Trace Id is missing
Bỏ qua để tới nội dung chính
Microsoft Security

FIDO2 là gì?

Tìm hiểu thông tin cơ bản về xác thực không cần mật khẩu FIDO2, bao gồm cách xác thực này hoạt động và giúp bảo vệ các cá nhân và tổ chức trước các cuộc tấn công trực tuyến.

Giảm rủi ro với xác thực không cần mật khẩu

Định nghĩa về FIDO2

FIDO2 (Fast IDentity Online 2) là một tiêu chuẩn mở để xác thực người dùng nhằm củng cố cách mọi người đăng nhập vào dịch vụ trực tuyến để tăng độ tin cậy tổng thể. FIDO2 tăng cường bảo mật và bảo vệ các cá nhân và tổ chức khỏi tội phạm mạng bằng cách sử dụng thông tin xác thực mã hóa chống lừa đảo qua mạng để xác thực danh tính người dùng.

FIDO2 là tiêu chuẩn xác thực mở mới nhất được phát triển bởi FIDO Alliance, một liên minh ngành bao gồm Microsoft và các tổ chức công nghệ, thương mại và chính phủ khác. Liên minh đã phát hành các tiêu chuẩn xác thực FIDO 1.0—giới thiệu xác thực đa yếu tố chống lừa đảo qua mạng (MFA)—vào năm 2014—và tiêu chuẩn xác thực không cần mật khẩu mới nhất—FIDO2 (còn được gọi là FIDO 2.0 hoặc FIDO 2)—trong năm 2018.

Khóa truy nhập là gì và chúng có liên quan như thế nào với FIDO2?

Bất kể mật khẩu được thay đổi bao lâu, mức độ phức tạp hay tần suất thay đổi như thế nào, mật khẩu vẫn có thể bị xâm phạm nếu được chia sẻ tự nguyện hay không tự nguyện. Ngay cả với giải pháp bảo vệ bằng mật khẩu mạnh, mọi tổ chức đều có nguy cơ bị lừa đảo qua mạng, xâm nhập và các cuộc tấn công qua mạng khác khiến mật khẩu bị đánh cắp. Khi rơi vào tay kẻ xấu, mật khẩu có thể được sử dụng để truy nhập trái phép vào các tài khoản, thiết bị và tệp trực tuyến.

Khóa truy nhập là thông tin xác thực đăng nhập FIDO2 được tạo bằng kỹ thuật mã hóa khóa công khai. Là giải pháp thay thế mật khẩu hiệu quả, khóa truy nhập sẽ nâng cao an ninh mạng đồng thời giúp đăng nhập vào các ứng dụng web và trang web được hỗ trợ thân thiện với người dùng hơn so với phương pháp truyền thống.

Xác thực không cần mật khẩu FIDO2 dựa trên thuật toán mã hóa để tạo ra một cặp khóa truy nhập riêng tư và công khai—là các con số dài, ngẫu nhiên có liên quan về mặt toán học. Cặp khóa được sử dụng để thực hiện xác thực người dùng trực tiếp trên thiết bị của người dùng cuối, dù là máy tính để bàn, máy tính xách tay, điện thoại di động hay khóa bảo mật. Khóa truy nhập có thể được liên kết với một thiết bị người dùng duy nhất hoặc tự động đồng bộ trên nhiều thiết bị của người dùng thông qua dịch vụ đám mây.

Xác thực FIDO2 hoạt động như thế nào?

Xác thực không cần mật khẩu FIDO2 hoạt động bằng cách thường sử dụng khóa truy nhập làm yếu tố xác thực tài khoản đầu tiên và chính. Nói tóm lại, khi người dùng đăng ký dịch vụ trực tuyến được FIDO2 hỗ trợ, thiết bị máy khách đã đăng ký để thực hiện xác thực sẽ tạo ra một cặp khóa chỉ hoạt động cho ứng dụng web hoặc trang web đó.

Khóa công khai được mã hóa và chia sẻ với dịch vụ, nhưng khóa riêng tư vẫn được giữ an toàn trên thiết bị của người dùng. Sau đó, mỗi lần người dùng tìm cách đăng nhập vào dịch vụ, dịch vụ sẽ đưa ra một thử thách duy nhất cho máy khách. Máy khách kích hoạt thiết bị khóa truy nhập để ký yêu cầu bằng khóa riêng tư và trả lại. Điều này giúp quy trình được bảo vệ khỏi lừa đảo qua mạng bằng mã hóa.

