Trace Id is missing
Перейти к основному контенту
Microsoft Security

Что такое FIDO2?

Изучите основы проверки подлинности без пароля FIDO2, в том числе о том, как она работает и помогает защитить пользователей и организации от атак в сети.

Снижение риска с помощью проверки подлинности без пароля

FIDO2 определено

FIDO2 (Fast IDentity Online 2) — это открытый стандарт проверки подлинности пользователей, целью которого является улучшение способа входа людей в веб-службы и повышение общего доверия. FIDO2 усиливает безопасность и защищает отдельных лиц и организации от киберпреступлений, используя устойчивые к фишингу криптографические учетные данные для проверки удостоверений пользователей.

FIDO2 — это новейший стандарт открытой проверки подлинности, разработанный FIDO Alliance, отраслевым консорциумом Microsoft и других технологических, коммерческих и государственных организаций. В 2014 году альянс выпустил стандарты проверки подлинности FIDO 1.0, которые представили устойчивую к фишингу многофакторную проверку подлинности (MFA), а в 2018 году — новейший стандарт проверки подлинности без пароля — FIDO2 (также называемый FIDO 2.0 или FIDO 2).

Что такое ключи доступа и как они связаны с FIDO2?

Как бы длинны и сложны ни были пароли, и как бы часто их не меняли, они могут быть скомпрометированы в результате их добровольного или непреднамеренного раскрытия. Даже с решением для защиты с надежным паролем каждая организация подвергается определенному риску фишинга, взлома и других кибератак, в ходе которых пароли украдены. Попав в чужие руки, пароли могут быть использованы для получения несанкционированного доступа к учетным записям в сети, устройствам и файлам.

Ключи доступа — это учетные данные для входа в систему FIDO2, созданные с использованием шифрования с открытым ключом. Являясь эффективной заменой паролей, они повышают кибербезопасность, делая вход в поддерживаемые веб-приложения и веб-сайты более удобным для пользователя, чем традиционные методы.

Проверка подлинности без пароля FIDO2 основана на криптографических алгоритмах для создания пары частных и общедоступных ключей доступа — длинных случайных чисел, связанных математически. Пара ключей используется для проверки подлинности пользователя непосредственно на устройстве конечного пользователя, будь то настольный компьютер, ноутбук, мобильный телефон или ключ безопасности. Ключ доступа можно привязать к одному пользовательскому устройству или автоматически синхронизировать на нескольких устройствах пользователя через облачную службу.

Как работает проверка подлинности FIDO2?

Проверка подлинности без пароля FIDO2 обычно использует ключи доступа в качестве первого и основного фактора проверки подлинности учетной записи. Одним словом, когда пользователь регистрируется в веб-службе, поддерживаемой FIDO2, клиентское устройство, зарегистрированное для выполнения проверки подлинности, генерирует пару ключей, которая работает только для этого веб-приложения или веб-сайта.

Открытый ключ шифруется и передается службе, но закрытый ключ надежно остается на устройстве пользователя. Затем каждый раз, когда пользователь пытается войти в службу, служба представляет собой уникальную задачу для клиента. Клиент активирует устройство с ключом доступа, чтобы подписать запрос закрытым ключом и вернуть его. Это делает процесс криптографически защищенным от фишинга.

Типы проверки подлинности FIDO2

Прежде чем устройство сможет сгенерировать уникальный набор ключей доступа FIDO2, оно должно подтвердить, что пользователь, запрашивающий доступ, не является неавторизованным пользователем или типом вредоносной программы. Это делается с помощью проверка подлинности, который представляет собой устройство, которое может принимать PIN-код, биометрические данные или другой жест пользователя.

Существует два типа проверки подлинности FIDO:

Перемещаемые (или кроссплатформенные) структуры проверки подлинности

Эти структуры проверки подлинности представляют собой портативные аппаратные устройства, отделенные от клиентских устройств пользователей. К перемещаемым средствам проверки подлинности относятся ключи безопасности, смартфоны, планшеты, носимые устройства и другие устройства, подключаемые к клиентским устройствам через протокол USB или связь ближнего радиуса действия (NFC) и беспроводную технологию Bluetooth. Пользователи подтверждают свою личность различными способами, например, подключив ключ FIDO и нажав кнопку, или предоставив биометрические данные, например отпечаток пальца, на своем смартфоне. Перемещаемые структуры проверки подлинности также известны как кросс-платформенные структуры проверки подлинности, поскольку они позволяют пользователям проходить проверку подлинности на нескольких компьютерах в любое время и в любом месте.

