- FIDO2 pagrindu sukurti prieigos raktai leidžia prisijungti prie Windows„Microsoft“ prisijungimo ID, "Google" ir kitos paslaugos, naudojantys mobilųjį telefoną kaip saugų autentifikavimo įrankį.
- „Windows 10/11“ ir pagrindinės naršyklės palaiko FIDO2 / „WebAuthn“ su autentifikavimo parinktimis tame pačiame įrenginyje arba tarp įrenginių naudojant QR kodą ir „Bluetooth“.
- Galima derinti mobiliųjų telefonų, fizinių saugos raktų ir platformos autentifikatorių („Windows Hello“, „Touch ID“ ir kt.) naudojimą, kad būtų sukurta tikrai slaptažodžių neturinti aplinka.
- Organizacijos gali valdyti FIDO2 strategijas naudodamos „Microsoft Entra“ ir „Microsoft Graph“, apriboti konkrečius AAGUID ir taikyti sukčiavimui atsparią MFA.
Jei pavargote kovoti su neįmanomi slaptažodžiai, SMS patvirtinimas ir kodai, kurie nustoja galioti po 30 sekundžiųMobiliojo telefono naudojimas kaip FIDO2 autentifikavimo priemonė prisijungimui prie „Windows“ ir įmonės programų tiesiogine prasme keičia žaidimo taisykles. Idėja paprasta: jūsų telefonas tampa jūsų saugos raktu, kurį tereikia atrakinti piršto atspaudu, veido atpažinimu arba PIN kodu, kad įrodytumėte savo tapatybę.
Pastaraisiais metais tokios milžinės kaip „Microsoft“, „Google“, „Apple“ ir daugelis saugumo paslaugų teikėjų investavo į FIDO2 ir slaptažodžiai kaip tikri slaptažodžių pakaitalaiŠi technologija nebėra eksperimentinė: ji veikia „Windows 10/11“. Android, "iOS"„macOS“, „ChromeOS“ ir daugelyje populiariausių naršyklių. Ir, kas mus čia domina, tai leidžia naudoti mobilųjį įrenginį kaip FIDO2 autentifikatorių tiek debesies ištekliams pasiekti, tiek jūsų organizacijos valdomoms „Windows“ sesijoms.
Kas yra FIDO2, prieigos raktai ir kodėl jūsų mobilusis telefonas gali būti autentifikavimo priemonė?
Kai kalbame apie mobiliojo telefono naudojimą kaip „Windows“ autentifikavimo priemonę, iš tikrųjų turime omenyje naudoti FIDO2 standartus ir prieigos raktusFIDO reiškia „Fast Identity Online“ – tai įmonių aljansas, kuris daugelį metų kūrė būdus, kaip autentifikuoti nenaudojant silpnų ir pakartotinai naudojamų slaptažodžių.
FIDO2 yra modernus standartas, apjungiantis du pagrindinius komponentus: „WebAuthn“ (iš W3C, naršyklės dalis ir Apps) y CTAP2 (protokolas, kuris bendrauja su autentifikavimo priemone, pvz., jūsų telefonu arba fiziniu raktu)Kartu jie leidžia internetinei paslaugai prašyti jūsų autentifikuotis naudojant mobilųjį telefoną, „Windows Hello“, FIDO2 USB / NFC raktą ir pan., užuot verčiant jus prisiminti dar vieną slaptažodį.
Šiame modelyje jūsų mobilusis telefonas gali veikti kaip kelių platformų tipo FIDO autentifikatoriusJis saugiai saugo jūsų privatųjį raktą ir gali pasirašyti „Windows“, „Microsoft Entra ID“, „Google“ ar kitų paslaugų siunčiamus iššūkius. Telefoną atrakinate įprastu būdu (pirštų atspaudu, veido atpažinimu, PIN kodu), o įrenginys tvarko kriptografinę dalį už jus.
Po gaubtu FIDO2 naudoja viešojo rakto kriptografijaKiekvieną kartą, kai registruojate prieigos raktą konkrečiai paslaugai, sugeneruojama raktų pora: privatusis raktas saugomas autentifikavimo įrenginyje (jūsų mobiliajame telefone, kompiuteryje, fiziniame rakte) ir niekada iš jo nepalieka; viešasis raktas siunčiamas paslaugai ir susiejamas su jūsų paskyra. Kai vėl prisijungiate, serveris pateikia užklausą, kurią jūsų autentifikavimo įrenginys pasirašo naudodamas privatųjį raktą, o serveris patikrina tą parašą naudodamas viešąjį raktą.
