- Klucze dostępu oparte na FIDO2 umożliwiają logowanie do WindowsIdentyfikator logowania Microsoft, Google i inne usługi wykorzystujące telefon komórkowy jako bezpieczne narzędzie uwierzytelniające.
- Systemy Windows 10/11 i najpopularniejsze przeglądarki obsługują technologię FIDO2/WebAuthn z opcjami uwierzytelniania na tym samym urządzeniu lub między urządzeniami za pomocą kodu QR i technologii Bluetooth.
- Możliwe jest połączenie korzystania z telefonów komórkowych, fizycznych kluczy bezpieczeństwa i uwierzytelniaczy platformowych (Windows Hello, Touch ID itp.) w celu stworzenia środowiska całkowicie wolnego od haseł.
- Organizacje mogą zarządzać zasadami FIDO2 z poziomu programów Microsoft Entra i Microsoft Graph, ograniczać określone identyfikatory AAGUID i stosować uwierzytelnianie wieloskładnikowe odporne na phishing.
Jeśli masz dość walki z niemożliwe hasła, weryfikacja SMS i kody, które tracą ważność po 30 sekundachUżywanie telefonu komórkowego jako uwierzytelniacza FIDO2 do logowania się do systemu Windows i aplikacji firmowych to dosłownie przełom. Pomysł jest prosty: telefon staje się Twoim kluczem bezpieczeństwa, a Ty musisz go odblokować jedynie odciskiem palca, twarzą lub kodem PIN, aby potwierdzić swoją tożsamość.
W ostatnich latach giganci tacy jak Microsoft, Google, Apple i wielu dostawców rozwiązań bezpieczeństwa zainwestowało w FIDO2 i klucze dostępu jako rzeczywiste zamienniki hasełTechnologia ta nie jest już eksperymentalna: działa w systemach Windows 10/11. Android, iOSmacOS, ChromeOS i najpopularniejsze przeglądarki. Co ciekawe, umożliwia korzystanie z urządzenia mobilnego jako uwierzytelniacza FIDO2 zarówno do dostępu do zasobów w chmurze, jak i do sesji Windows zarządzanych przez organizację.
Czym jest FIDO2, klucze dostępu i dlaczego telefon komórkowy może pełnić funkcję uwierzytelniacza?
Kiedy mówimy o używaniu telefonu komórkowego jako uwierzytelniacza dla systemu Windows, tak naprawdę mówimy o korzystaj ze standardów FIDO2 i kluczy dostępuFIDO to skrót od Fast Identity Online, sojuszu firm, który od lat opracowuje metody uwierzytelniania bez konieczności stosowania słabych i wielokrotnie wykorzystywanych haseł.
FIDO2 to nowoczesny standard łączący dwa kluczowe elementy: WebAuthn (z W3C, część dotycząca przeglądarki i mobilne i webowe) y CTAP2 (protokół komunikujący się z uwierzytelniaczem, takim jak telefon lub klucz fizyczny)Razem umożliwiają one usłudze online poproszenie Cię o uwierzytelnienie się za pomocą telefonu komórkowego, Windows Hello, klucza USB/NFC FIDO2 itp., zamiast zmuszać Cię do zapamiętania kolejnego hasła.
W tym modelu Twój telefon komórkowy może pełnić funkcję uwierzytelniacz FIDO typu wieloplatformowegoBezpiecznie przechowuje Twój klucz prywatny i może podpisywać wyzwania wysyłane przez system Windows, Microsoft Entra ID, Google lub inne usługi. Odblokowujesz telefon standardową metodą (odcisk palca, twarz, kod PIN), a urządzenie zajmuje się częścią kryptograficzną za Ciebie.
Pod maską FIDO2 wykorzystuje kryptografia klucza publicznegoZa każdym razem, gdy rejestrujesz klucz dostępu do określonej usługi, generowana jest para kluczy: klucz prywatny jest przechowywany na urządzeniu uwierzytelniającym (Twoim telefonie komórkowym, komputerze, kluczu fizycznym) i nigdy go nie opuszcza; klucz publiczny jest wysyłany do usługi i powiązany z Twoim kontem. Po ponownym zalogowaniu serwer wysyła żądanie, aby urządzenie uwierzytelniające podpisało się kluczem prywatnym, a serwer weryfikuje ten podpis za pomocą klucza publicznego.
