This is the Trace Id: 5196ba93b287e2d3cff104bfa33879b8
Gå till huvudinnehåll
Microsoft Security

Vad är FIDO2?

Lär dig grunderna i FIDO2-lösenordsfri autentisering, inklusive hur det fungerar och hjälper till att skydda individer och organisationer mot onlineattacker.

Minska risken med lösenordsfri autentisering

FIDO2 har definierats

FIDO2 (Fast IDentity Online 2) är en öppen standard för användar-autentisering som syftar till att stärka hur personer loggar in på onlinetjänster för att öka det övergripande förtroendet. FIDO2 stärker säkerheten och skyddar individer och organisationer mot cyberbrott genom att använda nätfiskeskyddade kryptografiska autentiseringsuppgifter för att verifiera användaridentiteter.

FIDO2 är den senaste standarden för öppen autentisering som utvecklats av FIDO Alliance, ett branschkonsortium av Microsoft och andra tekniska, kommersiella och statliga organisationer. Alliance släppte FIDO 1.0-autentiseringsstandarderna – som introducerade nätfiskebeständig multifaktorautentisering (MFA) – 2014 och den senaste lösenordsfria autentiseringen – FIDO2 (även kallas FIDO 2.0 eller FIDO 2) – 2018.

Vad är nycklar och hur relaterar de till FIDO2?

Oavsett hur långa eller komplexa, eller hur ofta de ändras, kan lösenord komprometteras genom att delas frivilligt eller ofrivilligt. Även med en stark lösenordsskyddslösning riskerar alla organisationer nätfiske, hackning och andra cyberattacker där lösenord blir stulna. Väl i fel händer kan lösenord användas för att få obehörig åtkomst till onlinekonton, enheter och filer.

Nycklar är FIDO2-inloggningsuppgifter som skapas med hjälp av kryptering med offentliga nycklar. De är en effektiv ersättning för lösenord och ökar cybersäkerheten samtidigt som du gör inloggning till webbprogram och webbplatser som stöds mer användarvänliga än traditionella metoder.

FIDO2 lösenordslös autentisering förlitar sig på kryptografiska algoritmer för att generera ett par privata och offentliga nycklar – långa, slumpmässiga tal som är matematiskt relaterade. Nyckelparet används för att utföra användarautentisering direkt på en slutanvändares enhet, oavsett om det är en stationär dator, bärbar dator, mobiltelefon eller säkerhetsnyckel. En nyckel kan bindas till en enskild användarenhet eller synkroniseras automatiskt mellan en användares flera enheter via en molntjänst.

Hur fungerar FIDO2-autentisering?

FIDO2 lösenordsfri autentisering fungerar vanligtvis genom att använda nycklar som den första och primära faktorn för kontoautentisering. När en användare registrerar sig med en FIDO2-stödd onlinetjänst genererar den klientenhet som är registrerad för att utföra autentiseringen ett nyckelpar som endast fungerar för webbappen eller webbplatsen.

Den offentliga nyckeln krypteras och delas med tjänsten, men den privata nyckeln förblir säker på användarens enhet. Varje gång användaren sedan försöker logga in på tjänsten presenterar tjänsten en unik utmaning för klienten. Klienten aktiverar nyckelenheten för att signera begäran med den privata nyckeln och returnera den. På så sätt skyddas processen kryptografiskt från nätfiske.

Typer av FIDO2-autentiserare

Innan enheten kan generera en unik FIDO2-uppsättning nycklar måste den bekräfta att användaren som begär åtkomst inte är en obehörig användare eller typ av skadlig kod. Den gör detta med en autentisering, som är en enhet som kan acceptera en PIN-kod, biometrisk eller annan användargest.

Det finns två typer av FIDO-autentiserare:

Centrala (eller plattformsoberoende) autentiserare

Dessa autentiserare är bärbara maskinvaruenheter som är separata från användarnas klientenheter. Centrala autentiserare omfattar säkerhetsnycklar, smartphones, surfplattor, kroppsnära enheter och andra enheter som ansluter till klientenheter via USB-protokollet eller NFC (near-field communication) och trådlös Bluetooth-teknik. Användare verifierar sina identiteter på flera olika sätt, till exempel genom att ansluta en FIDO-nyckel och trycka på en knapp eller genom att ange biometrisk data, till exempel ett fingeravtryck, på sin smartphone. Centrala autentiserare kallas även plattformsoberoende autentiserare eftersom de tillåter användare att autentisera på flera datorer, när som helst och var som helst.