Các loại trình xác thực FIDO2

Trước khi thiết bị có thể tạo một bộ khóa truy nhập FIDO2 duy nhất, thiết bị phải xác nhận rằng người dùng đang yêu cầu quyền truy nhập không phải là người dùng trái phép hoặc loại phần mềm gây hại. Việc xác nhận được thực hiện bằng trình xác thực, là thiết bị có thể chấp nhận mã PIN, dữ liệu sinh trắc hoặc thao tác khác của người dùng.

Có hai loại trình xác thực FIDO:

Trình xác thực chuyển vùng (hoặc đa nền tảng)

Các trình xác thực này là các thiết bị phần cứng di động tách biệt với thiết bị máy khách của người dùng. Trình xác thực chuyển vùng bao gồm khóa bảo mật, điện thoại thông minh, máy tính bảng, thiết bị đeo và các thiết bị khác kết nối với thiết bị máy khách thông qua giao thức USB hoặc giao tiếp trường gần (NFC) và công nghệ không dây Bluetooth. Người dùng xác minh danh tính của mình theo nhiều cách khác nhau, chẳng hạn như bằng cách cắm khóa FIDO và nhấn nút hoặc bằng cách cung cấp dữ liệu sinh trắc, chẳng hạn như dấu vân tay, trên điện thoại thông minh của họ. Trình xác thực chuyển vùng còn được gọi là trình xác thực đa nền tảng vì chúng cho phép người dùng xác thực trên nhiều máy tính, mọi lúc, mọi nơi.

Trình xác thực nền tảng (hoặc liên kết)

Các trình xác thực này được nhúng vào thiết bị máy khách của người dùng, dù là máy tính để bàn, máy tính xách tay, máy tính bảng hay điện thoại thông minh. Bao gồm các khả năng sinh trắc học và chip phần cứng để bảo vệ khóa truy nhập, trình xác thực nền tảng yêu cầu người dùng đăng nhập vào các dịch vụ được FIDO hỗ trợ bằng thiết bị máy khách của họ, sau đó xác thực thông qua cùng một thiết bị, thường bằng dữ liệu sinh trắc hoặc mã PIN.

Ví dụ về các trình xác thực nền tảng sử dụng dữ liệu sinh trắc bao gồm Microsoft Windows Hello, Apple Touch ID và Face ID, và Android Fingerprint.

Cách đăng ký và đăng nhập vào các dịch vụ được FIDO2 hỗ trợ:

Để tận dụng tính năng bảo mật nâng cao mà xác thực FIDO2 mang lại, hãy làm theo các bước cơ bản sau:

Cách đăng ký các dịch vụ được FIDO2 hỗ trợ:

Bước 1: Khi đăng ký dịch vụ, bạn sẽ được nhắc chọn phương pháp trình xác thực FIDO được hỗ trợ.

Bước 2: Kích hoạt trình xác thực FIDO bằng một thao tác đơn giản mà trình xác thực hỗ trợ, dù nhập mã PIN, chạm vào đầu đọc dấu vân tay hay cắm khóa bảo mật FIDO2.

Bước 3: Sau khi trình xác thực được kích hoạt, thiết bị của bạn sẽ tạo một cặp khóa riêng tư và khóa công khai duy nhất cho dịch vụ, thiết bị, tài khoản của bạn.

Bước 4: Thiết bị cục bộ của bạn lưu trữ an toàn khóa riêng tư và mọi thông tin bí mật liên quan đến phương pháp xác thực, chẳng hạn như dữ liệu sinh trắc của bạn. Khóa công khai được mã hóa và cùng với ID thông tin xác thực được tạo ngẫu nhiên, được đăng ký với dịch vụ và được lưu trữ trên máy chủ trình xác thực của dịch vụ.

Cách đăng nhập dịch vụ được FIDO2 hỗ trợ:

Bước 1: Dịch vụ đưa ra thử thách mã hóa để xác nhận sự hiện diện của bạn.

