Kā izmantot mobilo tālruni kā FIDO2 autentifikatoru Windows sesijām

Ja esat noguris cīnīties ar neiespējamas paroles, īsziņu verifikācija un kodi, kas beidzas pēc 30 sekundēmMobilā tālruņa izmantošana kā FIDO2 autentifikators, lai pieteiktos sistēmā Windows un korporatīvajās lietojumprogrammās, burtiski maina spēles noteikumus. Ideja ir vienkārša: jūsu tālrunis kļūst par jūsu drošības atslēgu, un jums tas ir jāatbloķē tikai ar pirkstu nospiedumu, sejas nospiedumu vai PIN kodu, lai pierādītu savu identitāti.

Pēdējos gados tādi giganti kā Microsoft, Google, Apple un daudzi drošības pakalpojumu sniedzēji ir ieguldījuši līdzekļus FIDO2 un piekļuves atslēgas kā reāli paroļu aizstājējiŠī tehnoloģija vairs nav eksperimentāla: tā darbojas operētājsistēmā Windows 10/11. android, iOSmacOS, ChromeOS un populārākajās pārlūkprogrammās. Un, kas mūs šeit interesē, tas ļauj izmantot mobilo ierīci kā FIDO2 autentifikatoru gan piekļuvei mākoņa resursiem, gan jūsu organizācijas pārvaldītajām Windows sesijām.

Kas ir FIDO2, piekļuves atslēgas un kāpēc jūsu mobilais tālrunis var būt autentifikators?

Kad mēs runājam par mobilā tālruņa izmantošanu kā autentifikatoru operētājsistēmai Windows, mēs patiesībā runājam par izmantot FIDO2 standartus un piekļuves atslēgasFIDO apzīmē Fast Identity Online, uzņēmumu aliansi, kas gadiem ilgi izstrādā autentifikācijas veidus, nepaļaujoties uz vājām un atkārtoti izmantotām parolēm.

FIDO2 ir mūsdienīgs standarts, kas apvieno divus galvenos komponentus: WebAuthn (no W3C, pārlūkprogrammas daļa un progr) y CTAP2 (protokols, kas sazinās ar autentifikatoru, piemēram, jūsu tālruni vai fizisko atslēgu)Kopā tie ļauj tiešsaistes pakalpojumam lūgt autentifikāciju ar mobilo tālruni, Windows Hello, FIDO2 USB/NFC atslēgu utt., nevis piespiest atcerēties vēl vienu paroli.

Šajā modelī jūsu mobilais tālrunis var darboties kā starpplatformu tipa FIDO autentifikatorsTā droši glabā jūsu privāto atslēgu un var parakstīt izaicinājumus, ko tai nosūta Windows, Microsoft Entra ID, Google vai citi pakalpojumi. Jūs atbloķējat tālruni ar savu ierasto metodi (pirkstu nospiedumu, sejas atpazīšanu, PIN kodu), un ierīce jūsu vietā apstrādā kriptogrāfisko daļu.

Zem pārsega FIDO2 izmanto publiskās atslēgas kriptogrāfijaKatru reizi, kad reģistrējat piekļuves atslēgu konkrētam pakalpojumam, tiek ģenerēts atslēgu pāris: privātā atslēga tiek glabāta autentifikatorā (jūsu mobilajā tālrunī, datorā, fiziskajā atslēgā) un nekad to nepamet; publiskā atslēga tiek nosūtīta pakalpojumam un saistīta ar jūsu kontu. Kad atkārtoti piesakāties, serveris izdod izaicinājumu, ko jūsu autentifikators paraksta ar privāto atslēgu, un serveris pārbauda šo parakstu ar publisko atslēgu.

Praktiskais rezultāts ir tāds, ka Nav jāfiltrē paroles, nav jāpārtver vienreizēji lietojami kodi un nav koplietotu noslēpumu, ko nozagt no servera.Ja kāds mēģina jūs apkrāpt, pat ja viņš jūs aizvedīs uz viltotu vietni, kriptogrāfiskais izaicinājums nebūs derīgs jūsu īstajai publiskajai atslēgai, tāpēc uzbrukums pats no sevis izjuks.

