

Implementarea standardului FIDO2 pe site-uri web și aplicații necesită ca organizația să aibă hardware și software modern. Din fericire, toate platformele web de top, inclusiv Microsoft Windows, Apple iOS și MacOS și sistemele Android, precum și toate browserele web principale, inclusiv Microsoft Edge, Google Chrome, Apple Safari și Mozilla Firefox, acceptă FIDO2. Soluția Gestionarea identităților și accesului (IAM) trebuie să accepte, de asemenea, autentificarea FIDO2.

În general, implementarea autentificării FIDO2 în site-urile web și aplicațiile noi sau existente implică acești pași cheie:

  1. Definiți experiența de conectare a utilizatorului și metodele de autentificare și setați politicile de control al accesului.
  2. Creați sau modificați paginile de înregistrare și de conectare existente cu specificațiile corespunzătoare ale protocolului FIDO.
  3. Configurați un server FIDO pentru a autentifica solicitările de înregistrare și autentificare FIDO. Serverul FIDO poate fi un server independent, integrat cu un server web sau o aplicație sau poate fi furnizat ca modul IAM.
  4. Creați fluxuri de lucru de autentificare noi sau modificați unele existente.

FIDO2 și autentificarea biometrică

Autentificarea biometrică utilizează caracteristicile biologice sau de comportament unice ale unei persoane pentru a confirma că persoana respectivă este persoana care pretinde că este. Datele biometrice sunt colectate și convertite în șabloane biometrice care sunt accesibile doar cu un algoritm secret. Atunci când persoana încearcă să se conecteze, sistemul recuperează informațiile, le convertește și le compară cu datele biometrice stocate.

Printre exemplele de autentificare biometrică se numără următoarele:

Biologic

  • Scanare de amprentă
  • Scanare de retină
  • Recunoașterea vocii
  • Potrivire ADN
  • Scanare venoasă

Comportamentală

  • Utilizare de ecran tactil
  • Viteză de tastare
  • Comenzi rapide de la tastatură
  • Activitate mouse

Autentificarea biometrică este o realitate în mediile de lucru digitale hibride de astăzi. Angajații apreciază faptul că le oferă flexibilitatea de a se autentifica rapid și în siguranță, de oriunde o aleg să o facă. Afacerile apreciază faptul că își reduc semnificativ suprafața de atac, descurajând infracțiunile cibernetice care altfel ar putea viza datele și sistemele lor.

Cu toate acestea, autentificarea biometrică nu este o soluție impenetrabilă împotriva hackerilor. De exemplu, actorii răi intenționați pot folosi datele biometrice ale altei persoane, cum ar fi o fotografie sau o amprentă digitală din silicon, pentru a fura identitatea acelei persoane. Sau, pot combina mai multe scanări de amprentă pentru a crea o scanare primară care le oferă acces la mai multe conturi de utilizator.

Există și alte dezavantaje ale autentificării biometrice. Unele sisteme de recunoaștere facială, de exemplu, au o tendință încorporată sau intrinsecă a sistemului de recunoaștere facială de a produce rezultate incorecte sau inexacte privind femeile și persoanele de culoare. În plus, unele organizații aleg să stocheze datele biometrice pe serverele de baze de date, mai degrabă decât pe dispozitivele utilizatorilor finali, ridicând îngrijorări cu privire la securitate și confidențialitate. Totuși, autentificarea biometrică multifactor rămâne una dintre cele mai sigure metode disponibile astăzi pentru a verifica identitățile utilizatorilor.

Exemple de autentificare FIDO2

Cerințele de securitate și logistică pentru verificarea identității variază în cadrul și între organizații. Următoarele sunt modalități comune prin care organizațiile din diferite industrii implementează autentificarea FIDO2.

Servicii bancare, financiare și de asigurări

Pentru a proteja datele confidențiale ale afacerilor și ale clienților, angajații care lucrează în birouri corporative utilizează adesea desktop-uri sau laptopuri oferite de firmă cu structuri de autentificare de platformă. Politica firmei interzice utilizarea acestor dispozitive pentru uz personal. Angajații de la sucursale și de la unitățile call center utilizează frecvent dispozitive folosite în comun și își verifică identitățile folosind structuri de autentificare de roaming.

Aviație și companii aeriene

Organizațiile din aceste sectoare de activitate trebuie, de asemenea, să se adapteze pentru persoanele care lucrează în diferite setări și au responsabilități diferite. Managerii, resursele umane și alți angajați care își desfășoară activitatea la birou utilizează adesea desktopuri și laptopuri dedicate și se autentifică cu structuri de autentificare de platformă sau de roaming. Agenții de la porțile aeroportului, mecanicii de avioane și membrii echipajului folosesc adesea chei de securitate hardware sau aplicații de autentificare pe smartphone-urile lor personale pentru a se autentifica pe tablete sau stații de lucru utilizate în comun.

Producție

Pentru a asigura securitatea fizică a facilităților de producție, angajații autorizați și alte persoane utilizează structuri de autentificare de roaming, cum ar fi cardurile inteligente activate pentru FIDO2 și cheile FIDO2 sau smartphone-urile personale înregistrate cu structuri de autentificare de platformă pentru a debloca ușile. În plus, echipele de proiectare a produselor utilizează adesea desktopuri sau laptopuri dedicate cu structuri de autentificare de platformă pentru a accesa sisteme de proiectare online care conțin informații proprietare.