Praktycznym wynikiem jest to, że Nie ma żadnych haseł do filtrowania, żadnych jednorazowych kodów do przechwycenia i żadnych wspólnych sekretów do kradzieży z serwera.Jeśli ktoś spróbuje Cię oszukać, nawet jeśli przekieruje Cię na fałszywą stronę internetową, szyfrowanie nie będzie miało wpływu na Twój prawdziwy klucz publiczny, więc atak sam w sobie okaże się nieskuteczny.
Rodzaje uwierzytelniaczy FIDO2 i rola urządzeń mobilnych
W ekosystemie FIDO2 wyróżnia się dwa główne typy uwierzytelniaczy: platforma i multiplatformaZrozumienie tej różnicy pomoże Ci zrozumieć, jaką rolę odgrywa urządzenie mobilne w sesjach systemu Windows.
Uwierzytelniacz platformy to taki, który Jest on zintegrowany z samym urządzeniem.Na przykład Windows Hello na laptopie z kompatybilnym czytnikiem linii papilarnych lub kamerą, Touch ID na MacBooku czy czytnik linii papilarnych w nowoczesnym laptopie. Można z niego korzystać tylko na tym samym komputerze, na którym jest zainstalowany, i nie można go przenieść na inne urządzenie.
Uwierzytelniacze wieloplatformowe to takie, które Można z niego korzystać na wielu różnych urządzeniach.Tutaj w grę wchodzą klucze bezpieczeństwa FIDO2 (YubiKey, SoloKey, Nitrokey, uniwersalne klucze NFC/USB) oraz, co bardzo ważne w kontekście naszego tematu, telefony komórkowe z systemem Android i iOS używane jako zewnętrzne narzędzia uwierzytelniające inne urządzenia.
W zależności od ustawień Twój telefon komórkowy może zachowywać się na dwa sposoby: platforma uwierzytelniająca (gdy używasz klucza dostępu bezpośrednio w przeglądarce/aplikacji mobilnej) lub jako uwierzytelniacz wieloplatformowy (gdy telefon komórkowy jest używany do logowania się na innym urządzeniu, na przykład komputerze z systemem Windows, przy użyciu kodu QR i technologii Bluetooth).
Oprócz telefonów komórkowych i kluczy fizycznych istnieją inne uwierzytelniacze programowe i sprzęt komputerowy kompatybilny, jak Windows Hello, Touch ID, Face ID, specjalistyczne uwierzytelniacze mobilne i aplikacje takie jak Hideez Authenticator które poszerzają zakres opcji dla mieszanych środowisk biznesowych, w których nowoczesne aplikacje FIDO2 współistnieją ze starszymi systemami, nadal opartymi na hasłach.
Zgodność z FIDO2 w systemie Windows, przeglądarkach i usługach
Aby urządzenie mobilne mogło działać jako uwierzytelniacz FIDO2 w sesjach systemu Windows, konieczne jest, aby: Pełna obsługa FIDO2/WebAuthn: system operacyjny, przeglądarka lub aplikacja oraz usługa tożsamościNa szczęście obecne wsparcie jest bardzo szerokie.
Po stronie systemu operacyjnego, Windows 10 (wersja 1903 i nowsze) i Windows 11 Natywnie obsługują uwierzytelnianie FIDO2, zwłaszcza jeśli urządzenie jest podłączone do Microsoft Entra ID (dawniej Azure AD) lub domeny hybrydowej. Windows Hello działa jako uwierzytelniacz platformy, a system może również współpracować z kluczami USB/NFC FIDO2 i uwierzytelniaczami mobilnymi.
Jeśli chodzi o przeglądarki, Chrome, Edge, Firefox i Safari Wprowadzono obsługę WebAuthn w kilku wersjach, zarówno na komputerach stacjonarnych, jak i urządzeniach mobilnych. Dzięki temu usługi takie jak Microsoft Entra, Google, Bitwarden i inne menedżery haseł oraz dostawcy SSO mogą inicjować uwierzytelnianie FIDO2 bezpośrednio z przeglądarki.
