- Gesla, ki temeljijo na FIDO2, omogočajo prijavo v WindowsMicrosoftov ID za prijavo, google in druge storitve, ki uporabljajo mobilni telefon kot varno overitelje.
- Windows 10/11 in večji brskalniki podpirajo FIDO2/WebAuthn z možnostmi preverjanja pristnosti v isti napravi ali med napravami z uporabo kode QR in Bluetootha.
- Za dosego resnično okolja brez gesel je mogoče kombinirati uporabo mobilnih telefonov, fizičnih varnostnih ključev in overiteljev platforme (Windows Hello, Touch ID itd.).
- Organizacije lahko upravljajo pravilnike FIDO2 iz programov Microsoft Entra in Microsoft Graph, omejujejo določene AAGUID-e in uporabljajo večfaktorsko avtentikacijo, odporno na lažno predstavljanje.
Če ste utrujeni od boja z nemogoča gesla, preverjanje prek SMS-a in kode, ki potečejo v 30 sekundahUporaba mobilnega telefona kot overitelja FIDO2 za prijavo v sistem Windows in poslovne aplikacije je dobesedno prelomnica. Ideja je preprosta: vaš telefon postane vaš varnostni ključ in odkleniti ga morate le s prstnim odtisom, obrazom ali kodo PIN, da dokažete, da ste to vi.
V zadnjih letih so velikani, kot so Microsoft, Google, Apple in številni ponudniki varnostnih rešitev, investirali v FIDO2 in gesla kot resnična zamenjava za geslaTa tehnologija ni več eksperimentalna: deluje v sistemu Windows 10/11. Android, iOSmacOS, ChromeOS in večina priljubljenih brskalnikov. In kar nas tukaj zanima, vam omogoča uporabo mobilne naprave kot overitelja FIDO2 za dostop do virov v oblaku in za seje sistema Windows, ki jih upravlja vaša organizacija.
Kaj je FIDO2, gesla in zakaj je lahko vaš mobilni telefon overitelj?
Ko govorimo o uporabi mobilnega telefona kot overitelja za Windows, pravzaprav govorimo o uporabite standarde FIDO2 in gesla (dostopne ključe)FIDO je kratica za Fast Identity Online, zavezništvo podjetij, ki že leta oblikuje načine za preverjanje pristnosti brez zanašanja na šibka in ponovno uporabljena gesla.
FIDO2 je sodoben standard, ki združuje dve ključni komponenti: WebAuthn (iz W3C, del brskalnika in aplikacije) y CTAP2 (protokol, ki komunicira z overiteljem, kot je vaš telefon ali fizični ključ)Skupaj omogočajo spletni storitvi, da vas prosi za preverjanje pristnosti z vašim mobilnim telefonom, Windows Hello, ključem FIDO2 USB/NFC itd., namesto da bi vas silila, da si zapomnite še eno geslo.
V tem modelu lahko vaš mobilni telefon deluje kot večplatformski avtentikator FIDOVarno shranjuje vaš zasebni ključ in lahko podpiše izzive, ki mu jih pošljejo Windows, Microsoft Entra ID, Google ali druge storitve. Telefon odklenete z običajno metodo (prstni odtis, obraz, PIN), naprava pa namesto vas opravi kriptografski del.
Pod pokrovom FIDO2 uporablja kriptografija z javnim ključemVsakič, ko registrirate geslo za določeno storitev, se ustvari par ključev: zasebni ključ se shrani v overitelju (vaš mobilni telefon, računalnik, fizični ključ) in ga nikoli ne zapusti; javni ključ se pošlje storitvi in poveže z vašim računom. Ko se znova prijavite, strežnik izda izziv, ki ga vaš overitelj podpiše z zasebnim ključem, strežnik pa ta podpis preveri z javnim ključem.
Praktični rezultat je, da Ni gesel za filtriranje, ni enkratnih kod za prestrezanje in ni skupnih skrivnosti, ki bi jih lahko ukradli s strežnika.Če vas nekdo poskuša prevarati z lažnim spletnim mestom, tudi če vas preusmeri na lažno spletno mesto, kriptografski izziv ne bo veljaven za vaš pravi javni ključ, zato napad sam od sebe propade.