Praktinis rezultatas yra tas, kad Nėra jokių slaptažodžių, kuriuos reikėtų filtruoti, jokių vienkartinių kodų, kuriuos reikėtų perimti, ir jokių bendrų paslapčių, kurias reikėtų pavogti iš serverio.Jei kas nors bandys jus apgauti, net jei nukreips jus į netikrą svetainę, kriptografinis iššūkis nebus galiojantis jūsų tikrajam viešajam raktui, todėl ataka žlugs savaime.
FIDO2 autentifikatorių tipai ir mobiliųjų įrenginių vaidmuo
FIDO2 ekosistemoje išskiriami du pagrindiniai autentifikatorių tipai: platforma ir daugiaplatformėSuprasdami šį skirtumą, lengviau suprasite, kur mobilieji įrenginiai dera, kai kalbame apie „Windows“ sesijas.
Platformos autentifikatorius yra tas, kuris Jis integruotas į patį įrenginį.Pavyzdžiui, „Windows Hello“ nešiojamajame kompiuteryje su suderinamu pirštų atspaudų skaitytuvu arba kamera, „Touch ID“ „MacBook“ kompiuteryje arba pirštų atspaudų jutiklis šiuolaikiniame nešiojamajame kompiuteryje. Jį galima naudoti tik iš to paties kompiuterio, kuriame jis įdiegtas, ir negalima perkelti į kitą įrenginį.
Daugiaplatformiai autentifikatoriai yra tie, kurie Galite naudoti iš kelių skirtingų įrenginių.Čia praverčia FIDO2 saugos raktai („YubiKey“, „SoloKey“, „Nitrokey“, bendriniai NFC/USB raktai) ir, kas labai svarbu mūsų temai, „Android“ ir „iOS“ mobilieji telefonai, naudojami kaip išoriniai autentifikatoriai kitiems įrenginiams.
Priklausomai nuo nustatymų, jūsų mobilusis telefonas gali veikti dviem būdais: platformos autentifikatorius (kai naudojate prieigos raktą tiesiogiai mobiliojoje naršyklėje / programėlėje) arba kaip kelių platformų autentifikavimo priemonė (kai mobilusis telefonas naudojamas prisijungimui prie kito įrenginio, pavyzdžiui, „Windows“ kompiuterio, naudojant QR kodą ir „Bluetooth“).
Be mobiliųjų telefonų ir fizinių raktų, yra ir kitų programinės įrangos autentifikavimo priemonių. techninė įranga suderinamas, kaip „Windows Hello“, „Touch ID“, „Face ID“, specializuoti mobiliųjų įrenginių autentifikatoriai ir tokios programėlės kaip „Hideez Authenticator“ kurios praplečia mišrios verslo aplinkos, kurioje modernios FIDO2 programos egzistuoja kartu su senesnėmis sistemomis, vis dar pagrįstomis slaptažodžiais, pasirinkimo galimybes.
FIDO2 suderinamumas sistemoje „Windows“, naršyklėse ir paslaugose
Kad mobilusis įrenginys veiktų kaip FIDO2 autentifikatorius „Windows“ seansuose, būtina, kad Visapusiškas FIDO2/WebAuthn palaikymas: operacinė sistema, naršyklė arba programėlė ir tapatybės nustatymo paslaugaLaimei, dabartinė parama yra labai plati.
Operacinės sistemos pusėje, „Windows 10“ (1903 ir naujesnės versijos) ir langai 11 Jie iš esmės palaiko FIDO2 autentifikavimą, ypač jei įrenginys prijungtas prie „Microsoft Entra ID“ (anksčiau „Azure AD“) arba hibridinio domeno. „Windows Hello“ veikia kaip platformos autentifikavimo priemonė, o sistema taip pat gali veikti su FIDO2 USB / NFC raktais ir mobiliaisiais autentifikavimo įrankiais.
Kalbant apie naršykles, „Chrome“, „Edge“, „Firefox“ ir „Safari“ Jie įtraukė „WebAuthn“ palaikymą keliose versijose, tiek darbalaukio, tiek mobiliuosiuose įrenginiuose. Tai leidžia tokioms paslaugoms kaip „Microsoft Entra“, „Google“, „Bitwarden“ ir kitoms slaptažodžių tvarkyklėms bei SSO teikėjams inicijuoti FIDO2 autentifikavimo srautą tiesiai iš naršyklės.