Na poziomie usług niemal cały ekosystem, który ma dziś znaczenie, obsługuje lub przyjmuje klucze dostępu: Microsoft Entra ID, konta Google, Google Workspace, dostawcy korporacyjnego logowania jednokrotnego, menedżerowie haseł, tacy jak Bitwarden, i platformy tożsamości, takie jak Hideez Cloud IdentityKażdy z nich integruje FIDO2 w nieco inny sposób, ale główna idea jest ta sama: Twój uwierzytelniacz (urządzenie mobilne, klucz lub Windows Hello) podpisuje potwierdzenia zamiast wpisywać hasła.
Ponadto w środowiskach biznesowych Microsoft Entra ID umożliwia zarządzanie FIDO2 jako oficjalną metodą uwierzytelnianiaWymaga to stosowania określonych zasad, które umożliwiają jego włączenie, ograniczania określonych identyfikatorów AAGUID (modeli kluczy lub uwierzytelniaczy) oraz stosowania go w warunkach dostępu warunkowego. Jest to kluczowe, gdy chcesz zabezpieczyć wrażliwe zasoby i wdrożyć uwierzytelnianie wieloskładnikowe odporne na phishing.
Zaloguj się do Microsoft za pomocą kluczy FIDO2. Zaloguj się za pomocą urządzenia mobilnego.
Pierwszy praktyczny scenariusz wykorzystania telefonu komórkowego jako uwierzytelniacza FIDO2 w systemie Windows zwykle obejmuje Identyfikator Microsoft Entraponieważ wiele sesji korporacyjnych Windows 10/11 jest powiązanych z Entra i używa tej tożsamości do zasobów, takich jak Office, Teams, SharePoint i aplikacje wewnętrzne.
Entra obsługuje trzy główne modele kluczy dostępu FIDO2 dla użytkowników: Klucze dostępu przechowywane na samym urządzeniu do logowania, klucze przechowywane na innym urządzeniu (np. w telefonie komórkowym) i klucze przechowywane na fizycznym kluczu bezpieczeństwa.Wszystkie te modele można łączyć w ramach tej samej organizacji.
Gdy klucz dostępu jest przechowywany na tym samym urządzeniu (na przykład na laptopie z systemem Windows i funkcją Windows Hello lub na telefonie komórkowym, na którym masz aplikację Microsoft Authenticator i klucz dostępu), przepływ jest bardzo prosty: Przechodzisz do zasobu (biura, portalu firmowego itp.) i wybierasz opcję uwierzytelniania za pomocą twarzy, odcisku palca, kodu PIN lub klucza bezpieczeństwaSystem otworzy okno bezpieczeństwa i poprosi o identyfikację za pomocą skonfigurowanej metody.
Jeżeli klucz dostępu znajduje się na innym urządzeniu, np. telefonie komórkowym, proces obejmuje uwierzytelnianie między urządzeniamiNa przykład w systemie Windows 11 23H2 lub nowszym, gdy zdecydujesz się zalogować przy użyciu klucza bezpieczeństwa, zostanie wyświetlona opcja wyboru urządzenia zewnętrznego, takiego jak „iPhone, iPad lub urządzeniu z systemem Android”. Komputer wyświetla kod QR, który należy zeskanować aparatem w telefonie komórkowym. Następnie telefon poprosi o dane biometryczne lub kod PIN i, wykorzystując technologię Bluetooth i Internet, przeprowadzi uwierzytelnianie na komputerze zdalnym.
W obu przypadkach po zakończeniu przepływu następuje uwierzytelnienie Identyfikator Microsoft Entraco z kolei umożliwia dostęp do aplikacji w chmurze, a w dobrze zintegrowanych środowiskach także do sesji systemu Windows lub aplikacji na komputerze, które zależą od tej tożsamości.
Konkretne zastosowanie aplikacji Microsoft Authenticator z kluczami dostępu w systemach Android i iOS
Jednym z najwygodniejszych sposobów wykorzystania telefonu komórkowego jako uwierzytelniacza FIDO2 w środowiskach Microsoft jest Microsoft Authenticator z obsługą klucza dostępuTa aplikacja może pełnić funkcję uwierzytelniacza FIDO2 zarówno na tym samym urządzeniu (uwierzytelnianie lokalne), jak i między urządzeniami (w celu zalogowania się do komputera z systemem Windows lub innego komputera).