FIDO2 autentifikatoru veidi un mobilo ierīču loma

FIDO2 ekosistēmā izšķir divus galvenos autentifikatoru veidus: platforma un daudzplatformaIzpratne par šo atšķirību palīdzēs jums saprast, kāda ir mobilo ierīču nozīme, runājot par Windows sesijām.

Platformas autentifikators ir tāds, kas Tas ir integrēts pašā ierīcē.Piemēram, Windows Hello klēpjdatorā ar saderīgu pirkstu nospiedumu lasītāju vai kameru, Touch ID MacBook datorā vai pirkstu nospiedumu sensors modernā klēpjdatorā. To var izmantot tikai no tā paša datora, kurā tas ir instalēts, un to nevar pārsūtīt uz citu ierīci.

Daudzplatformu autentifikatori ir tie, kas Varat to izmantot no vairākām dažādām ierīcēm.Šeit noder FIDO2 drošības atslēgas (YubiKey, SoloKey, Nitrokey, vispārīgās NFC/USB atslēgas) un, kas ir ļoti svarīgi mūsu tēmai, Android un iOS mobilie tālruņi, ko izmanto kā ārējos autentifikatorus citām ierīcēm.

Atkarībā no iestatījumiem mobilais tālrunis var darboties divos veidos: kā platformas autentifikators (kad izmantojat piekļuves atslēgu tieši mobilajā pārlūkprogrammā/lietotnē) vai kā starpplatformu autentifikators (kad mobilais tālrunis tiek izmantots, lai pieteiktos citā ierīcē, piemēram, Windows datorā, izmantojot QR kodu un Bluetooth).

Papildus mobilajiem tālruņiem un fiziskajām atslēgām ir arī citi programmatūras autentifikatori un detaļas saderīgs, piemēram Windows Hello, Touch ID, Face ID, specializēti mobilo ierīču autentifikatori un tādas lietotnes kā Hideez Authenticator kas paplašina iespēju klāstu jauktām biznesa vidēm, kur modernās FIDO2 lietotnes pastāv līdzās mantotajām sistēmām, kuru pamatā joprojām ir paroles.

FIDO2 saderība operētājsistēmā Windows, pārlūkprogrammās un pakalpojumos

Lai mobilā ierīce darbotos kā FIDO2 autentifikators Windows sesijās, ir svarīgi, lai Pilns FIDO2/WebAuthn atbalsts: operētājsistēma, pārlūkprogramma vai lietotne un identitātes pakalpojumsPar laimi, pašreizējais atbalsts ir ļoti plašs.

Operētājsistēmas pusē Windows 10 (1903. versija un jaunākas versijas) un Windows 11 Tie sākotnēji atbalsta FIDO2 autentifikāciju, īpaši, ja ierīce ir pievienota Microsoft Entra ID (agrāk Azure AD) vai hibrīda domēnam. Windows Hello darbojas kā platformas autentifikators, un sistēma var darboties arī ar FIDO2 USB/NFC atslēgām un mobilajiem autentifikatoriem.

Runājot par pārlūkprogrammām, Chrome, Edge, Firefox un Safari Viņi ir iekļāvuši WebAuthn atbalstu vairākām versijām gan galddatoriem, gan mobilajām ierīcēm. Tas ļauj tādiem pakalpojumiem kā Microsoft Entra, Google, Bitwarden un citiem paroļu pārvaldniekiem un SSO pakalpojumu sniedzējiem uzsākt FIDO2 autentifikācijas plūsmu tieši no pārlūkprogrammas.

Pakalpojumu līmenī gandrīz visa mūsdienās svarīgā ekosistēma atbalsta vai pieņem piekļuves atslēgas: Microsoft Entra ID, Google konti, Google Workspace, uzņēmumu SSO pakalpojumu sniedzēji, paroļu pārvaldnieki, piemēram, Bitwarden, un identitātes platformas, piemēram, Hideez Cloud IdentityKatrs no tiem integrē FIDO2 nedaudz savādāk, taču pamatideja ir viena: jūsu autentifikators (mobilais tālrunis, atslēga vai Windows Hello) paraksta izaicinājumus, nevis ievada paroles.