Vrste overiteljev FIDO2 in vloga mobilnih naprav
V ekosistemu FIDO2 ločimo dve glavni vrsti avtentifikatorjev: platforma in večplatformskaRazumevanje te razlike vam bo pomagalo razumeti, kje se mobilne naprave umestijo, ko govorimo o sejah sistema Windows.
Platformni overitelj je tisti, ki Integriran je v samo napravo.Na primer, Windows Hello na prenosniku z združljivim bralnikom prstnih odtisov ali kamero, Touch ID na MacBooku ali senzor prstnih odtisov na sodobnem prenosniku. Uporabljati ga je mogoče le v istem računalniku, kjer je nameščen, in ga ni mogoče prenesti v drugo napravo.
Večplatformski overitelji so tisti, ki Uporabljate ga lahko iz več različnih naprav.Tukaj pridejo v poštev varnostni ključi FIDO2 (YubiKey, SoloKey, Nitrokey, generični ključi NFC/USB) in, kar je za našo temo zelo pomembno, mobilni telefoni Android in iOS, ki se uporabljajo kot zunanji overitelji za druge naprave.
Glede na nastavitve se lahko vaš mobilni telefon obnaša na dva načina: kot overitelj platforme (ko geslo uporabite neposredno v mobilnem brskalniku/aplikaciji) ali kot medplatformski overitelj (ko se mobilni telefon uporablja za prijavo v drugo napravo, na primer računalnik z operacijskim sistemom Windows, z uporabo kode QR in povezave Bluetooth).
Poleg mobilnih telefonov in fizičnih ključev obstajajo tudi drugi programski overitelji in strojna oprema združljiv, všeč Windows Hello, Touch ID, Face ID, specializirani mobilni overjevalniki in aplikacije, kot je Hideez Authenticator ki širijo paleto možnosti za mešana poslovna okolja, kjer sodobne aplikacije FIDO2 sobivajo s starejšimi sistemi, ki še vedno temeljijo na geslih.
Združljivost s FIDO2 v sistemu Windows, brskalnikih in storitvah
Da bi mobilna naprava delovala kot overitelj FIDO2 v sejah sistema Windows, je bistveno, da Polna podpora za FIDO2/WebAuthn: operacijski sistem, brskalnik ali aplikacija in storitev identiteteNa srečo je trenutna podpora zelo obsežna.
Na strani operacijskega sistema, Windows 10 (različica 1903 in novejša) in Windows 11 Izvorno podpirajo preverjanje pristnosti FIDO2, še posebej, če je naprava povezana z Microsoft Entra ID (prej Azure AD) ali hibridno domeno. Windows Hello deluje kot overitelj platforme, sistem pa lahko deluje tudi s ključi FIDO2 USB/NFC in mobilnimi overitelji.
Kar se tiče brskalnikov, Chrome, Edge, Firefox in Safari Vključili so podporo za WebAuthn za več različic, tako za namizne kot mobilne naprave. To omogoča storitvam, kot so Microsoft Entra, Google, Bitwarden in drugi upravljalniki gesel ter ponudniki enotne prijave (SSO), da sprožijo tok preverjanja pristnosti FIDO2 neposredno iz brskalnika.
Na ravni storitev skoraj celoten ekosistem, ki je danes pomemben, podpira ali sprejema gesla: Microsoft Entra ID, Google Računi, Google Workspace, ponudniki enotne prijave za podjetja, upravitelji gesel, kot je Bitwarden, in platforme za identiteto, kot je Hideez Cloud IdentityVsak od njih integrira FIDO2 na nekoliko drugačen način, vendar je osnovna ideja enaka: vaš overitelj (mobilni telefon, ključ ali Windows Hello) podpiše izzive namesto vnašanja gesel.
Poleg tega v poslovnem okolju Microsoft Entra ID vam omogoča upravljanje FIDO2 kot uradne metode preverjanja pristnostiTo vključuje uporabo posebnih pravilnikov za omogočanje, omejevanje določenih AAGUID-ov (modelov ključev ali overiteljev) in uporabo pod pogoji pogojnega dostopa. To je ključnega pomena, kadar želite zavarovati občutljive vire in implementirati večfaktorsko autentifikacijo, odporno na lažno predstavljanje.
Prijavite se v Microsoft z gesli FIDO2. Prijavite se z mobilno napravo.