W systemie iOS możesz użyć aplikacji Authenticator jako uwierzytelniacza platformy do logowania się do Microsoft. Wprowadź swój identyfikator w własna przeglądarka iPhone lub iPad oraz w natywnych aplikacjach Microsoft, takich jak OneDrive, SharePoint czy Outlook. System wyświetli opcję „Twarz, odcisk palca, PIN lub klucz bezpieczeństwa”, a po jej wybraniu poprosi o Face ID, Touch ID lub PIN urządzenia.
W przypadku uwierzytelniania między urządzeniami w systemie iOS klasyczny proces wygląda następująco: Na drugim komputerze (na przykład z systemem Windows 11) przejdź do strony logowania Microsoft. Zaloguj się, wybierz inne metody logowania, wybierz uwierzytelnianie kluczem bezpieczeństwa i wybierz urządzenie iPhone/iPad/Android.W tym momencie na ekranie komputera wyświetla się kod QR.
Za pomocą iPhone'a otwierasz aplikacja aparatu systemowego (nie kamery wbudowanej w Authenticator, ponieważ nie rozpoznaje ona kodu QR WebAuthn) i skieruj go na kod. iPhone oferuje opcję „Zaloguj się hasłem”, a po weryfikacji tożsamości za pomocą Face ID, Touch ID lub kodu PIN telefon przeprowadza uwierzytelnianie FIDO2 z komputerem za pomocą Bluetooth i połączenia internetowego.
Na Androidzie zachowanie jest podobne, choć z pewnymi niuansami. Uwierzytelnienie tego samego urządzenia w przeglądarce wymaga Android 14 lub nowszy Aby użyć Authenticatora jako magazynu kluczy dostępu w telefonie, przejdź do strony My Security Info, wybierz opcje logowania, a następnie wybierz rozpoznawanie twarzy, odcisk palca, kod PIN lub klucz bezpieczeństwa. Jeśli masz zapisane wiele kluczy dostępu, system poprosi Cię o wybranie tego, którego chcesz użyć.
W przypadku uwierzytelniania między urządzeniami z systemem Android należy postępować zgodnie z tym samym schematem na komputerze: Przejdź do Enter, wybierz klucz bezpieczeństwa, wybierz urządzenie z systemem AndroidNa urządzeniu zdalnym wyświetlany jest kod QR, który można zeskanować za pomocą aparatu systemu lub bezpośrednio w aplikacji Authenticator, wprowadzając klucz dostępu do konta i używając przycisku skanowania kodu QR widocznego w szczegółach klucza dostępu.
We wszystkich tych scenariuszach niezbędne jest posiadanie Połączenie Bluetooth i internetowe aktywne na obu urządzeniachJeśli w organizacji obowiązują restrykcyjne zasady dotyczące technologii Bluetooth, administrator może być zmuszony skonfigurować wyjątki, aby umożliwić parowanie wyłącznie z uwierzytelniaczami obsługującymi klucze dostępu FIDO2.
Inne przypadki użycia FIDO2: Google, Bitwarden i korporacyjne logowanie jednokrotne
Oprócz Microsoftu i Windowsa sama koncepcja używania telefonu komórkowego jako uwierzytelniacza FIDO2 idealnie pasuje do Google Passkeys, menedżery haseł FIDO2 i rozwiązania SSO dla przedsiębiorstwWszystko to sprawia, że telefon komórkowy staje się rdzeniem Twojej tożsamości cyfrowej.
W Google możesz tworzyć klucze dostępu do swojego konta osobistego lub Workspace i używać ich el metoda odblokowania ekran telefonu komórkowego (odcisk palca, twarz, PIN) jako główny czynnik. Po skonfigurowaniu klucza dostępu na telefonie z Androidem lub iPhonie możesz zalogować się na swoje konto Google na komputerze, korzystając z opcji „Wypróbuj inny sposób” / „Użyj klucza dostępu” i skanując kod QR wyświetlany w przeglądarce komputera.
