Како користити мобилни телефон као FIDO2 аутентификатор за Windows сесије

Ако сте уморни од борбе са немогуће лозинке, СМС верификација и кодови који истичу за 30 секундиКоришћење мобилног телефона као FIDO2 аутентификатора за пријављивање на Windows и ваше корпоративне апликације је, буквално, прекретница. Идеја је једноставна: ваш телефон постаје ваш безбедносни кључ и потребно га је само откључати отиском прста, лицем или ПИН-ом да бисте доказали да сте то ви.

Последњих година, гиганти попут Мајкрософта, Гугла, Епла и многих безбедносних добављача инвестирали су у FIDO2 и лозинке као стварне замене за лозинкеОва технологија више није експериментална: ради на Windows 10/11. Андроид, iOSmacOS, ChromeOS и већину популарних прегледача. А оно што нас овде занима јесте да вам омогућава да користите свој мобилни уређај као FIDO2 аутентификатор и за приступ ресурсима у облаку и за Windows сесије којима управља ваша организација.

Шта је FIDO2, лозинке и зашто ваш мобилни телефон може бити аутентификатор?

Када говоримо о коришћењу мобилног телефона као аутентификатора за Windows, заправо говоримо о користите FIDO2 стандарде и лозинке (кључеве за приступ)ФИДО је скраћеница од Fast Identity Online, савез компанија који је годинама дизајнирао начине за аутентификацију без ослањања на слабе и поново коришћене лозинке.

FIDO2 је модерни стандард који обједињује две кључне компоненте: WebAuthn (из W3C-а, дела прегледача и апликације) y CTAP2 (протокол који комуницира са аутентификатором, као што је ваш телефон или физички кључ)Заједно омогућавају онлајн сервису да вас замоли да се аутентификујете помоћу мобилног телефона, Windows Hello-а, FIDO2 USB/NFC кључа итд., уместо да вас тера да памтите још једну лозинку.

У овом моделу, ваш мобилни телефон може да послужи као FIDO аутентификатор вишеплатформског типаБезбедно чува ваш приватни кључ и може да потписује изазове које му шаљу Windows, Microsoft Entra ID, Google или друге услуге. Откључавате телефон уобичајеном методом (отисак прста, лице, ПИН), а уређај се бави криптографским делом уместо вас.

Испод хаубе, FIDO2 користи криптографија са јавним кључемСваки пут када региструјете лозинку за одређену услугу, генерише се пар кључева: приватни кључ се чува на аутентификатору (ваш мобилни телефон, ваш рачунар, физички кључ) и никада га не напушта; јавни кључ се шаље услузи и повезује са вашим налогом. Када се поново пријавите, сервер издаје изазов који ваш аутентификатор потписује приватним кључем, а сервер проверава тај потпис јавним кључем.

Практични резултат је да Нема лозинки за филтрирање, нема једнократних кодова за пресретање и нема дељених тајни за крађу са сервера.Ако неко покуша да вас фишује, чак и ако вас одведе на лажну веб страницу, криптографски изазов неће бити валидан за ваш прави јавни кључ, тако да напад пропада сам од себе.

Врсте FIDO2 аутентификатора и улога мобилних уређаја

У FIDO2 екосистему разликују се два главна типа аутентификатора: платформа и мултиплатформаРазумевање ове разлике ће вам помоћи да видите где се мобилни уређаји уклапају када говоримо о Windows сесијама.

Аутентификатор платформе је онај који Интегрисан је у сам уређај.На пример, Windows Hello на лаптопу са компатибилним читачем отиска прста или камером, Touch ID на MacBook-у или сензор отиска прста на модерном лаптопу. Може се користити само са истог рачунара на којем је инсталиран и не може се пренети на други уређај.

Вишеплатформски аутентификатори су они који Можете га користити са неколико различитих уређаја.Ту долазе до изражаја FIDO2 безбедносни кључеви (YubiKey, SoloKey, Nitrokey, генерички NFC/USB кључеви) и, што је веома важно за нашу тему, Андроид и iOS мобилни телефони који се користе као екстерни аутентификатори за друге уређаје.

У зависности од подешавања, ваш мобилни телефон може да се понаша на два начина: као аутентификатор платформе (када користите лозинку директно у мобилном прегледачу/апликацији) или као вишеплатформски аутентификатор (када се мобилни телефон користи за пријављивање на други уређај, на пример Windows рачунар, помоћу QR кода и Bluetooth-а).