Bước 2: Khi được nhắc, hãy thực hiện cùng một thao tác trình xác thực được sử dụng trong quá trình đăng ký tài khoản. Sau khi bạn xác nhận sự hiện diện của mình bằng thao tác, thiết bị của bạn sau đó sẽ sử dụng khóa riêng tư được lưu trữ cục bộ trên thiết bị của bạn để ký thử thách.

Bước 3: Thiết bị của bạn gửi thử thách đã ký trở lại dịch vụ để xác minh thử thách bằng khóa công khai được đăng ký bảo mật.

Bước 4: Sau khi hoàn tất, bạn sẽ được đăng nhập.

Lợi ích của xác thực FIDO2 là gì?

Lợi ích của xác thực không cần mật khẩu FIDO2 bao gồm bảo mật và quyền riêng tư nâng cao hơn, trải nghiệm thân thiện với người dùng và cải thiện khả năng mở rộng. FIDO2 cũng giảm khối lượng công việc và chi phí liên quan đến quản lý quyền truy nhập.

Tăng cường bảo mật

Xác thực không cần mật khẩu FIDO2 giúp tăng cường đáng kể tính bảo mật đăng nhập bằng cách dựa vào các khóa truy nhập duy nhất. Với FIDO2, tin tặc không thể dễ dàng truy nhập vào thông tin nhạy cảm này thông qua lừa đảo qua mạng, mã độc tống tiền và các hành vi lừa đảo qua mạng phổ biến khác. Sinh trắc học và khóa FIDO2 cũng giúp loại bỏ các lỗ hổng bảo mật trong phương pháp xác thực đa yếu tố truyền thống, chẳng hạn như gửi mật khẩu một lần (OTP) thông qua tin nhắn văn bản.

Tăng cường quyền riêng tư của người dùng

Xác thực FIDO tăng cường quyền riêng tư của người dùng bằng cách lưu trữ an toàn khóa mã hóa riêng tư và dữ liệu sinh trắc trên thiết bị người dùng. Ngoài ra, vì phương pháp xác thực này tạo ra các cặp khóa duy nhất, phương pháp này sẽ giúp ngăn các nhà cung cấp dịch vụ theo dõi người dùng trên các trang web. Ngoài ra, để trả lời các mối lo ngại của người tiêu dùng về việc sử dụng sai dữ liệu sinh trắc tiềm ẩn, chính phủ sẽ ban hành luật về quyền riêng tư ngăn các tổ chức bán hoặc chia sẻ thông tin sinh trắc.

Tăng mức độ dễ sử dụng

Với xác thực FIDO, các cá nhân có thể xác thực nhanh chóng và thuận tiện danh tính của mình bằng cách sử dụng khóa FIDO2, ứng dụng trình xác thực hoặc đầu đọc dấu vân tay hay camera được nhúng trong thiết bị của họ. Mặc dù người dùng phải thực hiện bước bảo mật thứ hai hoặc thậm chí thứ ba (chẳng hạn như khi yêu cầu nhiều dữ liệu sinh trắc để xác minh danh tính), nhưng họ vẫn tiết kiệm được thời gian và sự phức tạp của việc tạo, ghi nhớ, quản lý và đặt lại mật khẩu.

Cải thiện khả năng mở rộng

FIDO2 là tiêu chuẩn mở, không cần giấy phép cho phép các doanh nghiệp và các tổ chức khác mở rộng các phương pháp xác thực không cần mật khẩu trên thế giới. Với FIDO2, tất cả nhân viên, khách hàng và đối tác có thể trải nghiệm đăng nhập an toàn, đơn giản bất kể trình duyệt và nền tảng mà họ đã chọn.

Đơn giản hóa việc quản lý truy nhập

Các nhóm CNTT không còn cần triển khai và quản lý cơ sở hạ tầng cũng như chính sách mật khẩu, giảm chi phí và giải phóng chúng để tập trung vào các hoạt động có giá trị cao hơn. Ngoài ra, năng suất giữa các nhân viên bộ phận trợ giúp tăng lên vì họ không phải hỗ trợ các yêu cầu dựa trên mật khẩu, chẳng hạn như đặt lại mật khẩu.

WebAuthn và CTAP2 là gì?