Plattformsautentiserare (eller bundna)

Dessa autentiserare är inbäddade i användarnas klientenheter, oavsett om det är en stationär dator, bärbar dator, surfplatta eller smartphone. Plattformsautentiserare består av biometriska funktioner och maskinvarukretsar för att skydda nycklar och kräver att användaren loggar in på FIDO-tjänster med sin klientenhet och sedan autentiserar via samma enhet, vanligtvis med biometrisk kod eller EN PIN-kod.

Exempel på plattformsautentiserare som använder biometriska data är Microsoft Windows Hello, Apple Touch ID och Face ID och Android Fingerprint.

Registrera och logga in på FIDO2-tjänster som stöds:

Följ de här grundläggande stegen för att dra nytta av den ökade säkerhet som FIDO2-autentisering erbjuder:

Så här registrerar du dig för en FIDO2-tjänst som stöds:

  • Steg 1: När du registrerar dig för en tjänst uppmanas du att välja en FIDO-autentiseringsmetod som stöds.

  • Steg 2: Aktivera FIDO-autentiseringen med en enkel gest som autentiseringen stöder, oavsett om du anger en PIN-kod, rör vid en fingeravtrycksläsare eller infogar en FIDO2-säkerhetsnyckel.

  • Steg 3: När autentiseringen har aktiverats genererar enheten ett privat och offentligt nyckelpar som är unikt för din enhet, ditt konto och tjänsten.

  • Steg 4: Din lokala enhet lagrar på ett säkert sätt den privata nyckeln och eventuell konfidentiell information som rör autentiseringsmetoden, till exempel biometriska data. Den offentliga nyckeln krypteras och, tillsammans med ett slumpmässigt genererat autentiserings-id, registreras den med tjänsten och lagras på dess autentiseringsserver.

Så här loggar du in på en FIDO2-tjänst som stöds:

  • Steg 1: Tjänsten utfärdar en kryptografisk utmaning för att bekräfta din närvaro.

  • Steg 2: När du uppmanas till det utför du samma autentiseringsgest som användes under kontoregistreringen. När du har bekräftat din närvaro med gesten använder enheten sedan den privata nyckel som lagras lokalt på enheten för att signera utmaningen.

  • Steg 3: Din enhet skickar tillbaka den signerade utmaningen till tjänsten, som verifierar den med den säkert registrerade offentliga nyckeln.

  • Steg 4: När du är klar är du inloggad.

Vilka är fördelarna med FIDO2-autentisering?

Fördelarna med FIDO2-lösenordsfri autentisering är ökad säkerhet och sekretess, användarvänliga upplevelser och förbättrad skalbarhet. FIDO2 minskar också arbetsbelastningar och kostnader som är kopplade till åtkomsthantering.

Ökar säkerheten

FIDO2-lösenordsfri autentisering ökar avsevärt inloggningssäkerhet genom att förlita sig på unika nycklar. Med FIDO2 kan hackare inte enkelt få åtkomst till den här känsliga informationen via Nätfiskenätfiske, utpressningstrojaneroch andra vanliga cyberhot. Biometriska nycklar och FIDO2-nycklar hjälper också till att eliminera sårbarheter i traditionella multifaktorautentiseringsmetoder, till exempel att skicka engångslösenord (OTPs) via sms.

Förbättrar användarsekretessen

FIDO-autentisering stärker användarsekretessen genom att lagra privata kryptografiska nycklar och biometriska data på användarenheter på ett säkert sätt. Eftersom den här autentiseringsmetoden genererar unika nyckelpar hjälper det dessutom till att förhindra att tjänstleverantörer spårar användare över webbplatser. Som svar på konsumentproblem kring potentiellt missbruk av biometriska data antar myndigheter dessutom sekretesslagar som hindrar organisationer från att sälja eller dela biometrisk information.

Främjar användarvänlighet

Med FIDO-autentisering kan enskilda personer snabbt och enkelt autentisera sina identiteter med FIDO2-nycklar, autentiseringsappar eller fingeravtrycksläsare eller kameror som är inbäddade i deras enheter. Även om användarna måste utföra ett andra eller till och med tredje säkerhetssteg (till exempel när mer än en biometrik krävs för identitetsverifiering), sparar de sig själva den tid och det besvär som är kopplat till att skapa, komma ihåg, hantera och återställa lösenord.