Paslaugų lygmeniu beveik visa šiandien svarbi ekosistema palaiko arba pradeda naudoti prieigos raktus: „Microsoft Entra ID“, „Google“ paskyros, „Google Workspace“, įmonių vienkartinio prisijungimo teikėjai, slaptažodžių tvarkyklės, pvz., „Bitwarden“, ir tapatybės platformos, pvz., „Hideez Cloud Identity“.Kiekvienas iš jų šiek tiek skirtingai integruoja FIDO2, tačiau pagrindinė idėja ta pati: jūsų autentifikavimo priemonė (mobilusis telefonas, raktas arba „Windows Hello“) pasirašo iššūkius, o ne įveda slaptažodžius.
Be to, verslo aplinkoje, „Microsoft Entra ID“ leidžia valdyti FIDO2 kaip oficialų autentifikavimo metodąTai apima konkrečių politikų naudojimą jai įgalinti, konkrečių AAGUID (pagrindinių modelių arba autentifikatorių) apribojimą ir taikymą sąlyginės prieigos sąlygomis. Tai labai svarbu, kai norite apsaugoti jautrius išteklius ir įdiegti sukčiavimui atsparią daugiafaktorinę autentifikaciją (MFA).
Prisijunkite prie „Microsoft“ naudodami FIDO2 prieigos raktus. Prisijunkite naudodami mobilųjį įrenginį.
Pirmasis praktinis mobiliojo telefono naudojimo kaip FIDO2 autentifikavimo priemonės su „Windows“ scenarijus paprastai apima „Microsoft“ prieigos IDnes daugelis įmonių „Windows 10/11“ sesijų yra susietos su „Entra“ ir naudoja tą tapatybę tokiems ištekliams kaip „Office“, „Teams“, "SharePoint" ir vidinės programėlės.
„Entra“ palaiko tris pagrindinius FIDO2 slaptažodžių modelius vartotojams: Prieigos raktai, saugomi pačiame prisijungimo įrenginyje, raktai, saugomi kitame įrenginyje (pvz., mobiliajame telefone), ir raktai, saugomi fiziniame saugos rakte.Visi šie modeliai gali būti derinami toje pačioje organizacijoje.
Kai prieigos raktas saugomas tame pačiame įrenginyje (pvz., „Windows“ nešiojamajame kompiuteryje su „Windows Hello“ arba mobiliajame telefone, kuriame yra „Microsoft Authenticator“ ir prieigos raktas), procesas yra labai paprastas: Eikite į išteklių (biurą, įmonės portalą ir kt.) ir pasirinkite autentifikavimo parinktį naudodami veidą, piršto atspaudą, PIN kodą arba saugos raktą.Sistema atidaro apsaugos langą ir paprašo jūsų identifikuoti save naudojant sukonfigūruotą metodą.
Jei prieigos raktas yra kitame įrenginyje, pvz., mobiliajame telefone, procesas apima autentifikavimas tarp įrenginiųPavyzdžiui, „Windows 11 23H2“ ar naujesnėje versijoje, pasirinkus prisijungti naudojant saugos raktą, siūloma pasirinkti išorinį įrenginį, pvz., „iPhone“, iPad „arba „Android“ įrenginyje.“ Kompiuteryje rodomas QR kodas, kurį nuskaitote mobiliojo telefono kamera; tada telefonas paprašys jūsų biometrinių duomenų arba PIN kodo ir, naudodamas „Bluetooth“ bei internetą, atliks autentifikavimą nuotoliniame kompiuteryje.
Abiem atvejais, kai srautas bus baigtas, būsite autentifikuoti pagal „Microsoft“ prieigos IDo tai savo ruožtu leidžia pasiekti debesies programas ir, gerai integruotose aplinkose, „Windows“ sesijas arba darbalaukio programas, kurios priklauso nuo tos tapatybės.