Prvi praktični scenarij uporabe mobilnega telefona kot overitelja FIDO2 v sistemu Windows običajno vključuje Microsoft Entra IDker je veliko sej sistema Windows 10/11 v podjetjih povezanih z Entro in to identiteto uporabljajo za vire, kot so Office, Teams, SharePoint in interne aplikacije.
Entra podpira tri glavne modele gesel FIDO2 za uporabnike: Dostopni ključi, shranjeni na sami napravi za prijavo, ključi, shranjeni na drugi napravi (na primer v mobilnem telefonu), in ključi, shranjeni na fizičnem varnostnem ključu.Vse te modele je mogoče kombinirati znotraj iste organizacije.
Ko je geslo shranjeno v isti napravi (na primer v prenosniku s sistemom Windows in funkcijo Windows Hello ali v mobilnem telefonu, kjer imate Microsoft Authenticator in geslo), je postopek zelo preprost: Pomaknete se do vira (pisarna, portal podjetja itd.) in izberete možnost preverjanja pristnosti z obrazom, prstnim odtisom, PIN-om ali varnostnim ključem.Sistem odpre varnostno okno in vas pozove, da se identificirate z uporabo konfigurirane metode.
Če je geslo v drugi napravi, na primer v mobilnem telefonu, postopek vključuje preverjanje pristnosti med napravamiV sistemu Windows 11 23H2 ali novejšem se na primer pri izbiri prijave z varnostnim ključem ponudi možnost izbire zunanje naprave, kot je »iPhone,« iPad ali napravo Android.“ Računalnik prikaže kodo QR, ki jo skenirate s kamero mobilnega telefona; nato bo telefon zahteval vaše biometrične podatke ali PIN in z uporabo Bluetootha in interneta dokončal preverjanje pristnosti na oddaljenem računalniku.
V obeh primerih, ko je tok končan, ste overjeni pri Microsoft Entra IDkar vam posledično omogoča dostop do vaših aplikacij v oblaku in v dobro integriranih okoljih tudi do sej sistema Windows ali namiznih aplikacij, ki so odvisne od te identitete.
Posebna uporaba programa Microsoft Authenticator z gesli v sistemih Android in iOS
Eden najprimernejših načinov uporabe mobilnega telefona kot overitelja FIDO2 v Microsoftovih okoljih je prek Microsoft Authenticator s podporo za dostopne ključeTa aplikacija lahko deluje kot overitelj FIDO2 tako na isti napravi (lokalno overjanje) kot med napravami (za prijavo v računalnik z operacijskim sistemom Windows ali drug računalnik).
V sistemu iOS lahko za prijavo v Microsoft uporabite Authenticator kot overitelj platforme. Vnesite svoj ID v svoj brskalnik iPhone ali iPad in v izvornih Microsoftovih aplikacijah, kot so OneDrive, SharePoint ali Outlook. Sistem vam bo prikazal možnost »Obraz, prstni odtis, PIN ali varnostni ključ« in ko jo izberete, vas bo vprašal za Face ID, Touch ID ali PIN vaše naprave.
Za preverjanje pristnosti med napravami v sistemu iOS je klasični postopek naslednji: V drugem računalniku (na primer v računalniku s sistemom Windows 11) pojdite na stran za prijavo v Microsoft. Prijavite se, izberite druge načine prijave, izberite preverjanje pristnosti z varnostnim ključem in izberite napravo iPhone/iPad/Android.V tistem trenutku se na zaslonu računalnika prikaže QR koda.
Z iPhonom odprete aplikacija za sistemsko kamero (ne kamere, vgrajene v Authenticator, saj ne razume kode QR WebAuthn) in jo usmerite proti kodi. iPhone ponuja možnost »Prijava z geslom« in po preverjanju vaše identitete s Face ID, Touch ID ali PIN telefon prek Bluetootha in internetne povezave izvede preverjanje pristnosti FIDO2 z računalnikom.
V sistemu Android je delovanje podobno, čeprav z nekaj niansami. Za preverjanje pristnosti iste naprave v brskalniku je potrebno Android 14 ali novejši Če želite uporabljati Authenticator kot shrambo gesel v telefonu, pojdite na spletno mesto My Security Info, izberite možnosti prijave in nato obraz, prstni odtis, PIN ali varnostni ključ. Če imate shranjenih več gesel, vas bo sistem pozval, da izberete tisto, ki jo želite uporabiti.