Turklāt uzņēmējdarbības vidē, Microsoft Entra ID ļauj pārvaldīt FIDO2 kā oficiālu autentifikācijas metodiTas ietver īpašu politiku izmantošanu, lai to iespējotu, ierobežojot konkrētus AAGUID (atslēgas modeļus vai autentifikatorus) un piemērojot to nosacītas piekļuves apstākļos. Tas ir svarīgi, ja vēlaties aizsargāt sensitīvus resursus un ieviest pret pikšķerēšanu noturīgu daudzfaktoru autentifikāciju (MFA).

Pierakstieties pakalpojumā Microsoft ar FIDO2 piekļuves atslēgām. Piesakieties, izmantojot savu mobilo ierīci.

Pirmais praktiskais scenārijs mobilā tālruņa izmantošanai kā FIDO2 autentifikatoram operētājsistēmā Windows parasti ietver Microsoft pieteikšanās IDjo daudzas uzņēmumu Windows 10/11 sesijas ir saistītas ar Entra un izmanto šo identitāti tādiem resursiem kā Office, Teams, SharePoint un iekšējās lietotnes.

Entra atbalsta trīs galvenos FIDO2 piekļuves atslēgu modeļus lietotājiem: Piekļuves atslēgas, kas saglabātas pašā pieteikšanās ierīcē, atslēgas, kas saglabātas citā ierīcē (piemēram, mobilajā tālrunī), un atslēgas, kas saglabātas fiziskā drošības atslēgā.Visus šos modeļus var apvienot vienas organizācijas ietvaros.

Ja piekļuves atslēga ir saglabāta tajā pašā ierīcē (piemēram, Windows klēpjdatorā ar Windows Hello vai mobilajā tālrunī, kurā ir Microsoft Authenticator un piekļuves atslēga), plūsma ir ļoti vienkārša: Jūs dodaties uz resursu (biroju, uzņēmuma portālu utt.) un atlasāt autentifikācijas opciju ar seju, pirkstu nospiedumu, PIN vai drošības atslēgu.Sistēma atver drošības logu un lūdz jūs identificēt sevi, izmantojot konfigurēto metodi.

Ja piekļuves atslēga atrodas citā ierīcē, piemēram, mobilajā tālrunī, process ietver autentifikācija starp ierīcēmPiemēram, operētājsistēmā Windows 11 23H2 vai jaunākā versijā, izvēloties pierakstīties ar drošības atslēgu, tiek piedāvāta iespēja atlasīt ārēju ierīci, piemēram, “iPhone”. iPad "vai Android ierīcē." Datorā tiek parādīts QR kods, ko var noskenēt ar mobilā tālruņa kameru; pēc tam tālrunis pieprasīs jūsu biometriskos datus vai PIN kodu un, izmantojot Bluetooth un internetu, veiks autentifikāciju attālajā datorā.

Abos gadījumos, kad plūsma ir pabeigta, jūs tiekat autentificēts pret Microsoft pieteikšanās IDkas savukārt ļauj piekļūt mākoņa lietojumprogrammām un labi integrētās vidēs — Windows sesijām vai darbvirsmas lietotnēm, kas ir atkarīgas no šīs identitātes.

Microsoft Authenticator īpaša lietošana ar piekļuves atslēgām operētājsistēmās Android un iOS

Viens no ērtākajiem veidiem, kā izmantot mobilo tālruni kā FIDO2 autentifikatoru Microsoft vidē, ir Microsoft Authenticator ar piekļuves atslēgas atbalstuŠī lietotne var darboties kā FIDO2 autentifikators gan vienā ierīcē (lokālā autentifikācija), gan starp ierīcēm (lai pieteiktos Windows datorā vai citā datorā).

iOS ierīcē varat izmantot lietotni Authenticator kā platformas autentifikatoru, lai pierakstītos pakalpojumā Microsoft. Ievadiet savu ID sava pārlūkprogramma iPhone vai iPad un tādās Microsoft lietojumprogrammās kā OneDrive, SharePoint vai Outlook. Sistēma parādīs opciju “Seja, pirkstu nospiedums, PIN vai drošības atslēga”, un, to atlasot, tā pieprasīs Face ID, Touch ID vai ierīces PIN kodu.