Konkretus „Microsoft Authenticator“ naudojimas su prieigos raktais „Android“ ir „iOS“ sistemose
Vienas patogiausių būdų naudoti mobilųjį telefoną kaip FIDO2 autentifikatorių „Microsoft“ aplinkoje yra per „Microsoft Authenticator“ su prieigos rakto palaikymuŠi programėlė gali veikti kaip FIDO2 autentifikavimo priemonė tiek tame pačiame įrenginyje (vietinis autentifikavimas), tiek tarp įrenginių (norint prisijungti prie „Windows“ kompiuterio ar kito kompiuterio).
„iOS“ sistemoje galite naudoti „Authenticator“ kaip platformos autentifikatorių, kad prisijungtumėte prie „Microsoft“. Įveskite savo ID lauke savo naršyklę iPhone arba „iPad“ ir vietinėse „Microsoft“ programose, tokiose kaip „OneDrive“, „SharePoint“ ar „Outlook“. Sistema parodys parinktį „Veidas, piršto atspaudas, PIN kodas arba saugos raktas“, o ją pasirinkus bus paprašyta įvesti „Face ID“, „Touch ID“ arba įrenginio PIN kodą.
Klasikinis autentifikavimo tarp įrenginių „iOS“ sistemoje procesas yra toks: Kitame kompiuteryje (pvz., „Windows 11“ įrenginyje) eikite į „Microsoft“ prisijungimo puslapį. Prisijunkite, pasirinkite kitus prisijungimo būdus, pasirinkite saugos rakto autentifikavimą ir pasirinkite „iPhone“ / „iPad“ / „Android“ įrenginį.Tuo metu kompiuterio ekrane rodomas QR kodas.
Su savo „iPhone“ atidarote sistemos kameros programėlė (ne į „Authenticator“ integruotą kamerą, nes ji nesupranta „WebAuthn“ QR kodo) ir nukreipkite ją į kodą. „iPhone“ siūlo parinktį „Prisijungti naudojant slaptažodį“ ir, patvirtinus jūsų tapatybę naudojant „Face ID“, „Touch ID“ arba PIN kodą, telefonas atlieka FIDO2 autentifikavimą su kompiuteriu naudodamas „Bluetooth“ ir interneto ryšį.
„Android“ sistemoje veikimas panašus, nors ir su tam tikrais niuansais. Norint autentifikuoti tą patį įrenginį naršyklėje, reikia 14 arba naujesnės versijos „Android“ Norėdami naudoti „Authenticator“ kaip slaptažodžių saugyklą telefone, eikite į svetainę „Mano saugos informacija“, pasirinkite prisijungimo parinktis ir pasirinkite veido atpažinimą, piršto atspaudą, PIN kodą arba saugos raktą. Jei turite kelis išsaugotus slaptažodžius, sistema paprašys pasirinkti, kurį iš jų norite naudoti.
Norėdami autentifikuotis tarp įrenginių „Android“ sistemoje, kompiuteryje atlikite tą patį veiksmą: Eikite į „Enter“, pasirinkite saugos raktą, pasirinkite „Android“ įrenginįNuotoliniame įrenginyje rodomas QR kodas, kurį galite nuskaityti sistemos kamera arba pačia „Authenticator“ programėle, įvesdami prieigos rakto paskyrą ir paspausdami QR kodo nuskaitymo mygtuką, matomą slaptažodžio duomenyse.
Visais šiais atvejais būtina turėti Abiejuose įrenginiuose aktyvus „Bluetooth“ ir interneto ryšysJei organizacija taiko ribojančias „Bluetooth“ strategijas, administratoriui gali tekti sukonfigūruoti išimtis, kad būtų leidžiamas susiejimas tik su autentifikatoriais, kuriuose įjungtas FIDO2 prieigos raktas.
Kiti FIDO2 naudojimo atvejai: „Google“, „Bitwarden“ ir įmonės vienkartinis prisijungimas (SSO)
Be „Microsoft“ ir „Windows“, pati mobiliojo telefono naudojimo kaip FIDO2 autentifikavimo priemonės koncepcija puikiai dera su... „Google Passkeys“, FIDO2 slaptažodžių tvarkyklės ir įmonių SSO sprendimaiViskas susidėjo, kad jūsų mobilusis telefonas taptų jūsų skaitmeninės tapatybės pagrindu.