Za preverjanje pristnosti med napravami v sistemu Android sledite istemu vzorcu v računalniku: Pojdite na Enter, izberite varnostni ključ, izberite napravo AndroidOddaljena naprava prikaže kodo QR, ki jo lahko skenirate s kamero sistema ali iz same aplikacije Authenticator tako, da vnesete račun za dostopni ključ in uporabite gumb za skeniranje kode QR, ki je viden v podrobnostih gesla.
V vseh teh primerih je nujno imeti Bluetooth in internetna povezava aktivna na obeh napravahČe ima organizacija omejevalne pravilnike za Bluetooth, bo skrbnik morda moral konfigurirati izjeme, da bo omogočil seznanjanje samo z overitelji, ki imajo omogočen geslo FIDO2.
Drugi primeri uporabe FIDO2: Google, Bitwarden in enotna prijava za podjetja
Poleg Microsofta in sistema Windows se sam koncept uporabe mobilnega telefona kot overitelja FIDO2 popolnoma ujema z Googlovi gesli, upravitelji gesel FIDO2 in rešitve za enotno prijavo za podjetjaVse skupaj se sešteje, da vaš mobilni telefon postane jedro vaše digitalne identitete.
V Googlu lahko ustvarite dostopne ključe za svoj osebni račun ali račun Workspace in jih uporabljate el način odklepanja zaslon mobilnega telefona (prstni odtis, obraz, PIN) kot glavni dejavnik. Ko je geslo nastavljeno v telefonu Android ali iPhonu, se lahko v svoj Google Račun prijavite v računalniku s postopkom »Poskusite na drug način« / »Uporabite svoj dostopni ključ« in skenirate kodo QR, ki se prikaže v brskalniku računalnika.
Izkušnja je podobna: računalnik prikaže kodo QR, jo skenirate s kamero telefona ali vgrajenim skenerjem in telefon vas pozove, da ga odklenete. Po preverjanju biometričnih podatkov ali PIN-a, Mobilni telefon podpiše izziv FIDO2 in računalnik dobi dostop do vašega računa.Po tem vam bo Google morda predlagal ustvarjanje lokalnega gesla v računalniku, vendar to ni obvezno.
Bitwarden pa omogoča omogočanje dvostopenjska prijava s FIDO2 WebAuthn v svojih aplikacijah. Registrirate lahko fizične varnostne ključe s certifikatom FIDO2, uporabite pa lahko tudi izvorne overitelje, kot sta Windows Hello ali Touch ID. Na mobilnih napravah je mogoče uporabljati ključe, ki podpirajo NFC (kot je YubiKey NFC), tako da jih približate območju branja telefona; včasih morate previdno "ciljati", ker se položaj bralnika NFC razlikuje glede na model.
V poslovnem okolju platforme, kot so Hideez Cloud Identity Združujejo sinhronizirane gesla FIDO2 (tista, ki jih morda imate v Googlu ali iCloudu) z lastnimi mobilnimi overitelji, ki temeljijo na dinamičnih kodah QR. Tipičen potek dela je naslednji: za prijavo v računalnik odprete aplikacijo v telefonu, skenirate kodo QR, prikazano na zaslonu računalnika, in avtorizirate prijavo z mobilne naprave, ki deluje kot varni overitelj.
Ta pristop je še posebej uporaben, če imate mešanico Sodobne aplikacije, združljive s FIDO2 in starejšimi sistemi, ki se še vedno zanašajo na uporabniško ime in gesloNekateri strojni ključi in rešitve za identifikacijo celo omogočajo, da isti ključ deluje kot overitelj FIDO2 za nove storitve in kot upravitelj gesel šifriranje za starejše aplikacije.
Omogočite FIDO2/gesla v organizacijah z Microsoft Login
Če je vaš cilj omogočiti uporabnikom uporabo svoje mobilne naprave kot overitelja FIDO2 v sejah sistema Windows in poslovnih aplikacijah, potem pot naprej vključuje Formalno aktivirajte metodo FIDO2 v programu Microsoft Entra ID in določite, katere vrste overiteljev so dovoljene.