Enhetlig skalbarhet

FIDO2 är en öppen licensfri standard som gör det möjligt för företag och andra organisationer att skala lösenordslösa autentiseringsmetoder över hela världen. Med FIDO2 kan de leverera säkra och smidiga inloggningsupplevelser till alla anställda, kunder och partner oavsett vilken webbläsare och plattform de har valt.

Förenklar åtkomsthantering

IT-team behöver inte längre distribuera och hantera lösenordsprinciper och infrastruktur, minska kostnaderna och frigöra dem att fokusera på aktiviteter med högre värde. Dessutom ökar produktiviteten bland supportpersonalen, eftersom de inte behöver stödja lösenordsbaserade begäranden, till exempel återställa lösenord.

Vad är WebAuthn och CTAP2?

FIDO2-uppsättningen med specifikationer har två komponenter: Webbautentisering (WebAuthn) och CTAP2 (Client-to-Authenticator Protocol 2). Huvudkomponenten WebAuthn är ett JavaScript-API som implementeras i kompatibla webbläsare och plattformar så att registrerade enheter kan utföra FIDO2-autentisering. World Wide Web Consortium (W3C), den internationella standardorganisationen för World Wide Web, utvecklade WebAuthn i samarbete med FIDO Alliance. WebAuthn blev en formell W3C-webbstandard 2019.

Den andra komponenten, CTAP2, som utvecklats av FIDO Alliance, gör det möjligt för centrala autentiserare, till exempel FIDO2-säkerhetsnycklar och mobila enheter, att kommunicera med webbläsare och plattformar som stöds av FIDO2.

Vad är FIDO U2F och FIDO UAF?

FIDO2 utvecklades från FIDO 1.0, de första FIDO-autentiseringsspecifikationerna som släpptes av alliance 2014. De ursprungliga specifikationerna inkluderade FIDO Universal Second Factor-protokollet (FIDO U2F) och FIDO UAF-protokollet (Universal Authentication Framework).

Både FIDO U2F och FIDO UAF är former av multifaktorautentisering, vilket kräver två eller tre bevis (eller faktorer) för att verifiera en användare. Dessa faktorer kan vara något som bara användaren känner till (till exempel ett lösenord eller en PIN-kod), har (till exempel en FIDO-nyckel eller en autentiseringsapp på en mobil enhet) eller är (till exempel biometrisk).

Mer information om dessa specifikationer:

FIDO U2F

FIDO U2F stärker lösenordsbaserade auktoriseringsstandarder med tvåfaktorautentisering (2FA), som validerar användaren med två bevis. FIDO U2F-protokollet kräver att en person anger en giltig kombination av användarnamn och lösenord som en första faktor och sedan använder en USB-, NFC- eller Bluetooth-enhet som en andra faktor, som vanligtvis autentiseras genom att trycka på en knapp eller tangent i ett tidskänsligt engångslösenord.

FIDO U2F är efterföljare till CTAP 1 och föregångare till CTAP2, som gör att enskilda användare kan använda mobila enheter utöver FIDO-nycklar som andra faktorenheter.

FIDO UAF

FIDO UAF underlättar multifaktor lösenordsfri autentisering. Det kräver att en person loggar in med en FIDO-registrerad klientenhet – som bekräftar användarens närvaro med en biometrisk kontroll, till exempel ett fingeravtryck eller ansiktsskanning, eller med en PIN-kod – som första faktor. Enheten genererar sedan det unika nyckelparet som en andra faktor. En webbplats eller app kan också använda en tredje faktor, till exempel som biometrisk data eller användargeografisk plats.

FIDO UAF är föregångaren till FIDO2-lösenordsfri autentisering.

Så implementeras FIDO2

Att implementera FIDO2-standarden på webbplatser och appar kräver att din organisation har modern maskinvara och programvara. Som tur är har alla ledande webbplattformar, inklusive Microsoft Windows, Apple iOS och MacOS samt Android-system och alla större webbläsare, inklusive Microsoft Edge, Google Chrome, Apple Safari och Mozilla Firefox, stöd för FIDO2. Din Identitets- och åtkomsthantering (IAM)identitets- och åtkomsthanteringslösning (IAM) måste också ha stöd för FIDO2-autentisering.

I allmänhet innebär implementering av FIDO2-autentisering på nya eller befintliga webbplatser och appar följande viktiga steg:

  1. Definiera användarinloggningsupplevelsen och autentiseringsmetoderna och ange åtkomstkontroll-principer.
  2. Skapa nya eller ändra befintliga registrerings- och inloggningssidor med lämpliga FIDO-protokollspecifikationer.
  3. Konfigurera en FIDO-server för att autentisera FIDO-registrerings- och autentiseringsbegäranden. FIDO-servern kan vara en fristående server, integreras med en webb- eller programserver eller tillhandahållas som en IAM-modul.
  4. Skapa nya eller ändra befintliga autentiseringsarbetsflöden.