Платформенные (или привязанные) структуры проверки подлинности

Эти структуры проверки подлинности встроены в клиентские устройства пользователей, будь то настольный компьютер, ноутбук, планшет или смартфон. Платформенные структуры проверки подлинности, включающие в себя биометрические возможности и аппаратные чипы для защиты паролей, требуют от пользователя войти в службы, поддерживаемые FIDO, с помощью клиентского устройства, а затем пройти проверку подлинности через то же устройство, обычно с помощью биометрических данных или PIN-кода.

Примеры платформенных средств проверки подлинности, использующих биометрические данные, включают Microsoft Windows Hello, Apple Touch ID и Face ID, а также отпечаток пальца Android.

Как зарегистрироваться и войти в службы, поддерживаемые FIDO2:

Чтобы воспользоваться повышенной безопасностью, предоставляемой проверкой подлинности FIDO2, выполните следующие основные шаги:

Как зарегистрироваться в службе, поддерживаемой FIDO2:

Шаг 1: При регистрации в службе вам потребуется выбрать поддерживаемый метод проверки подлинности FIDO.

Шаг 2: Активируйте структуру проверки подлинности FIDO простым жестом, поддерживаемым средством проверки подлинности, будь то ввод PIN-кода, прикосновение к устройству считывания отпечатков пальцев или вставка ключа безопасности FIDO2.

Шаг 3: После активации структуры проверки подлинности устройства сгенерирует пару частного и открытого ключей, уникальную для этого устройства, учетной записи и службы.

Шаг 4: На локальном устройстве надежно хранится закрытый ключ и конфиденциальная информация, относящаяся к методу проверки подлинности, например биометрические данные. Открытый ключ шифруется и вместе со случайно сгенерированным идентификатором учетных данных регистрируется в службе и хранится на ее сервере проверки подлинности.

Как войти в службу, поддерживаемую FIDO2:

Шаг 1: Служба выдает криптографический запрос для подтверждения присутствия.

Шаг 2: При появлении запроса выполните тот же жест проверки подлинности, который использовался при регистрации учетной записи. После подтверждения присутствия этим жестом устройство будет использовать закрытый ключ, хранящийся локально на устройстве, для подписания запроса.

Шаг 3: Устройство отправляет подписанный запрос обратно в службу, которая проверяет его с помощью надежно зарегистрированного открытого ключа.

Шаг 4: После завершения вы войдете в систему.

Каковы преимущества проверки подлинности FIDO2?

Преимущества проверки подлинности без пароля FIDO2 включают повышенную безопасность и конфиденциальность, удобство использования и улучшенную масштабируемость. FIDO2 также снижает рабочую нагрузку и затраты, связанные с управлением доступом.

  • Повышение безопасности

    Проверка подлинности без пароля FIDO2 значительно повышает безопасность входа в систему, полагаясь на уникальные ключи доступа. Благодаря FIDO2 хакеры не могут легко получить доступ к этой конфиденциальной информации посредством фишинга, программ-шантажистов и других распространенных действий киберкражи. Биометрические ключи и ключи FIDO2 также помогают устранить уязвимости в традиционных методах многофакторной проверки подлинности, таких как отправка одноразовых паролей (OTP) через текстовые сообщения.

  • Повышает конфиденциальность пользователей

    Проверка подлинности FIDO повышает конфиденциальность пользователей за счет безопасного хранения личных криптографических ключей и биометрических данных на пользовательских устройствах. Кроме того, поскольку этот метод проверки подлинности генерирует уникальные пары ключей, он избавляет поставщиков служб от необходимости отслеживать пользователей на разных сайтах. Кроме того, в ответ на обеспокоенность потребителей по поводу возможного неправомерного использования биометрических данных правительства принимают законы о конфиденциальности, запрещающие организациям продавать или передавать биометрические данные.

  • Повышает удобство использования

    Благодаря проверке подлинности FIDO люди могут быстро и удобно подтверждать свою личность с помощью ключей FIDO2, приложений для проверки подлинности, сканеров отпечатков пальцев или камер, встроенных в их устройства. Хотя пользователям необходимо выполнить второй или даже третий шаг безопасности (например, когда для проверки удостоверения требуется более одного биометрического показателя), они сохраняют время и силы, связанные с созданием, запоминанием, управлением и сбросом паролей.

  • Улучшение масштабируемости

    FIDO2 — это открытый, не требующий лицензий стандарт, позволяющий предприятиям и другим организациям масштабировать методы проверки подлинности без пароля по всему миру. С помощью FIDO2 они могут обеспечить безопасный и оптимизированный вход в систему для всех сотрудников, клиентов и партнеров независимо от выбранного ими браузера и платформы.