V skrbniškem središču Microsoft Entra lahko skrbnik pravilnikov za preverjanje pristnosti odpre Entra ID → Metode preverjanja pristnosti → Pravilniki in poišče metodo »varnostni ključ (FIDO2)Tam ga lahko omogočite globalno ali za določene varnostne skupine, konfigurirate, ali je dovoljena samopostrežna registracija, in se odločite, ali je potrebno preverjanje naprave.
Možnost potrditve omogoča sprejem le naslednjega: Ključi FIDO2 in overitelji legitimnih ponudnikovKer vsak proizvajalec objavi AAGUID (Authenticator Attestation GUID), ki identificira znamko in model, je mogoče uporabiti »pravilnik omejevanja ključev«, ki avtorizira le določene AAGUID-e in blokira ostale. To je zelo uporabno, če želite imeti nadzorovan nabor ključev ali korporativne mobilne overitelje.
Za naprednejše scenarije Microsoft ponuja Microsoft Graph API za upravljanje FIDO2Prek končne točke konfiguracije FIDO2 authenticationMethodsPolicy lahko avtomatizirate ustvarjanje poverilnic, preverite določene AAGUID-je ali celo zagotovite varnostne ključe FIDO2 v imenu uporabnikov (predogledna različica) z uporabo CTAP in creationOptions, ki jih vrne Entra.
Ko je metoda FIDO2 pravilno konfigurirana, lahko ustvarite močne stopnje preverjanja pristnosti na podlagi gesla in jih uporabite v pravilnikih pogojnega dostopa. Na primer, nastavite pravilo, ki zahteva preverjanje pristnosti s ključi za dostop FIDO2 (in po izbiri omejite na enega ali več AAGUID-ov mobilnih overiteljev ali določenih ključev) za dostop do kritičnih aplikacij ali sej oddaljenega namizja.
Upoštevajo se tudi scenariji vzdrževanja: Brisanje uporabniških gesel iz skrbniškega centraSpremembe UPN (v tem primeru mora uporabnik izbrisati svoj stari ključ FIDO2 in registrirati novega) in omejitve, kot je trenutno pomanjkanje podpore za gostujoče uporabnike B2B za neposredno registracijo poverilnic FIDO2 v najemniku virov.
Konfigurirajte in uporabljajte varnostne ključe FIDO2 z mobilnim telefonom
Čeprav se to besedilo osredotoča na mobilni telefon kot overitelj, ga je v mnogih okoljih smiselno kombinirati z Fizični varnostni ključi FIDO2še posebej za administratorje, osebje s kritičnim dostopom ali uporabnike, ki potrebujejo robustno drugo metodo.
Nastavitev se običajno začne na portalih za varnost računov, na primer v https://aka.ms/mfasetup ali na Microsoftovih straneh »Moji varnostni podatki«. Tam izberete »Varnostni ključ« in izberete, ali je USB ali NFC in sledite čarovniku, ki se razlikuje glede na operacijski sistem in vrsto ključa. Na koncu se ključu dodeli ime za poznejšo identifikacijo.
Ko je ključ registriran, ga lahko uporabite od podprti brskalniki (Edge, Chrome, Firefox) ali celo za prijavo v računalnike z operacijskim sistemom Windows 10/11, ki jih je zagotovila in konfigurirala organizacija. Poleg tega sistemi, kot je RSA, ponujajo posebne pripomočke (RSA Security Key Utility) za upravljanje PIN-a ključa, njegovo spreminjanje, ponastavitev naprave in integracijo z izdelki za preverjanje pristnosti v podjetjih, kot je SecurID.
V kontekstu FIDO2 so strojni ključi preprosto še ena vrsta medplatformskega overitelja. Vaša mobilna naprava jih lahko uporablja hkrati. V mobilni napravi lahko imate sinhronizirane gesla, fizične ključe za kritično uporabo in overitelje platforme, kot je Windows Hello, v službenih računalnikih.Bolj robustne in dobro upravljane metode kot imate, manj boste odvisni od šibkih gesel.
V vsakem primeru, ne glede na to, ali uporabljate fizične ali mobilne ključe, je priporočljivo, da skrbnik določi jasne politike za dodajanje, odstranjevanje in zamenjavo overiteljevkot tudi postopke, ki jih je treba upoštevati v primeru izgube ali kraje naprave (preklic povezanega gesla, pregled nedavnih dostopov, vsiljevanje večfaktorske autentifikacije ob naslednji prijavi itd.).