Bộ thông số kỹ thuật FIDO2 có hai cấu phần: Web Authentication (WebAuthn) và Client-to-Authenticator Protocol 2 (CTAP2). Cấu phần chính, WebAuthn, là một API JavaScript được triển khai trong các nền tảng và trình duyệt web tuân thủ để các thiết bị đã đăng ký có thể thực hiện xác thực FIDO2. World Wide Web Consortium (W3C), tổ chức tiêu chuẩn quốc tế cho World Wide Web, đã hợp tác với FIDO Alliance để phát triển WebAuthn. WebAuthn đã trở thành tiêu chuẩn web W3C chính thức trong năm 2019.

Cấu phần thứ hai, CTAP2, được FIDO Alliance phát triển, cho phép các trình xác thực chuyển vùng, chẳng hạn như thiết bị di động và khóa bảo mật FIDO2, giao tiếp với các nền tảng và trình duyệt được FIDO2 hỗ trợ.

FIDO U2F và FIDO UAF là gì?

FIDO2 đã phát triển từ FIDO 1.0, các thông số xác thực FIDO đầu tiên được liên minh phát hành vào năm 2014. Các thông số kỹ thuật ban đầu này bao gồm giao thức FIDO Universal Second Factor (FIDO U2F) và giao thức FIDO Universal Authentication Framework (FIDO UAF).

Cả FIDO U2F và FIDO UAF đều là các dạng xác thực đa yếu tố, yêu cầu hai hoặc ba bằng chứng (hoặc yếu tố) để xác thực người dùng. Những yếu tố này có thể là những yếu tố mà chỉ người dùng biết (chẳng hạn như mật mã hoặc mã PIN), tài sản sở hữu (chẳng hạn như khóa FIDO hoặc ứng dụng trình xác thực trên thiết bị di động) hoặc yếu tố hiện có (chẳng hạn như dữ liệu sinh trắc).

Tìm hiểu thêm về các thông số kỹ thuật này:

FIDO U2F

FIDO U2F tăng cường các tiêu chuẩn xác thực dựa trên mật khẩu với xác thực hai yếu tố (2FA), giúp xác thực người dùng bằng hai bằng chứng. Giao thức FIDO U2F yêu cầu một cá nhân cung cấp tổ hợp tên người dùng và mật khẩu hợp lệ làm yếu tố đầu tiên, sau đó sử dụng thiết bị USB, NFC hoặc Bluetooth làm yếu tố thứ hai, thường xác thực bằng cách nhấn nút hoặc nhập OTP có giới hạn thời gian.

FIDO U2F là phiên bản kế nhiệm của CTAP 1 và phiên bản tiền nhiệm của CTAP2, cho phép các cá nhân sử dụng thiết bị di động ngoài các khóa FIDO làm thiết bị yếu tố thứ hai.

FIDO UAF

FIDO UAF hỗ trợ xác thực đa yếu tố không cần mật khẩu. Quy trình này yêu cầu một cá nhân đăng nhập bằng thiết bị máy khách được đăng ký FIDO—xác nhận sự hiện diện của người dùng bằng kiểm tra sinh trắc học, chẳng hạn như dấu vân tay hoặc quét khuôn mặt hoặc bằng mã PIN—là yếu tố đầu tiên. Sau đó, thiết bị sẽ tạo cặp khóa duy nhất làm yếu tố thứ hai. Một trang web hoặc ứng dụng cũng có thể sử dụng yếu tố thứ ba, chẳng hạn như dữ liệu sinh trắc hoặc vị trí địa lý của người dùng.

FIDO UAF là phiên bản tiền nhiệm của phương pháp xác thực không cần mật khẩu FIDO2.

Cách triển khai FIDO2

Việc triển khai tiêu chuẩn FIDO2 trên các trang web và ứng dụng yêu cầu tổ chức của bạn phải có phần cứng và phần mềm hiện đại. May mắn là tất cả các nền tảng web hàng đầu, bao gồm Microsoft Windows, Apple iOS và MacOS và hệ thống Android cũng như tất cả các trình duyệt web chính, bao gồm Microsoft Edge, Google Chrome, Apple Safari và Mozilla Firefox, đều hỗ trợ FIDO2. Giải pháp quản lý truy nhập và danh tính (IAM) cũng phải hỗ trợ xác thực FIDO2.