Поред мобилних телефона и физичких кључева, постоје и други софтверски аутентификатори и хардвер компатибилан, попут Windows Hello, Touch ID, Face ID, специјализовани мобилни аутентификатори и апликације попут Hideez Authenticator-а што проширује опсег опција за мешовита пословна окружења, где модерне FIDO2 апликације коегзистирају са застарелим системима који се и даље заснивају на лозинкама.

Компатибилност са FIDO2 у Windows-у, прегледачима и услугама

Да би мобилни уређај функционисао као FIDO2 аутентификатор у Windows сесијама, неопходно је да Потпуна подршка за FIDO2/WebAuthn: оперативни систем, прегледач или апликација и сервис идентитетаСрећом, тренутна подршка је веома опсежна.

Са стране оперативног система, Windows 10 (верзија 1903 и новије) и прозори КСНУМКС Они изворно подржавају FIDO2 аутентификацију, посебно ако је уређај повезан са Microsoft Entra ID-ом (раније Azure AD) или хибридним доменом. Windows Hello делује као аутентификатор платформе, а систем такође може да ради са FIDO2 USB/NFC кључевима и мобилним аутентификаторима.

Што се тиче прегледача, Chrome, Edge, Firefox и Safari Укључили су подршку за WebAuthn за неколико верзија, како на десктоп рачунарима, тако и на мобилним уређајима. Ово омогућава сервисима као што су Microsoft Entra, Google, Bitwarden и другим менаџерима лозинки и SSO провајдерима да покрену FIDO2 ток аутентификације директно из прегледача.

На нивоу услуга, скоро цео екосистем који је данас важан подржава или усваја лозинке: Microsoft Entra ID, Google налози, Google Workspace, добављачи SSO за предузећа, менаџери лозинки попут Bitwarden-а и платформе за идентитет попут Hideez Cloud Identity-јаСваки интегрише FIDO2 на мало другачији начин, али основна идеја је иста: ваш аутентификатор (мобилни, кључ или Windows Hello) потписује изазове уместо да уноси лозинке.

Штавише, у пословном окружењу, Microsoft Entra ID вам омогућава да управљате FIDO2 као званичном методом аутентификацијеОво подразумева коришћење специфичних политика за омогућавање, ограничавање одређених AAGUID-ова (кључних модела или аутентификатора) и примену под условним условима приступа. Ово је кључно када желите да обезбедите осетљиве ресурсе и имплементирате вишефакторски аутентификациони приступ отпоран на фишинг.

Пријавите се помоћу FIDO2 лозинки за Microsoft. Пријавите се помоћу мобилног уређаја.

Први практични сценарио за коришћење мобилног телефона као FIDO2 аутентификатора са Windows-ом обично укључује Мицрософт Ентра ИДјер су многе сесије Windows 10/11 за предузећа повезане са Entra-ом и користе тај идентитет за ресурсе као што су Office, Teams, СхареПоинт и интерне апликације.

Entra подржава три главна модела FIDO2 лозинки за кориснике: Приступни кључеви сачувани на самом уређају за пријављивање, кључеви сачувани на другом уређају (као што је ваш мобилни телефон) и кључеви сачувани на физичком безбедносном кључу.Сви ови модели се могу комбиновати унутар исте организације.

Када је лозинка сачувана на истом уређају (на пример, на Windows лаптопу са Windows Hello-ом или на мобилном телефону на којем имате Microsoft Authenticator и лозинку), ток је веома једноставан: Идете до ресурса (канцеларије, портала компаније итд.) и бирате опцију аутентификације помоћу лица, отиска прста, ПИН-а или безбедносног кључаСистем отвара безбедносни прозор и тражи од вас да се идентификујете користећи конфигурисани метод.

Ако се лозинка налази на другом уређају, као што је ваш мобилни телефон, процес укључује аутентификација између уређајаНа пример, у оперативном систему Windows 11 23H2 или новијим верзијама, када се одлучите за пријављивање помоћу безбедносног кључа, нуди вам се опција да изаберете спољни уређај као што је „iPhone, iPad или Андроид уређај.“ Рачунар приказује QR код који скенирате камером мобилног телефона; затим ће телефон тражити ваше биометријске податке или ПИН и, користећи Bluetooth и интернет, завршиће аутентификацију на удаљеном рачунару.