  • Упрощенное управление доступом

    ИТ-группам больше не нужно развертывать политики паролей и инфраструктуру и управлять ими, что снижает затраты и позволяет им сосредоточиться на более ценных видах деятельности. Кроме того, повышается продуктивность сотрудников службы поддержки, поскольку им не нужно поддерживать запросы на основе паролей, например, сброс паролей.

Что такое WebAuthn и CTAP2?

Набор спецификаций FIDO2 состоит из двух компонентов: Веб-проверка подлинности (WebAuthn) и Client-to-Authenticator Protocol 2 (CTAP2). Основной компонент, WebAuthn, представляет собой API JavaScript, который реализован в совместимых веб-браузерах и платформах, чтобы зарегистрированные устройства могли выполнять проверку подлинности FIDO2. Консорциум World Wide Web (W3C), международная организация по стандартизации World Wide Web, разработала WebAuthn в партнерстве с FIDO Alliance. WebAuthn стал официальным веб-стандартом W3C в 2019 году.

Второй компонент, CTAP2, разработанный FIDO Alliance, позволяет перемещаемым средствам проверки подлинности, таким как ключи безопасности FIDO2 и мобильные устройства, взаимодействовать с браузером и платформами, поддерживающими FIDO2.

Что такое FIDO U2F и FIDO UAF?

FIDO2 произошел от FIDO 1.0, первой спецификации проверки подлинности FIDO, выпущенной альянсом в 2014 году. Эти исходные спецификации включали протокол универсального второго фактора FIDO (FIDO U2F) и протокол универсальной структуры проверки подлинности FIDO (FIDO UAF).

FIDO U2F и FIDO UAF являются формами многофакторной проверки подлинности, которая требует двух или трех доказательств (или факторов) для проверки пользователя. Эти факторы могут быть чем-то, что знает только пользователь (например, код доступа или PIN-код), что он имеет (например, ключ FIDO или приложение для проверки подлинности на мобильном устройстве) или чем он является (например, биометрические данные).

Подробнее об этих спецификациях:

FIDO U2F

FIDO U2F усиливает стандарты авторизации на основе пароля с помощью двухфакторной проверки подлинности (2FA), которая проверяет пользователя с помощью двух доказательств. Протокол FIDO U2F требует, чтобы человек предоставил действительную комбинацию имени пользователя и пароля в качестве первого фактора, а затем использовал устройство USB, NFC или Bluetooth в качестве второго фактора, обычно подтверждая подлинность путем нажатия кнопки или ввода чувствительного ко времени OTP.

FIDO U2F является преемником CTAP 1 и предшественником CTAP2, который позволяет людям использовать мобильные устройства в дополнение к ключам FIDO в качестве устройств второго фактора.

FIDO UAF

FIDO UAF обеспечивает многофакторную проверку подлинности без пароля. В качестве первого фактора требуется, чтобы человек выполнил вход с помощью клиентского устройства, зарегистрированного в FIDO, что подтверждает присутствие пользователя с помощью биометрической проверки, такой как отпечаток пальца или сканирование лица, или с помощью PIN-кода. Затем устройство генерирует уникальную пару ключей в качестве второго фактора. Веб-сайт или приложение также может использовать третий фактор, например биометрические данные или географическое местоположение пользователя.

FIDO UAF является предшественником проверки подлинности без пароля FIDO2.

Способы внедрения FIDO2

Внедрение стандарта FIDO2 на веб-сайтах и в приложениях требует от организации современного оборудования и программного обеспечения. К счастью, все ведущие веб-платформы, включая Microsoft Windows, Apple iOS и MacOS, а также системы Android, а также все основные веб-браузеры, включая Microsoft Edge, Google Chrome, Apple Safari и Mozilla Firefox, поддерживают FIDO2. Решение системы управления идентификацией и доступом (IAM) также должно поддерживать проверку подлинности FIDO2.

Как правило, реализация проверки подлинности FIDO2 на новых или существующих веб-сайтах и приложениях влечет за собой следующие ключевые шаги:

  1. Определите способ входа пользователя в систему и методы аутентификации, а также установите политики управления доступом.
  2. Создайте новые или измените существующие страницы регистрации и входа в систему с учетом соответствующих спецификаций протокола FIDO.
  3. Настройте сервер FIDO для проверки подлинности запросов на регистрацию FIDO и проверку подлинности. Сервер FIDO может быть автономным сервером, интегрированным с веб-сервером или сервером приложений или предоставляться в виде модуля IAM.
  4. Создавайте новые или изменяйте существующие рабочие процессы проверки подлинности.