„Google“ sistemoje galite sukurti prieigos raktus savo asmeninei arba „Workspace“ paskyrai ir naudoti juos el atrakinimo metodas mobiliojo telefono ekranas (pirštų atspaudai, veidas, PIN kodas) kaip pagrindinį veiksnį. Kai prieigos raktas bus nustatytas „Android“ telefone arba „iPhone“, galėsite prisijungti prie „Google“ paskyros kompiuteryje naudodami srautą „Išbandyti kitą būdą“ / „Naudoti prieigos raktą“ ir nuskaitydami QR kodą, kuris rodomas kompiuterio naršyklėje.
Patirtis panaši: kompiuteryje rodomas QR kodas, jį nuskaitote telefono kamera arba integruotu skaitytuvu, o telefonas paragina jį atrakinti. Patvirtinus biometrinius duomenis arba PIN kodą, Mobilusis telefonas pasirašo FIDO2 užklausą ir kompiuteris gauna prieigą prie jūsų paskyros.Po to „Google“ gali pasiūlyti sukurti vietinį slaptažodį jūsų kompiuteryje, tačiau tai neprivaloma.
Savo ruožtu „Bitwarden“ leidžia įjungti Dviejų etapų prisijungimas naudojant FIDO2 WebAuthn savo programose. Galite registruoti FIDO2 sertifikuotus fizinius saugos raktus, bet taip pat galite naudoti vietinius autentifikavimo įrankius, pvz., „Windows Hello“ arba „Touch ID“. Mobiliuosiuose įrenginiuose galima naudoti NFC palaikančius raktus (pvz., „YubiKey NFC“), priartinant juos prie telefono skaitymo srities; kartais reikia atidžiai „taikytis“, nes NFC skaitytuvo padėtis skiriasi priklausomai nuo modelio.
Verslo aplinkoje tokios platformos kaip „Hideez Cloud“ tapatybė Jie sujungia sinchronizuotus FIDO2 slaptažodžius (tuos, kuriuos galite turėti „Google“ ar „iCloud“) su savo mobiliaisiais autentifikatoriais, pagrįstais dinaminiais QR kodais. Įprastas darbo eiga yra tokia: norėdami prisijungti prie kompiuterio, atidarote programėlę savo telefone, nuskaitote kompiuterio ekrane rodomą QR kodą ir autorizuojate prisijungimą iš savo mobiliojo įrenginio, kuris veikia kaip saugus autentifikatorius.
Šis metodas ypač naudingas, kai turite įvairių medžiagų mišinį Šiuolaikinės programos, suderinamos su FIDO2 ir senesnėmis sistemomis, kurios vis dar naudoja vartotojo vardą ir slaptažodįKai kurie aparatinės įrangos raktai ir tapatybės nustatymo sprendimai netgi leidžia tam pačiam raktui veikti kaip FIDO2 autentifikavimo priemonei naujoms paslaugoms ir kaip slaptažodžių tvarkyklė šifravimas senesnėms programoms.
Įgalinkite FIDO2 / slaptažodžius organizacijose naudodami „Microsoft Login“
Jei jūsų tikslas yra suteikti vartotojams galimybę naudoti savo mobilųjį įrenginį kaip FIDO2 autentifikatorių „Windows“ sesijose ir įmonės programose, tolesnis kelias apima Formaliai aktyvuokite FIDO2 metodą „Microsoft Entra ID“ ir apibrėžkite, kokie autentifikatorių tipai yra leidžiami.
„Microsoft Entra“ administravimo centre autentifikavimo politikos administratorius gali nueiti į „Entra ID“ → „Autentifikavimo metodai“ → „Politikos“ ir rasti metodą „saugos raktas (FIDO2)Ten galite įjungti tai visuotinai arba konkrečioms saugos grupėms, konfigūruoti, ar leidžiama savitarnos registracija, ir nuspręsti, ar reikalingas įrenginio patvirtinimas.
Patvirtinimo parinktis leidžia priimti tik šiuos dokumentus: FIDO2 raktai ir autentifikatoriai iš teisėtų tiekėjųKadangi kiekvienas gamintojas skelbia AAGUID (autentifikavimo priemonės patvirtinimo GUID), kuris identifikuoja prekės ženklą ir modelį, galima taikyti „rakto apribojimo politiką“, kad būtų autorizuoti tik tam tikri AAGUID, o kiti blokuojami. Tai labai naudinga, kai norite turėti kontroliuojamą raktų telkinį arba įmonės mobiliuosius autentifikatorius.