FIDO2 och biometrisk autentisering

Biometrisk autentisering använder en persons unika biometriska egenskaper eller beteendeegenskaper för att bekräfta att personen är den personen som de utger sig för att vara. Biometriska data samlas in och konverteras till biometriska mallar som endast är tillgängliga med en hemlig algoritm. När den enskilda personen försöker logga in tar systemet fram informationen, konverterar den och jämför den med den lagrade biometrin.

Exempel på biometrisk autentisering är följande:

Biologiska

  • Fingeravtrycksskanning
  • Retina-skanning
  • Röstigenkänning
  • DNA-matchning
  • Åderskanning

Beteende

  • Pekskärmsanvändning
  • Inmatningshastighet
  • Kortkommandon
  • Musaktivitet

Biometrisk autentisering är en realitet i dagens hybrida, digitala arbetsplatser. Anställda gillar det faktum att det ger dem flexibilitet att snabbt och säkert autentisera var de än väljer att göra det. Företag som använder det minskar sin attackyta avsevärt och undviker cyberbrott som annars kan rikta in sig på deras data och system.

Men biometrisk autentisering är inte helt och hållet hackersäkert. Dåliga aktörer kan till exempel använda någon annans biometriska data, till exempel ett foto eller ett fingeravtryck av kisel, för att personifiera den personen. Eller så kan de kombinera flera fingeravtrycksskanningar för att skapa en primär skanning som ger dem åtkomst till flera användarkonton.

Det finns andra nackdelar med biometrisk autentisering. Vissa system för ansiktsigenkänning har till exempel en inbyggd bias mot kvinnor och mörkhyade personer. Dessutom väljer vissa organisationer att lagra biometriska data på databasservrar i stället för på slutanvändarenheter, vilket ger upphov till frågor om säkerhet och sekretess. Multifaktor-biometrisk autentisering är fortfarande en av de säkraste metoderna som är tillgängliga idag för att verifiera användaridentiteter.

Exempel på FIDO2-autentisering

Säkerhets- och logistiska krav för identitetsverifiering varierar inom och mellan organisationer. Följande är vanliga sätt som organisationer i olika branscher implementerar FIDO2-autentisering på.

Banktjänster, finansiella tjänster och försäkringstjänster

För att skydda känsliga affärs- och kunddata använder anställda som arbetar på företagskontor ofta stationära datorer eller bärbara datorer med plattformsautentiserare. Företagspolicyn förbjuder dem att använda dessa enheter för personligt bruk. Anställda på platsavdelningen och callcenter använder ofta delade enheter och verifierar sina identiteter med hjälp av centrala autentiseringar.

Flyg och flygbolag

Organisationer i dessa branscher måste också ta emot personer som arbetar i olika omgivningar och har olika ansvarsområden. Chefer, personal och andra kontorsbaserade anställda använder ofta dedikerade stationära och bärbara datorer och autentiserare med plattforms- eller roamingautentisering. Flygplatsagenter, flygplansmekaniker och personal använder ofta säkerhetsnycklar för maskinvara eller autentiseringsappar på sina personliga smartphones för att autentisera på delade surfplattor eller arbetsstationer.

Tillverkning

För att säkerställa den fysiska säkerheten för tillverkningsinrättningar använder behöriga anställda och andra personer roamingautentiserare – som FIDO2-aktiverade smartkort och FIDO2-nycklar – eller registrerade personliga smartphones med plattformsautentiserare för att låsa upp dörrar. Dessutom använder produktdesignteam ofta dedikerade stationära datorer eller bärbara datorer med plattformsautentiserare för att få åtkomst till onlinedesignsystem som innehåller egen information.

Räddningstjänsten

Myndigheter och andra leverantörer av nödtjänster kan inte alltid autentisera mottagare och andra första hjälpen-arbetare med fingeravtrycks- eller irisskanning. Dessa personer använder ofta handskar eller ögonskydd samtidigt som de snabbt behöver komma åt onlinetjänster. I dessa fall identifieras de i stället via röstigenkänningssystem. Nya tekniker för att skanna öronformer med smartphones kan också användas.