Doświadczenie jest podobne: komputer wyświetla kod QR, skanujesz go aparatem telefonu lub wbudowanym skanerem, a telefon wyświetla monit o odblokowanie. Po weryfikacji danych biometrycznych lub kodu PIN, Telefon komórkowy podpisuje wyzwanie FIDO2, a komputer uzyskuje dostęp do Twojego kontaNastępnie Google może zasugerować utworzenie lokalnego klucza dostępu na komputerze, ale jest to opcjonalne.
Bitwarden ze swojej strony umożliwia włączenie dwuetapowe logowanie z FIDO2 WebAuthn w swoich aplikacjach. Możesz zarejestrować fizyczne klucze bezpieczeństwa z certyfikatem FIDO2, ale możesz również korzystać z natywnych uwierzytelniaczy, takich jak Windows Hello czy Touch ID. Na urządzeniach mobilnych można używać kluczy z obsługą NFC (takich jak YubiKey NFC), zbliżając je do obszaru odczytu telefonu; czasami trzeba „celować” ostrożnie, ponieważ położenie czytnika NFC różni się w zależności od modelu.
W środowisku biznesowym platformy takie jak: Tożsamość w chmurze Hideez Łączą one zsynchronizowane hasła FIDO2 (te, które możesz mieć w Google lub iCloud) z własnymi mobilnymi uwierzytelniaczami opartymi na dynamicznych kodach QR. Typowy proces wygląda następująco: aby zalogować się na komputerze, otwierasz aplikację na telefonie, skanujesz kod QR wyświetlony na ekranie komputera i autoryzujesz logowanie z urządzenia mobilnego, które działa jak bezpieczny uwierzytelniacz.
To podejście jest szczególnie przydatne, gdy masz mieszankę Nowoczesne aplikacje zgodne z FIDO2 i starsze systemy, które nadal wymagają nazwy użytkownika i hasłaNiektóre klucze sprzętowe i rozwiązania tożsamościowe pozwalają nawet na używanie tego samego klucza jako uwierzytelniacza FIDO2 w przypadku nowych usług i jako menedżer haseł szyfrowanie dla starszych aplikacji.
Włącz FIDO2/klucze dostępu w organizacjach z logowaniem Microsoft
Jeśli Twoim celem jest umożliwienie użytkownikom korzystania z urządzeń mobilnych jako uwierzytelniacza FIDO2 w sesjach systemu Windows i aplikacjach korporacyjnych, droga naprzód obejmuje: Formalna aktywacja metody FIDO2 w Microsoft Entra ID i zdefiniuj, jakie typy uwierzytelniaczy są dozwolone.
Z centrum administracyjnego Microsoft Entra administrator zasad uwierzytelniania może przejść do Entra ID → Metody uwierzytelniania → Zasady i znaleźć metodę „klucz bezpieczeństwa (FIDO2)Tam możesz włączyć tę funkcję globalnie lub dla określonych grup zabezpieczeń, skonfigurować, czy samoobsługowa rejestracja jest dozwolona, a także zdecydować, czy wymagane jest poświadczenie urządzenia.
Opcja poświadczenia pozwala na akceptację wyłącznie następujących dokumentów: Klucze i uwierzytelniacze FIDO2 od legalnych dostawcówPonieważ każdy producent publikuje AAGUID (Authenticator Attestation GUID), który identyfikuje markę i model, można zastosować „zasadę ograniczeń kluczy”, aby autoryzować tylko niektóre AAGUID i blokować pozostałe. Jest to bardzo przydatne, gdy chcesz mieć kontrolowaną pulę kluczy lub firmowych mobilnych uwierzytelniaczy.
W przypadku bardziej zaawansowanych scenariuszy firma Microsoft oferuje Interfejs API Microsoft Graph do zarządzania FIDO2Za pomocą punktu końcowego konfiguracji FIDO2 authenticationMethodsPolicy można zautomatyzować tworzenie poświadczeń, sprawdzać poprawność określonych identyfikatorów AAGUID, a nawet dostarczać klucze bezpieczeństwa FIDO2 w imieniu użytkowników (wersja zapoznawcza) przy użyciu CTAP i opcji tworzenia zwracanych przez Entra.