У оба случаја, када се ток заврши, аутентификовани сте код Мицрософт Ентра ИДшто вам заузврат омогућава приступ вашим клауд апликацијама и, у добро интегрисаним окружењима, Windows сесијама или десктоп апликацијама које зависе од тог идентитета.

Специфична употреба Microsoft Authenticator-а са лозинкама на Android-у и iOS-у

Један од најпогоднијих начина да користите мобилни телефон као FIDO2 аутентификатор у Microsoft окружењима је путем Microsoft Authenticator са подршком за приступни кључОва апликација може да делује као FIDO2 аутентификатор и на истом уређају (локална аутентификација) и између уређаја (за пријављивање на Windows рачунар или други рачунар).

На iOS-у можете користити Authenticator као аутентификатор платформе за пријављивање на Microsoft. Унесите свој ИД у сопствени прегледач iPhone или иПад и у изворним Microsoft апликацијама као што су OneDrive, SharePoint или Outlook. Систем ће вам приказати опцију „Лице, отисак прста, PIN или безбедносни кључ“ и када је изаберете, тражиће Face ID, Touch ID или PIN вашег уређаја.

За аутентификацију између уређаја у iOS-у, класичан поступак је: На другом рачунару (на пример, машини са оперативним системом Windows 11), идите на страницу за пријављивање на Microsoft. Пријавите се, изаберите друге методе пријављивања, изаберите аутентификацију безбедносним кључем и изаберите iPhone/iPad/Android уређај.У том тренутку, QR код се приказује на екрану рачунара.

Са вашим iPhone-ом, отварате системска апликација за камеру (не камеру уграђену у Authenticator, јер не разуме WebAuthn QR код) и усмерите је ка коду. iPhone нуди опцију „Пријавите се помоћу лозинке“ и, након што потврдите свој идентитет помоћу Face ID-а, Touch ID-а или PIN-а, телефон завршава FIDO2 аутентификацију са рачунаром користећи Bluetooth и интернет везу.

На Андроиду је понашање слично, мада са неким нијансама. За аутентификацију истог уређаја у прегледачу потребна је Андроид 14 или новији Да бисте користили Authenticator као складиште лозинки на телефону, идите на веб локацију My Security Info, изаберите опције пријављивања и изаберите лице, отисак прста, ПИН или безбедносни кључ. Ако имате више сачуваних лозинки, систем ће вас замолити да изаберете коју желите да користите.

За аутентификацију између уређаја на Андроиду, пратите исти образац на рачунару: Идите на Ентер, изаберите безбедносни кључ, изаберите Андроид уређајУдаљени уређај приказује QR код, који можете скенирати камером система или из саме апликације Authenticator, уносом налога са кључем за приступ и коришћењем дугмета за скенирање QR кода видљивог у детаљима лозинке.

У свим овим сценаријима је неопходно имати Блутут и интернет веза су активни на оба уређајаАко организација има рестриктивне Bluetooth политике, администратор ће можда морати да конфигурише изузетке како би дозволио упаривање само са аутентификаторима са омогућеним FIDO2 лозинком.

Други случајеви употребе FIDO2: Google, Bitwarden и SSO за предузећа

Поред Мајкрософта и Виндоуса, сам концепт коришћења мобилног телефона као ФИДО2 аутентификатора се савршено уклапа са Google лозинке, FIDO2 менаџери лозинки и SSO решења за предузећаСве се сабира да би ваш мобилни телефон постао срж вашег дигиталног идентитета.

У Google-у можете да креирате приступне кључеве за свој лични или Workspace налог и да их користите el начин откључавања екран мобилног телефона (отисак прста, лице, ПИН) као главни фактор. Када подесите лозинку на свом Андроид телефону или иПхоне-у, можете се пријавити на свој Гоогле налог на рачунару користећи поступак „Покушајте на други начин“ / „Користите свој приступни кључ“ и скенирањем КР кода који се појављује у прегледачу рачунара.

Искуство је слично: рачунар приказује QR код, скенирате га камером телефона или уграђеним скенером, а телефон вас пита да га откључате. Након што потврдите своје биометријске податке или ПИН, Мобилни телефон потписује FIDO2 изазов и рачунар добија приступ вашем налогу.Након тога, Google може предложити креирање локалне лозинке на вашем рачунару, али то је опционо.