Sudėtingesniems scenarijams „Microsoft“ siūlo „Microsoft Graph“ API FIDO2 valdymuiNaudodami „authenticationMethodsPolicy FIDO2“ konfigūracijos galinį tašką, galite automatizuoti kredencialų kūrimą, patvirtinti konkrečius AAGUID arba netgi pateikti FIDO2 saugos raktus vartotojų vardu (peržiūros versija), naudodami CTAP ir „Entra“ grąžinamus „creationOptions“.
Tinkamai sukonfigūruojus FIDO2 metodą, galite sukurti slaptažodžiu pagrįsto autentifikavimo stiprumai ir naudoti juos sąlyginės prieigos politikose. Pavyzdžiui, nustatyti taisyklę, kuri reikalauja autentifikavimo naudojant FIDO2 prieigos raktus (ir pasirinktinai apriboti iki vieno ar kelių mobiliųjų autentifikatorių AAGUID arba konkrečių raktų), kad būtų galima pasiekti svarbias programas arba nuotolinio darbalaukio seansus.
Taip pat atsižvelgiama į techninės priežiūros scenarijus: Vartotojo slaptažodžių šalinimas iš administravimo centroUPN pakeitimai (tokiu atveju vartotojas turi ištrinti seną FIDO2 raktą ir užregistruoti naują) ir apribojimai, pvz., dabartinis B2B svečių vartotojų FIDO2 kredencialų registravimo tiesiogiai išteklių nuomotojuje trūkumas.
FIDO2 saugos raktų konfigūravimas ir naudojimas mobiliajame telefone
Nors šiame tekste daugiausia dėmesio skiriama mobiliajam telefonui kaip autentifikavimo priemonei, daugelyje aplinkų prasminga jį derinti su FIDO2 fiziniai saugos raktaiypač administratoriams, darbuotojams, turintiems kritinę prieigą, arba vartotojams, kuriems reikia patikimo antrojo metodo.
Sąranka paprastai pradedama nuo paskyros saugos portalų, pavyzdžiui, https://aka.ms/mfasetup arba „Microsoft“ puslapiuose „Mano saugos informacija“. Ten pasirinkite „Saugos raktas“ ir pasirinkite, ar jis yra USB arba NFC, ir jūs vykdote vedlio nurodymus, kurie priklauso nuo operacinės sistemos ir rakto tipo. Galiausiai raktui priskiriamas pavadinimas, kad jį būtų galima identifikuoti ateityje.
Užregistravus raktą, jį galima naudoti nuo palaikomos naršyklės („Edge“, „Chrome“, „Firefox“) arba net prisijungti prie organizacijos pateiktų ir sukonfigūruotų „Windows 10/11“ kompiuterių. Be to, tokios sistemos kaip RSA siūlo specialias programas („RSA Security Key Utility“), skirtas rakto PIN kodui valdyti, keisti, įrenginiui atkurti ir integruoti su įmonės autentifikavimo produktais, tokiais kaip „SecurID“.
FIDO2 kontekste aparatinės įrangos raktai yra tiesiog dar vienas kelių platformų autentifikavimo būdas. Jūsų mobilusis įrenginys gali juos naudoti vienu metu. Savo mobiliajame įrenginyje galite naudoti sinchronizuotus slaptažodžius, svarbiems atvejams skirtus fizinius raktus, o darbo kompiuteriuose – platformos autentifikavimo priemones, pvz., „Windows Hello“.Kuo patikimesnius ir geriau valdomus metodus turėsite, tuo mažiau priklausysite nuo silpnų slaptažodžių.
Bet kuriuo atveju, nesvarbu, ar naudojate fizinius, ar mobiliuosius raktus, rekomenduojama, kad administratorius apibrėžtų aiški autentifikatorių pridėjimo, pašalinimo ir pakeitimo politikataip pat procedūras, kurių reikia laikytis įrenginio praradimo ar vagystės atveju (atšaukti susijusį slaptažodį, peržiūrėti neseniai atliktus prisijungimus, priverstinai atlikti daugiafaktorinį autentifikavimą kito prisijungimo metu ir kt.).
Tikrieji FIDO2 naudojimo su mobiliuoju telefonu privalumai ir trūkumai
Akivaizdus saugumo ir naudojimo patogumo pagerėjimas Naudojant mobilųjį telefoną kaip FIDO2 autentifikatorių „Windows“ sesijoms ir susijusioms paslaugoms, yra ir trūkumų bei niuansų, kuriuos reikėtų žinoti.