Klasiskais autentifikācijas process starp ierīcēm operētājsistēmā iOS ir šāds: Otrā datorā (piemēram, Windows 11 ierīcē) atveriet Microsoft pierakstīšanās lapu. Piesakieties, izvēlieties citas pierakstīšanās metodes, atlasiet drošības atslēgas autentifikāciju un izvēlieties iPhone/iPad/Android ierīci.Tajā brīdī datora ekrānā tiek parādīts QR kods.

Ar savu iPhone jūs atverat sistēmas kameras lietotne (nevis Autentifikatorā iebūvēto kameru, jo tā nesaprot WebAuthn QR kodu) un pavērsiet to pret kodu. iPhone piedāvā iespēju “Pierakstīties ar piekļuves kodu”, un pēc identitātes pārbaudes ar Face ID, Touch ID vai PIN kodu tālrunis pabeidz FIDO2 autentifikāciju ar datoru, izmantojot Bluetooth un interneta savienojumu.

Android ierīcēs darbība ir līdzīga, lai gan ar dažām niansēm. Lai autentificētu to pašu ierīci pārlūkprogrammā, ir nepieciešams Android 14 vai jaunāka versija Lai izmantotu Autentifikatoru kā piekļuves atslēgu krātuvi savā tālrunī, dodieties uz vietni “Mana drošības informācija”, izvēlieties pieteikšanās opcijas un atlasiet sejas atpazīšanu, pirkstu nospiedumu, PIN kodu vai drošības atslēgu. Ja jums ir saglabātas vairākas piekļuves atslēgas, sistēma lūgs izvēlēties, kuru no tām vēlaties izmantot.

Lai autentifikāciju veiktu starp ierīcēm operētājsistēmā Android, datorā ievērojiet to pašu modeli: Atveriet taustiņu Enter, izvēlieties drošības atslēgu un atlasiet Android ierīci.Attālā ierīce parāda QR kodu, kuru var noskenēt ar sistēmas kameru vai no pašas lietotnes Autentifikators, ievadot piekļuves atslēgas kontu un izmantojot QR koda skenēšanas pogu, kas redzama paroles datos.

Visos šajos gadījumos ir svarīgi, lai būtu Bluetooth un interneta savienojums ir aktīvs abās ierīcēsJa organizācijai ir ierobežojošas Bluetooth politikas, administratoram, iespējams, būs jākonfigurē izņēmumi, lai atļautu savienošanu pārī tikai ar autentifikatoriem, kuriem ir iespējota FIDO2 piekļuves atslēga.

Citi FIDO2 lietošanas gadījumi: Google, Bitwarden un uzņēmuma SSO

Papildus Microsoft un Windows, pati mobilā tālruņa izmantošanas kā FIDO2 autentifikatora koncepcija lieliski atbilst Google piekļuves atslēgas, FIDO2 paroļu pārvaldnieki un uzņēmumu SSO risinājumiViss kopā padara jūsu mobilo tālruni par jūsu digitālās identitātes kodolu.

Pakalpojumā Google varat izveidot piekļuves atslēgas savam personīgajam vai Workspace kontam un izmantot tās. el atbloķēšanas metode mobilā tālruņa ekrāns (pirkstu nospiedums, seja, PIN kods) kā galveno faktoru. Kad piekļuves atslēga ir iestatīta jūsu Android tālrunī vai iPhone tālrunī, varat pieteikties savā Google kontā datorā, izmantojot plūsmu “Izmēģināt citu veidu” / “Izmantot piekļuves atslēgu” un skenējot QR kodu, kas parādās datora pārlūkprogrammā.