FIDO2 и биометрическая проверка подлинности

Биометрическая проверка подлинности использует уникальные биологические или поведенческие характеристики человека для подтверждения того, что человек является тем, кем он себя называет. Биометрические данные собираются и преобразуются в биометрические шаблоны, доступные только с помощью секретного алгоритма. Когда человек пытается войти в систему, система повторно собирает информацию, преобразует ее и сравнивает с сохраненными биометрическими данными.

Примеры биометрической проверки подлинности включают:

Биологические

  • Сканирование отпечатков пальцев
  • Сканирование Retina
  • Распознавание голоса
  • Сопоставление ДНК
  • Сканирование вен

Поведенческие

  • Использование сенсорного экрана
  • Скорость ввода с клавиатуры
  • Сочетания клавиш
  • Действия с мышью

Биометрическая проверка подлинности — это реальность на современных гибридных цифровых рабочих местах. Сотрудникам нравится тот факт, что это дает им возможность быстрой и безопасной проверки подлинности в любом месте по своему выбору. Предприятиям нравится, что это значительно уменьшает поверхность атаки, препятствуя киберпреступлениям, которые в противном случае могли бы быть нацелены на их данные и системы.

Однако биометрическая проверка подлинности не является полностью защищенной от хакеров. Например, злоумышленники могут использовать чужие биометрические данные, такие как фотография или силиконовый отпечаток пальца, чтобы выдать себя за этого человека. Или они могут объединить несколько сканирований отпечатков пальцев, чтобы создать первичное сканирование, которое предоставит им доступ к нескольким учетным записям пользователей.

Есть и другие недостатки биометрической проверки подлинности. Например, некоторым системам распознавания лиц присуща предвзятость в отношении женщин и цветных людей. Кроме того, некоторые организации предпочитают хранить биометрические данные на серверах баз данных, а не на устройствах конечных пользователей, что поднимает вопросы о безопасности и конфиденциальности. Тем не менее, многофакторная биометрическая проверка подлинности остается одним из наиболее безопасных доступных сегодня методов проверки удостоверений пользователей.

Примеры проверки подлинности FIDO2

Требования к безопасности и логистике для проверки удостоверений различаются внутри и между организациями. Ниже приведены распространенные способы, которыми организации в разных отраслях реализуют проверку подлинности FIDO2.

  • Банковское дело, финансовые службы и страхование

    Для защиты конфиденциальных бизнес-данных и данных клиентов сотрудники, работающие в корпоративных офисах, часто используют настольные компьютеры или ноутбуки, предоставляемые компанией, со структурами проверки подлинности платформы. Политика компании запрещает им использовать эти устройства в личных целях. Сотрудники филиалов и центров обработки вызовов на местах часто используют общие устройства и подтверждают свои удостоверения с помощью перемещаемых структур проверки подлинности.

  • Авиация и авиакомпании

    Организации в этих отраслях также должны принимать людей, которые работают в разных условиях и имеют разные обязанности. Руководители, сотрудники отдела кадров и другие офисные сотрудники часто используют выделенные настольные компьютеры и ноутбуки и проходят проверку подлинности с помощью платформенных, либо перемещаемых структур проверки подлинности. Агенты на посадке в аэропорту, механики самолетов и члены экипажа часто используют аппаратные ключи безопасности или приложения структур проверки подлинности на своих личных смартфонах для аутентификации на общих планшетах или рабочих станциях.

  • Производство

    Чтобы обеспечить физическую безопасность производственных объектов, авторизованные сотрудники и другие лица используют перемещающие структуры проверки подлинности, такие как смарт-карты с поддержкой FIDO2 и ключи FIDO2, или зарегистрированные личные смартфоны с структурами проверки подлинности платформы для разблокировки дверей. Кроме того, группы разработчиков продуктов часто используют выделенные настольные компьютеры или ноутбуки со структурами проверки подлинности платформы для доступа к веб-системам проектирования, содержащим конфиденциальную информацию.

  • Экстренные службы

    Государственные учреждения и другие поставщики экстренных служб не всегда могут аутентифицировать парамедиков и других лиц, оказывающих первую помощь, с помощью сканирования отпечатков пальцев или радужной оболочки глаза. Часто эти люди носят перчатки или защитные очки и в то же время им необходимо быстро получать доступ к веб-службам. В этих случаях они идентифицируются с помощью систем распознавания голоса. Также можно использовать новые технологии для сканирования формы ушей с помощью смартфонов.

Обеспечьте спокойствие и безопасность с помощью FIDO2

Проверка подлинности без пароля быстро становится лучшей практикой для IAM. Применяя FIDO2, вы знаете, что используете надежный стандарт, чтобы гарантировать, что пользователи являются теми, кем они себя называют.