Битварден, са своје стране, омогућава омогућавање Пријава у два корака са FIDO2 WebAuthn у својим апликацијама. Можете регистровати FIDO2-сертификоване физичке безбедносне кључеве, али и користити изворне аутентификаторе попут Windows Hello или Touch ID. На мобилним уређајима је могуће користити NFC кључеве (као што је YubiKey NFC) тако што ћете их приближити подручју за читање телефона; понекад морате пажљиво „циљати“ јер се положај NFC читача разликује у зависности од модела.

У пословном окружењу, платформе као што су Hideez Cloud Identity Они комбинују синхронизоване FIDO2 лозинке (оне које можда имате у Google-у или iCloud-у) са сопственим мобилним аутентификаторима заснованим на динамичким QR кодовима. Типичан ток рада је следећи: да бисте се пријавили на рачунар, отворите апликацију на телефону, скенирате QR код приказан на екрану рачунара и ауторизујете пријаву са мобилног уређаја, који делује као безбедан аутентификатор.

Овај приступ је посебно користан када имате мешавину Модерне апликације компатибилне са FIDO2 и старијим системима који се и даље ослањају на корисничко име и лозинкуНеки хардверски кључеви и решења за идентитет чак дозвољавају да исти кључ функционише као FIDO2 аутентификатор за нове услуге и као менаџер лозинки шифровање за застареле апликације.

Омогућите FIDO2/шифре у организацијама помоћу Microsoft Login-а

Ако је ваш циљ да омогућите корисницима да користе свој мобилни уређај као FIDO2 аутентификатор у Windows сесијама и корпоративним апликацијама, пут напред укључује Формално активирајте FIDO2 метод у Microsoft Entra ID-у и дефинисати које врсте аутентификатора су дозвољене.

Из центра за администрацију Microsoft Entra, администратор политике аутентификације може да оде на Entra ID → Методе аутентификације → Политике и пронађе метод „безбедносни кључ (FIDO2)Тамо можете да га омогућите глобално или за одређене безбедносне групе, да конфигуришете да ли је дозвољена самостална регистрација и да одлучите да ли је потребна атестација уређаја.

Опција атестације дозвољава прихватање само следећег: FIDO2 кључеви и аутентификатори од легитимних добављачаПошто сваки произвођач објављује AAGUID (Authenticator Attestation GUID) који идентификује марку и модел, може се применити „политика ограничавања кључева“ како би се ауторизовали само одређени AAGUID-ови, а блокирали остали. Ово је веома корисно када желите да имате контролисани скуп кључева или корпоративне мобилне аутентификаторе.

За напредније сценарије, Microsoft нуди Microsoft Graph API за управљање FIDO2Путем крајње тачке конфигурације FIDO2 `autenticationMethodsPolicy`, можете аутоматизовати креирање акредитива, валидирати одређене AAGUID-ове или чак обезбедити FIDO2 безбедносне кључеве у име корисника (прегледна верзија), користећи CTAP и creationOptions које враћа Entra.

Када је FIDO2 метод правилно конфигурисан, можете креирати јачине аутентификације засноване на лозинки и користите их у политикама условног приступа. На пример, подесите правило које захтева аутентификацију помоћу FIDO2 приступних кључева (и опционо ограничите на један или више AAGUID-ова мобилних аутентификатора или одређених кључева) за приступ критичним апликацијама или сесијама удаљене радне површине.

Такође се разматрају сценарији одржавања: Брисање корисничких лозинки из административног центраПромене UPN-а (у ком случају корисник мора да обрише свој стари FIDO2 кључ и региструје нови) и ограничења као што је тренутни недостатак подршке за B2B гостујуће кориснике да региструју FIDO2 акредитиве директно у закупцу ресурса.

Конфигуришите и користите FIDO2 безбедносне кључеве са својим мобилним телефоном

Иако је фокус овог текста мобилни телефон као аутентификатор, у многим окружењима има смисла комбиновати га са FIDO2 физички безбедносни кључевипосебно за администраторе, особље са критичним приступом или кориснике којима је потребан робустан други метод.

Подешавање обично почиње од портала за безбедност налога, на пример у https://aka.ms/mfasetup или на Мајкрософтовим страницама „Моје безбедносне информације“. Тамо бирате „Безбедносни кључ“ и бирате да ли је УСБ или NFC, и пратите чаробњака, који варира у зависности од оперативног система и типа кључа. На крају, кључу се додељује име за будућу идентификацију.