Pagrindinis privalumas yra tas Autentifikavimas tampa atsparus sukčiavimui ir kredencialų vagystės atakomsKadangi privatusis raktas niekada nepalieka telefono ir naudojamas tik kriptografiniams iššūkiams pasirašyti, užpuolikas negali „pavogti“ jūsų slaptažodžio, nes jo tiesiog nėra. Net jei paslauga pažeidžiama, pažeidžiami tik viešieji raktai, kurie be fizinio autentifikatoriaus yra nenaudingi.
Kitas svarbus privalumas yra naudotojo patirtis: Telefono atrakinimas piršto atspaudu arba veido atpažinimu yra daug greitesnis ir natūralesnis. nei ilgų slaptažodžių rašymas, vienkartinių slaptažodžių valdymas SMS žinutėmis ar atsakymų į saugos klausimus įsiminimas. Daugeliu atvejų tai taip pat panaikina antrojo tradicinės daugiafaktorinės autentifikacijos (MFA) sluoksnio poreikį, nes pati FIDO2 atitinka stiprios, sukčiavimui atsparios MFA reikalavimus.
Reguliavimo lygmeniu FIDO2 diegimas padeda organizacijoms atitikti tokius reglamentus kaip BDAR, HIPAA, PSD2 arba NIS2O atsižvelgiant į NIST arba CISA gaires, kuriose rekomenduojama naudoti sukčiavimui atsparią daugiafaktorinę autentifikaciją (MFA), neatsitiktinai vyriausybės ir didelės korporacijos renkasi FIDO sprendimus, taikydamos nulinio pasitikėjimo strategijas.
Kalbant apie apribojimus, viena iš akivaizdžiausių problemų yra ta, kad technologinis palikimasDaugelis programų, senesnių VPN, konkrečių nuotolinių darbalaukių ar vidinių sistemų nepalaiko FIDO2 ar modernaus SSO. Joms vis tiek reikės tradicinių slaptažodžių arba autentifikatorių, nors dalį prieigos galite apjungti moderniu IdP, kuris perduoda FIDO2 išoriniam ryšiui.
Be to, daugelyje paslaugų vis dar Slaptažodis visiškai neišnykstaJis dažnai naudojamas kaip atkūrimo mechanizmas, jei prarandate visus slaptažodžius, o tai reiškia, kad netinkamai tvarkomas vis tiek yra mažiau saugus „B planas“. Pramonė pereina prie modelių, kuriuose galima pasikliauti tik slaptažodžiais, tačiau kol kas slaptažodžius vis dar matysite visur.
Kitas svarbus niuansas yra skirtumas tarp Sinchronizuoti prieigos raktai ir su įrenginiu susieti prieigos raktaiPirmieji yra atkartojami per debesijos paslaugas (pvz., „iCloud Keychain“ ar „Google Password Manager“), o tai padidina patogumą, bet apsunkina įmonės kontrolę; antrieji lieka susieti su viena technine įranga (įmonės mobiliuoju telefonu, fiziniu raktu), o tai suteikia IT skyriui daugiau kontrolės, tačiau sumažina vartotojo patogumą.
Daugeliui vartotojų ir įmonių mobiliojo įrenginio naudojimas kaip FIDO2 autentifikavimo priemonė „Windows“ sesijoms ir prieigai prie debesies išteklių yra labai pagrįstas būdas Prisijunkite prie slaptažodžių neturinčio autentifikavimo tendencijųJis sujungia viešojo rakto kriptografijos saugumą su patogiu telefono atrakinimu, integruojasi su „Windows 10/11“, „Microsoft Entra“, „Google“ ir kitomis moderniomis paslaugomis ir leidžia gyventi su fiziniais raktais bei senosiomis sistemomis, pereinant prie pasaulio, kuriame slaptažodžiai tampa vis mažiau svarbūs.
Aistringas rašytojas apie baitų pasaulį ir technologijas apskritai. Man patinka dalytis savo žiniomis rašydamas, būtent tai ir darysiu šiame tinklaraštyje, parodysiu jums įdomiausius dalykus apie programėles, programinę įrangą, techninę įrangą, technologijų tendencijas ir kt. Mano tikslas – padėti jums paprastai ir smagiai naršyti skaitmeniniame pasaulyje.