Nói chung, việc triển khai xác thực FIDO2 trong các trang web và ứng dụng mới hoặc hiện có sẽ bao gồm các bước chính sau:

  1. Xác định các phương pháp xác thực và trải nghiệm đăng nhập của người dùng, cũng như thiết lập các chính sách kiểm soát truy nhập.
  2. Tạo mới hoặc sửa đổi các trang đăng ký và đăng nhập hiện có bằng các thông số kỹ thuật giao thức FIDO thích hợp.
  3. Thiết lập máy chủ FIDO để xác thực các yêu cầu đăng ký và xác thực FIDO. Máy chủ FIDO có thể là máy chủ độc lập, tích hợp với máy chủ web hoặc ứng dụng hoặc được cung cấp dưới dạng mô-đun IAM.
  4. Tạo mới hoặc sửa đổi dòng công việc xác thực hiện có.

FIDO2 và xác thực bằng sinh trắc học

Xác thực bằng sinh trắc học sử dụng đặc điểm sinh trắc hoặc hành vi duy nhất của một người để xác nhận danh tính của người đó. Dữ liệu sinh trắc được thu thập và chuyển đổi thành các mẫu sinh trắc chỉ có thể truy nhập được bằng thuật toán bí mật. Khi cá nhân tìm cách đăng nhập, hệ thống sẽ lấy lại thông tin, chuyển đổi thông tin và so sánh thông tin đó với dữ liệu sinh trắc được lưu trữ.

Ví dụ về xác thực bằng sinh trắc học bao gồm:

Dữ liệu sinh học

  • Quét dấu vân tay
  • Quét võng mạc
  • Nhận dạng giọng nói
  • So khớp DNA
  • Quét tĩnh mạch

Hành vi

  • Sử dụng màn hình cảm ứng
  • Tốc độ nhập
  • Phím tắt
  • Hoạt động chuột

Xác thực bằng sinh trắc học đã trở thành hiện thực trong môi trường làm việc kỹ thuật số kết hợp ngày nay. Nhân viên thích điều này ở chỗ tính năng này cung cấp cho họ sự linh hoạt để xác thực nhanh chóng và an toàn theo bất cứ lựa chọn nào. Các doanh nghiệp cho rằng việc này sẽ làm giảm đáng kể bề mặt tấn công, ngăn chặn tội phạm mạng có thể nhắm mục tiêu vào dữ liệu và hệ thống của họ.

Nhưng xác thực bằng sinh trắc học không phải là biện pháp hoàn toàn chống lại được tin tặc. Ví dụ: những kẻ xấu có thể sử dụng dữ liệu sinh trắc của người khác, chẳng hạn như ảnh hoặc dấu vân tay silicone, để mạo danh cá nhân đó. Hoặc chúng có thể kết hợp nhiều lần quét dấu vân tay để tạo bản quét chính cung cấp cho chúng quyền truy nhập vào một số tài khoản người dùng.

Vẫn còn những nhược điểm khác đối với xác thực bằng sinh trắc học. Một số hệ thống nhận diện khuôn mặt, ví dụ: có thành kiến cố hữu đối với phụ nữ và người da màu. Ngoài ra, một số tổ chức chọn lưu trữ dữ liệu sinh trắc trên máy chủ cơ sở dữ liệu chứ không phải trên thiết bị người dùng cuối, đặt ra câu hỏi về bảo mật và quyền riêng tư. Tuy nhiên, xác thực đa yếu tố bằng sinh trắc học vẫn là một trong những phương pháp an toàn nhất hiện nay để xác minh danh tính người dùng.

Các ví dụ xác thực FIDO2

Các yêu cầu về bảo mật và hậu cần để xác minh danh tính sẽ khác nhau trong và giữa các tổ chức. Sau đây là những cách phổ biến mà các tổ chức trong các ngành khác nhau thực hiện xác thực FIDO2.

Ngân hàng, dịch vụ tài chính và bảo hiểm

Để bảo vệ dữ liệu doanh nghiệp và khách hàng nhạy cảm, những nhân viên làm việc trong văn phòng công ty thường sử dụng máy tính để bàn hoặc máy tính xách tay do công ty cung cấp với trình xác thực nền tảng. Chính sách công ty cấm họ sử dụng các thiết bị này cho mục đích sử dụng cá nhân. Nhân viên của chi nhánh tại chỗ và trung tâm cuộc gọi thường xuyên sử dụng các thiết bị dùng chung và xác minh danh tính của họ bằng cách sử dụng trình xác thực chuyển vùng.