Pieredze ir līdzīga: dators parāda QR kodu, jūs to noskenējat ar tālruņa kameru vai iebūvēto skeneri, un tālrunis aicina to atbloķēt. Pēc biometrijas vai PIN koda pārbaudes Mobilais tālrunis paraksta FIDO2 izaicinājumu, un dators iegūst piekļuvi jūsu kontam.Pēc tam Google var ieteikt izveidot lokālu paroli jūsu datorā, taču tas nav obligāti.

Savukārt Bitwarden ļauj iespējot divpakāpju pieteikšanās ar FIDO2 WebAuthn savās lietojumprogrammās. Varat reģistrēt FIDO2 sertificētas fiziskās drošības atslēgas, kā arī izmantot vietējos autentifikatorus, piemēram, Windows Hello vai Touch ID. Mobilajās ierīcēs ir iespējams izmantot NFC iespējotas atslēgas (piemēram, YubiKey NFC), novietojot tās tuvu tālruņa lasīšanas zonai; dažreiz ir rūpīgi jātēmē, jo NFC lasītāja pozīcija atšķiras atkarībā no modeļa.

Uzņēmējdarbības vidē tādas platformas kā Hideez mākoņa identitāte Tie apvieno sinhronizētas FIDO2 piekļuves atslēgas (tās, kas jums varētu būt pakalpojumā Google vai iCloud) ar saviem mobilajiem autentifikatoriem, kuru pamatā ir dinamiskie QR kodi. Tipiska darbplūsma ir šāda: lai pieteiktos datorā, atveriet lietotni savā tālrunī, skenējiet datora ekrānā redzamo QR kodu un autorizējiet pieteikšanos no savas mobilās ierīces, kas darbojas kā drošs autentifikators.

Šī pieeja ir īpaši noderīga, ja jums ir dažādu veidu sajaukums Modernas lietojumprogrammas, kas ir saderīgas ar FIDO2 un mantotajām sistēmām, kuras joprojām izmanto lietotājvārdu un paroliDažas aparatūras atslēgas un identitātes risinājumi pat ļauj vienai un tai pašai atslēgai darboties kā FIDO2 autentifikatoram jauniem pakalpojumiem un kā paroļu pārvaldnieks šifrēšana mantotajām lietojumprogrammām.

Iespējojiet FIDO2/piekļuves atslēgas organizācijās, izmantojot Microsoft Login

Ja jūsu mērķis ir nodrošināt lietotājiem iespēju izmantot savu mobilo ierīci kā FIDO2 autentifikatoru Windows sesijās un korporatīvajās lietojumprogrammās, turpmākais ceļš ietver Formāli aktivizēt FIDO2 metodi pakalpojumā Microsoft Entra ID un definēt, kāda veida autentifikatori ir atļauti.

Microsoft Entra administrēšanas centrā autentifikācijas politikas administrators var doties uz Entra ID → Autentifikācijas metodes → Politikas un atrast metodi “drošības atslēga (FIDO2)Tur varat to iespējot globāli vai noteiktām drošības grupām, konfigurēt, vai ir atļauta pašapkalpošanās reģistrācija, un izlemt, vai ir nepieciešama ierīces atestācija.

Apliecināšanas opcija ļauj pieņemt tikai sekojošo: FIDO2 atslēgas un autentifikatori no likumīgiem pakalpojumu sniedzējiemTā kā katrs ražotājs publicē AAGUID (autentifikatora apliecinājuma GUID), kas identificē zīmolu un modeli, var piemērot "atslēgu ierobežošanas politiku", lai autorizētu tikai noteiktus AAGUID un bloķētu pārējos. Tas ir ļoti noderīgi, ja vēlaties kontrolētu atslēgu kopu vai korporatīvos mobilos autentifikatorus.

Sarežģītākiem scenārijiem Microsoft piedāvā Microsoft Graph API FIDO2 pārvaldībaiIzmantojot authenticationMethodsPolicy FIDO2 konfigurācijas galapunktu, varat automatizēt akreditācijas datu izveidi, validēt konkrētus AAGUID vai pat nodrošināt FIDO2 drošības atslēgas lietotāju vārdā (priekšskatījuma versija), izmantojot CTAP un Entra atgrieztos creationOptions.