Po poprawnym skonfigurowaniu metody FIDO2 można utworzyć siła uwierzytelniania opartego na kluczu dostępu i używać ich w zasadach dostępu warunkowego. Na przykład, skonfiguruj regułę wymagającą uwierzytelniania za pomocą kluczy dostępu FIDO2 (i opcjonalnie ograniczającą się do jednego lub kilku identyfikatorów AAGUID uwierzytelniaczy mobilnych lub określonych kluczy) w celu uzyskania dostępu do kluczowych aplikacji lub sesji pulpitu zdalnego.
Brane są pod uwagę również następujące scenariusze konserwacji: Usuwanie kluczy dostępu użytkownika z centrum administracyjnegoZmiany nazwy UPN (w takim przypadku użytkownik musi usunąć stary klucz FIDO2 i zarejestrować nowy) oraz ograniczenia, takie jak obecny brak wsparcia dla użytkowników gościnnych B2B w zakresie rejestrowania poświadczeń FIDO2 bezpośrednio w dzierżawie zasobu.
Konfiguruj i używaj kluczy bezpieczeństwa FIDO2 na swoim telefonie komórkowym
Chociaż w tym tekście skupimy się na telefonie komórkowym jako autentykatorze, w wielu środowiskach ma sens łączenie go z Klucze bezpieczeństwa fizycznego FIDO2szczególnie dla administratorów, personelu z dostępem krytycznym lub użytkowników potrzebujących niezawodnej drugiej metody.
Konfiguracja zazwyczaj rozpoczyna się od portali bezpieczeństwa konta, np. https://aka.ms/mfasetup lub na stronach „Moje informacje o zabezpieczeniach” firmy Microsoft. Tam wybierasz „Klucz bezpieczeństwa” i decydujesz, czy USB lub NFC, a następnie postępuj zgodnie z instrukcjami kreatora, które różnią się w zależności od systemu operacyjnego i rodzaju klucza. Na koniec kluczowi przypisywana jest nazwa, która ułatwi późniejszą identyfikację.
Po zarejestrowaniu klucza można używać od obsługiwane przeglądarki (Edge, Chrome, Firefox) lub nawet do logowania się na komputerach z systemem Windows 10/11 dostarczonych i skonfigurowanych przez organizację. Ponadto systemy takie jak RSA oferują specjalistyczne narzędzia (narzędzie RSA Security Key Utility) do zarządzania kodem PIN klucza, jego zmiany, resetowania urządzenia i integracji z korporacyjnymi produktami uwierzytelniającymi, takimi jak SecurID.
W kontekście FIDO2 klucze sprzętowe to po prostu kolejny rodzaj uwierzytelniacza międzyplatformowego. Możesz z nich korzystać jednocześnie na swoim urządzeniu mobilnym. Możesz mieć zsynchronizowane klucze dostępu na swoim urządzeniu mobilnym, klucze fizyczne do krytycznych zastosowań i uwierzytelniacze platformy, takie jak Windows Hello, na komputerach w pracy.Im bardziej niezawodne i dobrze zarządzane metody stosujesz, tym rzadziej będziesz musiał polegać na słabych hasłach.
W każdym przypadku, niezależnie od tego, czy używasz kluczy fizycznych czy mobilnych, zaleca się, aby administrator zdefiniował jasne zasady dodawania, usuwania i zastępowania uwierzytelniaczya także procedury postępowania w przypadku zgubienia lub kradzieży urządzenia (unieważnienie powiązanego klucza dostępu, przegląd ostatnich dostępów, wymuszenie uwierzytelniania wieloskładnikowego przy następnym logowaniu itp.).
Rzeczywiste zalety i ograniczenia korzystania z FIDO2 w telefonie komórkowym
Wyraźna poprawa bezpieczeństwa i użyteczności W przypadku korzystania z telefonu komórkowego jako uwierzytelniacza FIDO2 dla sesji systemu Windows i powiązanych usług istnieją jednak pewne wady i niuanse, o których należy wiedzieć.