Hàng không và hãng hàng không

Các tổ chức trong các ngành này cũng phải bố trí các cá nhân làm việc trong các môi trường khác nhau và có trách nhiệm khác nhau. Giám đốc điều hành, nhân sự và các nhân viên khác tại văn phòng thường sử dụng máy tính để bàn và máy tính xách tay chuyên dụng, đồng thời xác thực bằng trình xác thực nền tảng hoặc chuyển vùng. Nhân viên cổng sân bay, thợ kỹ thuật máy bay và các thành viên phi hành đoàn thường sử dụng khóa bảo mật phần cứng hoặc ứng dụng trình xác thực trên điện thoại thông minh cá nhân của họ để xác thực trên máy tính bảng hoặc máy trạm dùng chung.

Sản xuất

Để đảm bảo an ninh vật lý cho các cơ sở sản xuất,—các nhân viên được ủy quyền và các cá nhân khác sử dụng trình xác thực chuyển vùng như thẻ thông minh hỗ trợ FIDO2 và khóa FIDO2—hoặc điện thoại thông minh cá nhân đã đăng ký với trình xác thực nền tảng để mở khóa cửa. Ngoài ra, các nhóm thiết kế sản phẩm thường sử dụng máy tính để bàn hoặc máy tính xách tay chuyên dụng với trình xác thực nền tảng để truy nhập vào các hệ thống thiết kế trực tuyến có chứa thông tin độc quyền.

Dịch vụ khẩn cấp

Các cơ quan chính phủ và các nhà cung cấp dịch vụ khẩn cấp khác không thể luôn xác thực các nhân viên điều trị và những người ứng cứu đầu tiên khác bằng tính năng quét dấu vân tay hoặc mống mắt. Thông thường, những cá nhân này đeo găng tay hoặc kính bảo vệ mắt đồng thời cần truy nhập nhanh dịch vụ trực tuyến. Trong những trường hợp này, thay vào đó, họ được xác nhận danh tính thông qua hệ thống nhận dạng giọng nói. Các công nghệ mới nổi để quét hình tai bằng điện thoại thông minh cũng có thể được sử dụng.

Tạo sự bảo mật an tâm với FIDO2

Xác thực không cần mật khẩu nhanh chóng trở thành biện pháp tốt nhất cho IAM. Bằng cách áp dụng FIDO2, bạn biết rằng bạn đang sử dụng một tiêu chuẩn đáng tin cậy để đảm bảo xác thực danh tính người dùng.

Để bắt đầu với FIDO2, hãy đánh giá cẩn thận các yêu cầu cụ thể của tổ chức và ngành để xác minh danh tính. Sau đó, hợp lý hóa việc triển khai FIDO2 với Microsoft Entra ID (trước đây được gọi là Azure Active Directory). Trình hướng dẫn phương pháp không cần mật khẩu trong Microsoft Entra ID đơn giản hóa việc quản lý Windows Hello cho Doanh nghiệp, Ứng dụng Microsoft Authenticator và khóa bảo mật FIDO2.

Tìm hiểu thêm về Microsoft Security

Microsoft Entra ID (trước đây là Azure Active Directory)

Bảo vệ quyền truy nhập vào tài nguyên và dữ liệu bằng cách sử dụng tính năng xác thực mạnh mẽ và truy nhập thích ứng dựa trên rủi ro.

Tìm hiểu thêm

Microsoft Entra Quản trị danh tính

Tăng năng suất và tăng cường bảo mật bằng cách tự động hóa quyền truy nhập vào các ứng dụng và dịch vụ.

Tìm hiểu thêm

Giải pháp Quản lý quyền của Microsoft Entra

Quản lý các quyền cho mọi danh tính hoặc tài nguyên trên hạ tầng đa đám mây của bạn.

Tìm hiểu thêm

ID Xác minh của Microsoft Entra

Tự tin phát hành và xác minh thông tin xác thực tại nơi làm việc cũng như các thông tin xác thực khác bằng giải pháp tiêu chuẩn mở.