Servicii de urgență

Agențiile guvernamentale și alți furnizori de servicii de urgență nu pot autentifica întotdeauna paramedicii și alți responsabili care acordă primul ajutor cu amprente digitale sau scanări ale irisului. Adesea, aceste persoane poartă mănuși sau ochelari de protecție în timp ce trebuie să acceseze rapid servicii online. În aceste cazuri, aceste persoane sunt identificate prin sisteme de recunoaștere vocală. De asemenea, pot fi utilizate tehnologii emergente pentru scanarea formelor urechilor cu smartphone-uri.

Creați o securitate confortabilă cu FIDO2

Autentificare fără parolă devine rapid o bună practică pentru IAM. Prin adoptarea FIDO2, utilizați un standard de încredere pentru a vă asigura că utilizatorii sunt cine spun că sunt.

Pentru a începe lucrul cu FIDO2, evaluați cu atenție cerințele specifice ale organizației și ale sectorului de activitate pentru verificarea identității. Apoi, simplificați implementarea FIDO2 cu Microsoft Entra ID (cunoscut anterior ca Azure Active Directory). Expertul pentru metode fără parolă din Microsoft Entra ID simplifică gestionarea Windows Hello pentru business, a aplicației Microsoft Authenticator și a cheilor de securitate FIDO2.

Aflați mai multe despre Microsoft Security

Microsoft Entra ID (anterior Azure Active Directory)

Protejați accesul la resurse și date utilizând autentificarea puternică și accesul adaptiv bazat pe riscuri.

Aflați mai multe

Guvernanța identității Microsoft Entra

Creșteți productivitatea și consolidați securitatea prin automatizarea accesului la aplicații și servicii.

Aflați mai multe

ID verificat Microsoft Entra

Emiteți cu încredere și verificați acreditări de la locul de muncă și altele cu o soluție la standarde deschise.

Aflați mai multe

ID sarcină de lucru Microsoft Entra

Reduceți riscul acordând aplicațiilor și serviciilor acces condiționat la resursele cloud, toate într-un singur loc.

Aflați mai multe

Întrebări frecvente

  • FIDO2 este cel mai recent standard de autentificare deschis lansat de FIDO Alliance. Cuprinzând Microsoft și alte organizații tehnologice, comerciale și guvernamentale, alianța încearcă să elimine utilizarea parolelor pe World Wide Web.

    Specificațiile FIDO2 includ autentificarea web (WebAuthn), un API web care permite serviciile online să comunice cu structurile de autentificare de platformă FIDO2 (cum ar fi tehnologiile de recunoaștere a amprentei și faciale încorporate în browsere și platforme web). Dezvoltat de World Wide Web Consortium (W3C) în parteneriat cu FIDO Alliance, WebAuthn este un standard W3C formal.

    FIDO2 include, de asemenea, Protocolul Client-la-Authenticator 2 (CTAP2), dezvoltat de alianță. CTAP2 conectează structurile de autentificare de roaming (cum ar fi cheile de securitate FIDO2 externe și dispozitivele mobile) la dispozitivele client FIDO2 prin USB, BLE sau NFC.

  • FIDO2 este un standard deschis, fără licență, pentru autentificarea fără parolă multifactor în medii mobile și desktop. FIDO2 funcționează utilizând criptografie cu cheie publică în loc de parole pentru a valida identitățile utilizatorilor, împiedicând infractorii cibernetici care încearcă să fure acreditările utilizatorului prin phishing, malware și alte atacuri bazate pe parolă.

  • Beneficiile autentificării FIDO2 includ securitate și confidențialitate sporite, experiențe prietenoase cu utilizatorul și scalabilitate îmbunătățită. FIDO2 simplifică, de asemenea, controlul accesului pentru echipele IT și personalul biroului de asistență, reducând sarcinile de lucru și costurile asociate cu gestionarea numelor de utilizator și a parolelor.

  • O cheie FIDO2, numită și cheie de securitate FIDO2, este un dispozitiv hardware fizic necesar pentru autentificarea pe două niveluri și multifactor. Acționând ca o structură de autentificare FIDO în roaming, utilizează USB, NFC sau Bluetooth pentru a se conecta la un dispozitiv client FIDO2, permițând utilizatorilor să se autentifice pe mai multe computere, la birou, acasă sau în orice alt mediu.

    Dispozitivul client verifică identitatea utilizatorului solicitându-i utilizatorului să folosească cheia FIDO2 pentru a face un gest, cum ar fi atingerea unui cititor de amprentă, apăsarea unui buton sau introducerea unui cod PIN. Cheile FIDO2 includ chei plugin, smartphone-uri, tablete, dispozitive wearable și alte dispozitive.

  • Organizațiile implementează metode de autentificare FIDO2 pe baza cerințelor unice de securitate, logistică și sector de activitate.

    De exemplu, băncile și producătorii bazați pe cercetare solicită adesea angajaților de la birou și altor angajați să utilizeze desktop-uri și laptopuri furnizate de companie, destinate exclusiv utilizării în afaceri, cu structuri de autentificare de platformă. Organizațiile cu persoane în deplasare, cum ar fi echipajele companiilor aeriene și echipele de intervenție în situații de urgență, accesează adesea tablete sau stații de lucru utilizate în comun și apoi se autentifică utilizând chei de securitate sau aplicații de autentificare pe smartphone-uri.

Urmăriți Microsoft Security