Resnične prednosti in omejitve uporabe FIDO2 z mobilnim telefonom
Jasno izboljšanje tako varnosti kot uporabnosti Pri uporabi mobilnega telefona kot overitelja FIDO2 za seje sistema Windows in povezane storitve obstajajo tudi pomanjkljivosti in nianse, ki jih je treba poznati.
Glavna prednost je, da Avtentikacija postane odporna na napade lažnega predstavljanja in kraje poverilnicKer zasebni ključ nikoli ne zapusti telefona in se uporablja le za podpisovanje kriptografskih izzivov, napadalec ne more "ukrasti" vašega gesla, ker preprosto ne obstaja. Tudi če storitev utrpi kršitev, so razkriti javni ključi, ki so brez fizičnega overitelja neuporabni.
Druga pomembna prednost je uporabniška izkušnja: Odklepanje telefona s prstnim odtisom ali obrazom je veliko hitrejše in bolj naravno. kot pisanje dolgih gesel, upravljanje enkratnih gesel prek SMS-ov ali pomnjenje odgovorov na varnostna vprašanja. V mnogih primerih odpravlja tudi potrebo po drugi plasti tradicionalne večfaktorske avtentikacije (MFA), saj FIDO2 sam izpolnjuje zahteve za močno, proti lažnemu predstavljanju odporno MFA.
Na regulativni ravni uvedba FIDO2 organizacijam pomaga pri usklajenost s predpisi, kot so GDPR, HIPAA, PSD2 ali NIS2In glede na smernice NIST ali CISA, ki priporočajo večfaktorsko autentifikacijo (MFA), odporno na lažno predstavljanje (phishing), ni naključje, da se vlade in velike korporacije obračajo na rešitve FIDO v okviru strategij ničelnega zaupanja.
Kar zadeva omejitve, je eden najvidnejših problemov tehnološka zapuščinaŠtevilne aplikacije, starejša omrežja VPN, določena oddaljena namizja ali notranji sistemi ne podpirajo protokola FIDO2 ali sodobne enotne prijave (SSO). Za te boste še vedno potrebovali tradicionalna gesla ali overitelje, čeprav lahko del dostopa ovijete s sodobnim ponudnikom identitet (IdP), ki komunicira navzven prek protokola FIDO2.
Poleg tega v mnogih storitvah še vedno Geslo ne izgine popolnomaPogosto se hrani kot mehanizem za obnovitev, če izgubite vsa gesla, kar pomeni, da če se z njimi ne upravlja pravilno, obstaja še vedno manj varen "načrt B". Industrija se premika k modelom, kjer se lahko zanašate izključno na gesla, vendar boste zaenkrat še vedno videli gesla povsod.
Drug pomemben odtenek je razlika med Sinhronizirana gesla in gesla, povezana z napravoPrve se replicirajo prek storitev v oblaku (kot sta iCloud Keychain ali Google Password Manager), kar izboljša udobje, vendar otežuje nadzor v podjetju; druge ostajajo vezane na eno samo strojno opremo (mobilni telefon podjetja, fizični ključ), kar daje IT-ju večji nadzor na račun nekaj udobja za uporabnika.
Za številne uporabnike in podjetja je uporaba mobilne naprave kot overitelja FIDO2 za seje sistema Windows in dostop do virov v oblaku zelo razumen način Skočite na vlak avtentikacije brez geslaZdružuje varnost kriptografije z javnim ključem in udobje odklepanja telefona, ki ga že imate s seboj, se integrira z operacijskimi sistemi Windows 10/11, Microsoft Entra, Google in drugimi sodobnimi storitvami ter vam omogoča življenje s fizičnimi ključi in starejšimi sistemi, medtem ko prehajate v svet, kjer gesla postajajo vse manj pomembna.
Strasten pisec o svetu bajtov in tehnologije nasploh. Rad delim svoje znanje s pisanjem in to je tisto, kar bom počel v tem blogu, saj vam bom pokazal vse najbolj zanimive stvari o pripomočkih, programski opremi, strojni opremi, tehnoloških trendih in še več. Moj cilj je, da vam pomagam krmariti po digitalnem svetu na preprost in zabaven način.