Tìm hiểu thêm

Microsoft Entra Workload Identities

Giảm rủi ro bằng cách cấp cho các ứng dụng và dịch vụ quyền truy nhập có điều kiện vào các tài nguyên đám mây, tất cả ở một nơi.

Tìm hiểu thêm

Câu hỏi thường gặp

  • FIDO2 là viết tắt của (Fast IDentity Online 2), tiêu chuẩn xác thực mở mới nhất được FIDO Alliance phát hành. Bao gồm Microsoft và các tổ chức công nghệ, thương mại và chính phủ khác, liên minh tìm cách loại bỏ việc sử dụng mật khẩu đối với World Wide Web.

    Thông số kỹ thuật FIDO2 bao gồm Web Authentication (WebAuthn), một API web cho phép dịch vụ trực tuyến giao tiếp với trình xác thực nền tảng FIDO2 (chẳng hạn như công nghệ nhận diện khuôn mặt và dấu vân tay được nhúng trong các trình duyệt web và nền tảng). Được phát triển bởi World Wide Web Consortium (W3C) với sự hợp tác của FIDO Alliance, WebAuthn là tiêu chuẩn W3C chính thức.

    FIDO2 cũng bao gồm Client-to-Authenticator Protocol 2 (CTAP2), do liên minh phát triển. CTAP2 kết nối trình xác thực chuyển vùng (chẳng hạn như thiết bị di động và khóa bảo mật FIDO2 bên ngoài) với thiết bị máy khách FIDO2 thông qua USB, BLE hoặc NFC.

  • FIDO2 là tiêu chuẩn mở không cần giấy phép để xác thực đa yếu tố không cần mật khẩu trong môi trường di động và máy tính để bàn. FIDO2 hoạt động bằng cách sử dụng mã hóa khóa công khai thay vì mật khẩu để xác thực danh tính người dùng, ngăn chặn tội phạm trên mạng cố gắng lấy cắp thông tin xác thực người dùng thông qua lừa đảo qua mạng, phần mềm độc hại và các cuộc tấn công dựa trên mật khẩu khác.

  • Lợi ích của xác thực FIDO2 bao gồm bảo mật và quyền riêng tư nâng cao hơn, trải nghiệm thân thiện với người dùng và cải thiện khả năng mở rộng. FIDO2 cũng đơn giản hóa việc kiểm soát truy nhập cho các nhóm CNTT và nhân viên bộ phận trợ giúp bằng cách giảm khối lượng công việc và chi phí liên quan đến việc quản lý tên người dùng và mật khẩu.

  • Khóa FIDO2, còn được gọi là khóa bảo mật FIDO2, là thiết bị phần cứng vật lý bắt buộc để xác thực 2 bước và xác thực đa yếu tố. Hoạt động như trình xác thực FIDO chuyển vùng, thiết bị này sử dụng USB, NFC hoặc Bluetooth để kết nối với thiết bị máy khách FIDO2, cho phép người dùng xác thực trên nhiều máy tính, dù là trong văn phòng, ở nhà hay trong môi trường khác.

    Thiết bị máy khách xác minh danh tính người dùng bằng cách yêu cầu người dùng sử dụng khóa FIDO2 để thực hiện một thao tác, chẳng hạn như chạm vào đầu đọc dấu vân tay, nhấn nút hoặc nhập mã PIN. Các khóa FIDO2 bao gồm các phím bổ trợ, điện thoại thông minh, máy tính bảng, thiết bị đeo và các thiết bị khác.

  • Các tổ chức triển khai các phương pháp xác thực FIDO2 dựa trên các yêu cầu riêng về bảo mật, hậu cần và ngành của mình.

    Ví dụ: ngân hàng và nhà sản xuất dựa trên nghiên cứu thường yêu cầu nhân viên văn phòng và các nhân viên khác sử dụng máy tính để bàn và máy tính xách tay chỉ dành cho công việc do công ty cung cấp với trình xác thực nền tảng. Các tổ chức có nhân viên thường xuyên di chuyển, chẳng hạn như phi hành đoàn hàng không và nhóm ứng cứu khẩn cấp, thay vào đó thường truy nhập máy tính bảng hoặc máy trạm dùng chung và sau đó xác thực bằng cách sử dụng khóa bảo mật hoặc ứng dụng xác thực trên điện thoại thông minh của họ.

Theo dõi Microsoft 365