Główną zaletą jest to Uwierzytelnianie staje się odporne na ataki phishingowe i kradzież danych uwierzytelniającychPonieważ klucz prywatny nigdy nie opuszcza telefonu i służy wyłącznie do podpisywania wyzwań kryptograficznych, atakujący nie może „ukraść” hasła, ponieważ ono po prostu nie istnieje. Nawet jeśli usługa padnie ofiarą ataku, ujawnione zostaną klucze publiczne, które są bezużyteczne bez fizycznego uwierzytelniacza.
Kolejną ważną zaletą jest doświadczenie użytkownika: Odblokowywanie telefonu za pomocą odcisku palca lub twarzy jest o wiele szybsze i bardziej naturalne. niż pisanie długich haseł, zarządzanie hasłami jednorazowymi za pomocą SMS-ów czy zapamiętywanie odpowiedzi na pytania bezpieczeństwa. W wielu przypadkach eliminuje to również potrzebę drugiej warstwy tradycyjnego uwierzytelniania wieloskładnikowego (MFA), ponieważ samo FIDO2 spełnia wymagania silnego, odpornego na phishing uwierzytelniania wieloskładnikowego (MFA).
Na poziomie regulacyjnym wdrożenie FIDO2 pomaga organizacjom zgodność z przepisami takimi jak RODO, HIPAA, PSD2 lub NIS2Biorąc pod uwagę wytyczne NIST i CISA, które zalecają uwierzytelnianie wieloskładnikowe odporne na ataki phishingowe, nie jest przypadkiem, że rządy i duże korporacje zwracają się w stronę rozwiązań FIDO w ramach strategii zero-trust.
Jeśli chodzi o ograniczenia, jednym z najwyraźniejszych problemów jest dziedzictwo technologiczneWiele aplikacji, starszych sieci VPN, określonych pulpitów zdalnych lub systemów wewnętrznych nie obsługuje FIDO2 ani nowoczesnego logowania jednokrotnego (SSO). W tym przypadku nadal potrzebne będą tradycyjne hasła lub uwierzytelniacze, choć część dostępu można objąć nowoczesnym dostawcą tożsamości (IdP), który komunikuje się z FIDO2 na zewnątrz.
Co więcej, w wielu usługach nadal Hasło nie znika całkowicieCzęsto jest to mechanizm odzyskiwania na wypadek utraty wszystkich kluczy dostępu, co oznacza, że jeśli nie będzie odpowiednio zarządzany, nadal istnieje mniej bezpieczny „plan B”. Branża zmierza w kierunku modeli, w których można polegać wyłącznie na kluczach dostępu, ale na razie hasła nadal będą się pojawiać wszędzie.
Innym ważnym niuansem jest różnica pomiędzy Zsynchronizowane klucze dostępu i klucze dostępu powiązane z urządzeniemPierwsze z nich są replikowane za pośrednictwem usług w chmurze (takich jak iCloud Keychain lub Google Password Manager), co zwiększa wygodę, ale komplikuje kontrolę korporacyjną; drugie są powiązane z pojedynczym sprzętem (telefonem komórkowym firmy, kluczem fizycznym), co zapewnia większą kontrolę działowi IT kosztem wygody użytkownika.
Dla wielu użytkowników i firm korzystanie z urządzenia mobilnego jako uwierzytelniacza FIDO2 dla sesji Windows i dostępu do zasobów w chmurze jest bardzo rozsądnym sposobem wskocz na modę na uwierzytelnianie bez hasłaŁączy w sobie bezpieczeństwo kryptografii klucza publicznego z wygodą odblokowywania telefonu, który już nosisz przy sobie, integruje się z systemami Windows 10/11, Microsoft Entra, Google i innymi nowoczesnymi usługami oraz pozwala Ci żyć z kluczami fizycznymi i starszymi systemami, przechodząc do świata, w którym hasła stają się coraz mniej ważne.
Pisarz z pasją zajmujący się światem bajtów i technologii w ogóle. Uwielbiam dzielić się swoją wiedzą poprzez pisanie i właśnie to będę robić na tym blogu, pokazywać Ci wszystkie najciekawsze rzeczy o gadżetach, oprogramowaniu, sprzęcie, trendach technologicznych i nie tylko. Moim celem jest pomóc Ci poruszać się po cyfrowym świecie w prosty i zabawny sposób.