Једном регистрован, кључ се може користити од подржани прегледачи (Edge, Chrome, Firefox) или чак да се пријаве на рачунаре са оперативним системом Windows 10/11 које је обезбедила и конфигурисала организација. Штавише, системи попут RSA нуде посебне услужне програме (RSA Security Key Utility) за управљање ПИН-ом кључа, његову промену, ресетовање уређаја и интеграцију са корпоративним производима за аутентификацију као што је SecurID.

У контексту FIDO2, хардверски кључеви су једноставно још једна врста вишеплатформског аутентификатора. Ваш мобилни уређај може да их користи истовремено. Можете имати синхронизоване лозинке на мобилном уређају, физичке кључеве за критичну употребу и аутентификаторе платформе попут Windows Hello-а на пословним рачунарима.Што робусније и боље управљане методе имате, мање ћете зависити од слабих лозинки.

У сваком случају, без обзира да ли користите физичке или мобилне кључеве, препоручује се да администратор дефинише јасне политике за додавање, уклањање и замену аутентификаторакао и поступке које треба следити у случају губитка или крађе уређаја (опозив повезаног приступног кључа, преглед недавних приступа, принудна вишестрана идентификација (MFA) при следећем пријављивању итд.).

Праве предности и ограничења коришћења FIDO2 са вашим мобилним телефоном

Јасно побољшање и у безбедности и у употребљивости Када се мобилни телефон користи као FIDO2 аутентификатор за Windows сесије и повезане услуге, иако постоје и недостаци и нијансе које треба знати.

Главна предност је то Аутентификација постаје отпорна на фишинг и нападе крађе акредитиваПошто приватни кључ никада не напушта телефон и користи се само за потписивање криптографских изазова, нападач не може да „украде“ вашу лозинку јер она једноставно не постоји. Чак и ако услуга претрпи провалу, оно што је откривено су јавни кључеви, који су бескорисни без физичког аутентификатора.

Још једна важна предност је корисничко искуство: Откључавање телефона отиском прста или лицем је много брже и природније. него писање дугих лозинки, управљање једнократним лозинкама путем СМС-а или памћење одговора на безбедносна питања. У многим случајевима, то такође елиминише потребу за другим слојем традиционалне вишеструке фалсификоване аутентификације (MFA), јер сам FIDO2 испуњава захтеве за јаку, на фишинг отпорну MFA.

На регулаторном нивоу, усвајање FIDO2 помаже организацијама да усклађеност са прописима као што су GDPR, HIPAA, PSD2 или NIS2А са смерницама NIST-а или CISA-е које препоручују вишеструку офталмолошку заштиту отпорну на фишинг, није случајно што се владе и велике корпорације окрећу FIDO решењима у оквиру стратегија нултог поверења.

Што се тиче ограничења, један од најјаснијих проблема јесте технолошко наслеђеМноге апликације, застареле VPN мреже, одређене удаљене радне површине или интерни системи не подржавају FIDO2 или модерно SSO. За њих ће вам и даље бити потребне традиционалне лозинке или аутентификатори, иако можете део приступа обухватити модерним IdP-ом који комуницира FIDO2 ка споља.

Штавише, у многим службама и даље Лозинка не нестаје потпуноЧесто се чува као механизам за опоравак ако изгубите све своје лозинке, што значи да, ако се њима не управља правилно, и даље постоји мање безбедан „план Б“. Индустрија се креће ка моделима где се можете ослонити искључиво на лозинке, али за сада ћете и даље свуда виђати лозинке.

Још једна важна нијанса је разлика између Синхронизовани шифрови и шифре повезане са уређајемПрви се реплицирају путем клауд сервиса (као што су iCloud Keychain или Google Password Manager), што побољшава практичност, али компликује корпоративну контролу; други остају везани за један хардвер (корпоративни мобилни, физички кључ), што даје већу контролу ИТ служби по цену извесне практичности за корисника.

За многе кориснике и предузећа, коришћење мобилног уређаја као FIDO2 аутентификатора за Windows сесије и приступ cloud ресурсима је веома разуман начин да ускочите у воз аутентификације без лозинкеКомбинује безбедност криптографије јавног кључа са погодношћу откључавања телефона који већ носите са собом, интегрише се са Windows 10/11, Microsoft Entra, Google и другим модерним сервисима и омогућава вам да живите са физичким кључевима и старијим системима док прелазите у свет у коме лозинке постају све мање важне.