Чтобы начать работу с FIDO2, внимательно оцените требования конкретной организации и отрасли к проверке личности. Затем оптимизируйте реализацию FIDO2 с помощью Microsoft Entra ID (ранее известного как Azure Active Directory). Мастер методов без пароля в Microsoft Entra ID упрощает управление Windows Hello для бизнеса, приложением Microsoft Authenticator и ключами безопасности FIDO2.

Подробнее о Microsoft Security

Microsoft Entra ID (ранее известный как Azure Active Directory)

Защитите доступ к ресурсам и данным с помощью строгой проверки подлинности и адаптивного доступа с учетом рисков.

Подробнее

Microsoft Entra Identity Governance

Повысьте производительность и укрепите безопасность за счет автоматизации доступа к приложениям и службам.

Подробнее

Управление разрешениями Microsoft Entra

Управляйте разрешениями для любого удостоверения или ресурса в вашей многооблачной инфраструктуре.

Подробнее

Проверенные учетные данные Microsoft Entra

Уверенно выдавайте и проверяйте рабочие и другие учетные данные с помощью решения на основе открытых стандартов.

Подробнее

Удостоверения рабочей нагрузки Microsoft Entra

Снижайте риски, предоставляя приложениям и службам условный доступ к облачным ресурсам в едином месте.

Подробнее

Вопросы и ответы

  • FIDO2 означает (Fast IDentity Online 2), новейший стандарт открытой проверки подключенный, выпущенный FIDO Alliance. Альянс, включающий Microsoft и другие технологические, коммерческие и правительственные организации, стремится исключить использование паролей в World Wide Web.

    Спецификации FIDO2 включают Web Authentication (WebAuthn), веб-API, позволяющий веб-службам взаимодействовать со структурами проверки подлинности платформы FIDO2 (такими как технологии распознавания отпечатков пальцев и лиц, встроенные в веб-браузеры и платформы). WebAuthn, разработанный World Wide Web Consortium (W3C) в сотрудничестве с FIDO Alliance, является формальным стандартом W3C.

    FIDO2 также включает протокол клиент-структура проверки подлинности 2 (CTAP2), разработанный альянсом. CTAP2 подключает перемещаемые структуры проверки подлинности (например, внешние ключи безопасности FIDO2 и мобильные устройства) к клиентские устройства FIDO2 через USB, BLE или NFC.

  • FIDO2 — это открытый, не требующий лицензий стандарт многофакторной проверки подлинности без пароля в мобильных и настольных средах. FIDO2 работает, используя шифрование с открытым ключом вместо паролей для проверки личности пользователей, препятствуя киберпреступникам, которые пытаются украсть учетные данные пользователя с помощью фишинга, вредоносных программ и других атак на основе паролей.

  • Преимущества проверки подлинности FIDO2 включают повышенную безопасность и конфиденциальность, удобство использования и улучшенную масштабируемость. FIDO2 также упрощает управление доступом для ИТ-групп и сотрудников службы поддержки за счет снижения рабочей нагрузки и затрат, связанных с управлением именами пользователей и паролями.

  • Ключ FIDO2, также называемый ключом безопасности FIDO2, представляет собой физическое аппаратное устройство, необходимое для двухфакторной и многофакторной проверки подлинности. В качестве перемещаемой структуры проверки подлинности FIDO он использует USB, NFC или Bluetooth для подключения к клиентскому устройству FIDO2, позволяя пользователям проверку подлинности на нескольких компьютерах, в офисе, дома или в другом месте.

    Клиентское устройство проверяет удостоверение пользователя, предлагая пользователю использовать ключ FIDO2 для выполнения жеста, например прикосновения к устройству считывания отпечатков пальцев, нажатия кнопки или ввода PIN-кода. К ключам FIDO2 относятся сменные ключи, смартфоны, планшеты, носимые устройства и другие устройства.

  • Организации развертывают методы проверки подлинности FIDO2 на основе своих уникальных требований безопасности, логистики и отрасли.

    Например, банки и производители, занимающиеся исследованиями, часто требуют, чтобы офисные и другие сотрудники использовали предоставленные компанией настольные компьютеры и ноутбуки, предназначенные только для коммерческого использования, со структурами проверки подлинности платформы. Организации, в которых люди находятся в движении, например, экипажи авиакомпаний и группы экстренного реагирования, вместо этого часто получают доступ к общим планшетам или рабочим станциям, а затем проходят проверку подлинности с помощью ключей безопасности или приложений для проверки подлинности на своих смартфонах.

Следите за новостями Microsoft 365