Kad FIDO2 metode ir pareizi konfigurēta, varat izveidot uz piekļuves atslēgu balstītas autentifikācijas stiprās puses un izmantojiet tos nosacītās piekļuves politikās. Piemēram, iestatiet noteikumu, kas pieprasa autentifikāciju ar FIDO2 piekļuves atslēgām (un pēc izvēles ierobežojiet to ar vienu vai vairākiem mobilo autentifikatoru AAGUID vai noteiktām atslēgām), lai piekļūtu kritiski svarīgām lietojumprogrammām vai attālās darbvirsmas sesijām.

Tiek ņemti vērā arī apkopes scenāriji: Lietotāja piekļuves atslēgu dzēšana no administrēšanas centraUPN izmaiņas (tādā gadījumā lietotājam ir jāizdzēš vecā FIDO2 atslēga un jāreģistrē jauna) un ierobežojumi, piemēram, pašreizējais atbalsta trūkums B2B vieslietotājiem, lai reģistrētu FIDO2 akreditācijas datus tieši resursu nomniekā.

Konfigurējiet un izmantojiet FIDO2 drošības atslēgas ar savu mobilo tālruni

Lai gan šī teksta uzmanības centrā ir mobilais tālrunis kā autentifikators, daudzās vidēs ir lietderīgi to apvienot ar FIDO2 fiziskās drošības atslēgasīpaši administratoriem, darbiniekiem ar kritisku piekļuvi vai lietotājiem, kuriem nepieciešama stabila otrā metode.

Iestatīšana parasti sākas konta drošības portālos, piemēram, https://aka.ms/mfasetup vai Microsoft lapās “Mana drošības informācija”. Tur jūs atlasāt “Drošības atslēga” un izvēlaties, vai tā ir USB vai NFC, un jūs sekojat vedņa norādījumiem, kas atšķiras atkarībā no operētājsistēmas un atslēgas veida. Visbeidzot, atslēgai tiek piešķirts nosaukums turpmākai identifikācijai.

Pēc reģistrācijas atslēgu var izmantot no plkst. atbalstītās pārlūkprogrammas (Edge, Chrome, Firefox) vai pat lai pieteiktos organizācijas nodrošinātajos un konfigurētajos Windows 10/11 datoros. Turklāt tādas sistēmas kā RSA piedāvā īpašas utilītas (RSA Security Key Utility), lai pārvaldītu atslēgas PIN kodu, mainītu to, atiestatītu ierīci un integrētu to ar korporatīvajiem autentifikācijas produktiem, piemēram, SecurID.

FIDO2 kontekstā aparatūras atslēgas ir vienkārši vēl viens starpplatformu autentifikatora veids. Jūsu mobilā ierīce var tās izmantot vienlaicīgi. Mobilajā ierīcē varat sinhronizēt piekļuves atslēgas, kritiski svarīgām vajadzībām fiziskas atslēgas un darba datoros izmantot platformas autentifikatorus, piemēram, Windows Hello.Jo stabilākas un labāk pārvaldītas metodes jums ir, jo mazāk jūs būsiet atkarīgs no vājām parolēm.

Jebkurā gadījumā, neatkarīgi no tā, vai izmantojat fiziskas vai mobilās atslēgas, administratoram ieteicams definēt skaidras politikas autentifikatoru pievienošanai, noņemšanai un aizstāšanaikā arī procedūras, kas jāievēro ierīces nozaudēšanas vai zādzības gadījumā (saistītās paroles atcelšana, neseno piekļuvju pārskatīšana, MFA piespiedu izmantošana nākamajā pieteikšanās reizē utt.).

FIDO2 lietošanas reālās priekšrocības un ierobežojumi mobilajā tālrunī

Ievērojami uzlabojumi gan drošībā, gan lietojamībā Izmantojot mobilo tālruni kā FIDO2 autentifikatoru Windows sesijām un saistītajiem pakalpojumiem, ir arī trūkumi un nianses, kas jāzina.