Skapa trygghetssäkerhet med FIDO2

Lösenordsfri autentiseringLösenordsfri autentisering blir snabbt en bra metod för IAM. Genom att använda FIDO2 vet du att du använder en betrodd standard för att se till att användarna är de som de säger att de är.

Kom igång med FIDO2 genom att noggrant utvärdera dina specifika organisations- och branschkrav för identitetsverifiering. Effektivisera sedan FIDO2-implementeringen med Microsoft Entra ID (kallades tidigare Azure Active Directory). Guiden för lösenordsfria metoder i Microsoft Entra ID förenklar hanteringen av Windows Hello för företag, appen Microsoft Authenticator och FIDO2-säkerhetsnycklar.

Mer information om Microsoft Security

Microsoft Entra ID (tidigare Azure Active Directory)

Skydda åtkomsten till resurser och data med stark autentisering och riskbaserade principer för anpassningsbar åtkomst.

Mer information

Microsoft Entra identitetshantering

Öka produktiviteten och öka säkerheten genom att automatisera åtkomsten till appar och tjänster.

Mer information

Microsoft Entra – verifierat ID

Utfärda och verifiera säkert arbetsplats och andra autentiseringsuppgifter med en lösning med öppen standard.

Läs mer

Microsoft Entra Workload ID

Minska risken genom att bevilja appar och tjänster villkorsstyrd åtkomst till molnresurser, allt på ett och samma ställe.

Mer information

Vanliga frågor och svar

  • FIDO2 står för (Fast IDentity Online 2), den senaste öppna autentiseringsstandarden som släppts av FIDO Alliance. Med Microsoft och andra tekniska, kommersiella och myndighetsorganisationer vill alliansen eliminera användningen av lösenord på World Wide Web.

    FIDO2-specifikationerna innehåller webbautentisering (WebAuthn), ett webb-API som gör att onlinetjänster kan kommunicera med FIDO2-plattformsautentiserare (till exempel fingeravtrycks- och ansiktsigenkänningsteknik inbäddad i webbläsare och plattformar). WebAuthn har utvecklats av World Wide Web Consortium (W3C) i samarbete med FIDO Alliance och är en formell W3C-standard.

    FIDO2 innehåller även CTAP2 (Client-to-Authenticator Protocol 2), som utvecklats av alliansen. CTAP2 ansluter centrala autentiserare (till exempel externa FIDO2-säkerhetsnycklar och mobila enheter) till FIDO2-klientenheter via USB, BLE eller NFC.

  • FIDO2 är en öppen standard för multifaktor-lösenordsfri autentisering i mobil- och skrivbordsmiljöer. FIDO2 fungerar med kryptering av offentliga nycklar i stället för lösenord för att verifiera användaridentiteter, förhindra cyberbrottslingar som försöker stjäla autentiseringsuppgifter via nätfiske, skadlig kod och andra lösenordsbaserade attacker.

  • Fördelarna med FIDO2 lösenordsfri autentisering är ökad säkerhet och sekretess, användarvänliga upplevelser och förbättrad skalbarhet. FIDO2 förenklar också åtkomstkontroll för IT-team och supportpersonal genom att minska arbetsbelastningar och kostnader för hantering av användarnamn och lösenord.

  • En FIDO2-nyckel, även kallad FIDO2-säkerhetsnyckel, är en fysisk maskinvaruenhet som krävs för tvåfaktors- och multifaktorautentisering. Den fungerar som en central FIDO-autentisering och använder USB, NFC eller Bluetooth för att ansluta till en FIDO2-klientenhet, så att användare kan autentisera på flera datorer, oavsett om de är på kontoret, hemma eller i en annan miljö.

    Klientenheten verifierar användarens identitet genom att be användaren att använda FIDO2-tangenten för att göra en gest, till exempel vidröra en fingeravtrycksläsare, trycka på en knapp eller ange en PIN-kod. FIDO2-nycklar omfattar plugin-nycklar, smartphones, surfplattor, kroppsnära enheter och andra enheter.

  • Organisationer distribuerar FIDO2-autentiseringsmetoder baserat på deras unika säkerhet, logistik och branschkrav.

    Till exempel kräver banker och forskningsdrivna tillverkare ofta att kontorsbaserade och andra anställda använder företagsspecifika stationära datorer och bärbara datorer med plattformsautentiserare. Organisationer med personer på resande fot, till exempel flygbolag och räddningstjänstteam, kommer i stället ofta åt delade surfplattor eller arbetsstationer och autentiserar sedan med säkerhetsnycklar eller autentiseringsappar på sina smartphones.

Följ Microsoft Security