Galvenā priekšrocība ir tā Autentifikācija kļūst izturīga pret pikšķerēšanas un akreditācijas datu zādzības uzbrukumiemTā kā privātā atslēga nekad neatstāj tālruni un tiek izmantota tikai kriptogrāfisku izaicinājumu parakstīšanai, uzbrucējs nevar "nozagt" jūsu paroli, jo tā vienkārši neeksistē. Pat ja pakalpojums tiek pārkāpts, tiek atklātas publiskās atslēgas, kas bez fiziskā autentifikatora ir bezjēdzīgas.

Vēl viena svarīga priekšrocība ir lietotāja pieredze: Tālruņa atbloķēšana ar pirkstu nospiedumu vai sejas atpazīšanu ir daudz ātrāka un dabiskāka. nekā rakstīt garas paroles, pārvaldīt vienreizējās paroles, izmantojot īsziņas, vai atcerēties atbildes uz drošības jautājumiem. Daudzos gadījumos tas arī novērš nepieciešamību pēc otrā tradicionālās daudzfaktoru autentifikācijas slāņa, jo FIDO2 pats par sevi atbilst spēcīgas, pret pikšķerēšanu izturīgas daudzfaktoru autentifikācijas prasībām.

Regulējošā līmenī FIDO2 ieviešana palīdz organizācijām saskaņot ar tādiem noteikumiem kā GDPR, HIPAA, PSD2 vai NIS2Un, ņemot vērā NIST vai CISA vadlīnijas, kas iesaka pret pikšķerēšanu aizsargātu MFA, nav nejaušība, ka valdības un lielie uzņēmumi pievēršas FIDO risinājumiem nulles uzticēšanās stratēģiju ietvaros.

Runājot par ierobežojumiem, viena no acīmredzamākajām problēmām ir tehnoloģiskais mantojumsDaudzas lietojumprogrammas, mantoti VPN, konkrēti attālie darbvirsmas vai iekšējās sistēmas neatbalsta FIDO2 vai moderno SSO. Tiem joprojām būs nepieciešamas tradicionālās paroles vai autentifikatori, lai gan daļu piekļuves var ietvert ar modernu IdP, kas izved FIDO2 uz āru.

Turklāt daudzos pakalpojumos joprojām Parole pilnībā nepazūdTo bieži glabā kā atkopšanas mehānismu, ja pazaudējat visas piekļuves atslēgas, kas nozīmē, ka, ja tā netiek pareizi pārvaldīta, joprojām pastāv mazāk drošs "B plāns". Nozare virzās uz modeļiem, kuros var paļauties tikai uz piekļuves atslēgām, taču pagaidām paroles joprojām redzēsiet visur.

Vēl viena svarīga nianse ir atšķirība starp Sinhronizētas piekļuves atslēgas un ar ierīci saistītās piekļuves atslēgasPirmie tiek replicēti, izmantojot mākoņpakalpojumus (piemēram, iCloud Keychain vai Google Password Manager), kas uzlabo ērtības, bet sarežģī korporatīvo kontroli; pēdējie paliek piesaistīti vienai aparatūrai (korporatīvajam mobilajam tālrunim, fiziskajai atslēgai), kas sniedz IT lielāku kontroli, bet lietotājam samazina ērtības.

Daudziem lietotājiem un uzņēmumiem mobilās ierīces izmantošana kā FIDO2 autentifikators Windows sesijām un piekļuvei mākoņresursiem ir ļoti saprātīgs veids, kā Pievienojieties bezparoles autentifikācijas kustībaiTas apvieno publiskās atslēgas kriptogrāfijas drošību ar ērtu tālruņa atbloķēšanu, kas jums jau ir līdzi, integrējas ar Windows 10/11, Microsoft Entra, Google un citiem moderniem pakalpojumiem, kā arī ļauj jums dzīvot ar fiziskām atslēgām un mantotajām sistēmām, pārejot uz pasauli, kurā paroles kļūst arvien mazāk svarīgas.