- FIDO2-baserade lösenord tillåter inloggning till WindowsMicrosoft-inloggnings-ID, Google och andra tjänster som använder mobiltelefonen som en säker autentiseringsfunktion.
- Windows 10/11 och större webbläsare stöder FIDO2/WebAuthn, med autentiseringsalternativ på samma enhet eller mellan enheter med hjälp av QR-kod och Bluetooth.
- Det är möjligt att kombinera användningen av mobiltelefoner, fysiska säkerhetsnycklar och plattformsautentiserare (Windows Hello, Touch ID, etc.) för att uppnå en verkligt lösenordsfri miljö.
- Organisationer kan hantera FIDO2-policyer från Microsoft Entra och Microsoft Graph, begränsa specifika AAGUID:er och tillämpa nätfiskeresistent MFA.
Om du är trött på att slåss med omöjliga lösenord, SMS-verifiering och koder som går ut om 30 sekunderAtt använda din mobiltelefon som en FIDO2-autentiserare för att logga in på Windows och dina företagsapplikationer är bokstavligen revolutionerande. Idén är enkel: din telefon blir din säkerhetsnyckel, och du behöver bara låsa upp den med ditt fingeravtryck, ansikte eller PIN-kod för att bevisa din identitet.
Under senare år har jättar som Microsoft, Google, Apple och många säkerhetsleverantörer investerat i FIDO2 och lösenord som verkliga ersättare för lösenordDen här tekniken är inte längre experimentell: den fungerar på Windows 10/11. Android, iOSmacOS, ChromeOS och de flesta populära webbläsare. Och det som intresserar oss här är att det låter dig använda din mobila enhet som en FIDO2-autentiserare för både åtkomst till molnresurser och för Windows-sessioner som hanteras av din organisation.
Vad är FIDO2, lösenord och varför kan din mobiltelefon fungera som autentiseringsverktyg?
När vi pratar om att använda en mobiltelefon som autentiseringsverktyg för Windows, pratar vi faktiskt om använd FIDO2-standarder och lösennycklar (åtkomstnycklar)FIDO står för Fast Identity Online, en allians av företag som har ägnat år åt att utforma sätt att autentisera utan att förlita sig på svaga och återanvända lösenord.
FIDO2 är den moderna standarden som sammanför två viktiga komponenter: WebAuthn (från W3C, webbläsardelen och appar) y CTAP2 (protokollet som kommunicerar med autentiseraren, till exempel din telefon eller fysiska nyckel)Tillsammans gör de det möjligt för en onlinetjänst att be dig autentisera med din mobiltelefon, Windows Hello, en FIDO2 USB/NFC-nyckel etc., istället för att tvinga dig att komma ihåg ytterligare ett lösenord.
I den här modellen kan din mobiltelefon fungera som en FIDO-autentiserare av plattformsoberoende typDen lagrar din privata nyckel säkert och kan signera utmaningar som skickas till den från Windows, Microsoft Entra ID, Google eller andra tjänster. Du låser upp din telefon med din vanliga metod (fingeravtryck, ansikte, PIN), och enheten hanterar den kryptografiska delen åt dig.
Under huven använder FIDO2 publik nyckelkrypteringVarje gång du registrerar en lösenkod för en specifik tjänst genereras ett nyckelpar: den privata nyckeln lagras på autentiseraren (din mobiltelefon, din dator, en fysisk nyckel) och lämnar den aldrig; den offentliga nyckeln skickas till tjänsten och kopplas till ditt konto. När du loggar in igen utfärdar servern en utmaning som din autentiserare signerar med den privata nyckeln, och servern verifierar signaturen med den offentliga nyckeln.
Det praktiska resultatet är att Det finns inga lösenord att filtrera, inga engångskoder att avlyssna och inga delade hemligheter att stjäla från servern.Om någon försöker nätfiska dig, även om de tar dig till en falsk webbplats, kommer den kryptografiska utmaningen inte att vara giltig för din riktiga publika nyckel, så attacken faller isär av sig själv.
Typer av FIDO2-autentiserare och mobilens roll
I FIDO2-ekosystemet skiljer man mellan två huvudtyper av autentiserare: plattform och multiplattformAtt förstå denna skillnad hjälper dig att se var mobil passar in när vi pratar om Windows-sessioner.
En plattformsautentiserare är en som Den är integrerad i själva enheten.Till exempel Windows Hello på en bärbar dator med en kompatibel fingeravtrycksläsare eller kamera, Touch ID på en MacBook eller fingeravtryckssensorn på en modern bärbar dator. Den kan bara användas från samma dator där den är installerad och kan inte överföras till en annan enhet.
Multiplattformsautentiserare är de som Du kan använda den från flera olika enheter.Det är här FIDO2-säkerhetsnycklar (YubiKey, SoloKey, Nitrokey, generiska NFC/USB-nycklar) kommer in i bilden, och, mycket viktigt för vårt ämne, Android- och iOS-mobiltelefoner som används som externa autentiserare för andra enheter.
Beroende på inställningarna kan din mobiltelefon bete sig på två sätt: som plattformsautentiserare (när du använder en lösenkod direkt i mobilens webbläsare/app) eller som plattformsoberoende autentiserare (när mobiltelefonen används för att logga in på en annan enhet, till exempel en Windows-dator, med hjälp av en QR-kod och Bluetooth).
Förutom mobiltelefoner och fysiska nycklar finns det andra programvaruautentiseringsmetoder och hårdvara kompatibel, som Windows Hello, Touch ID, Face ID, specialiserade mobilautentiserare och appar som Hideez Authenticator vilket breddar utbudet av alternativ för blandade affärsmiljöer, där moderna FIDO2-appar samexisterar med äldre system som fortfarande är baserade på lösenord.
FIDO2-kompatibilitet i Windows, webbläsare och tjänster
För att den mobila enheten ska fungera som en FIDO2-autentiserare i Windows-sessioner är det viktigt att Fullt stöd för FIDO2/WebAuthn: operativsystemet, webbläsaren eller appen och identitetstjänstenLyckligtvis är det nuvarande stödet mycket omfattande.
På operativsystemsidan, Windows 10 (version 1903 och senare) och Windows 11 De har inbyggt stöd för FIDO2-autentisering, särskilt om enheten är ansluten till Microsoft Entra ID (tidigare Azure AD) eller en hybriddomän. Windows Hello fungerar som en plattformsautentiserare, och systemet kan även fungera med FIDO2 USB/NFC-nycklar och mobilautentiserare.
När det gäller webbläsare, Chrome, Edge, Firefox och Safari De har inkluderat WebAuthn-stöd för flera versioner, både på datorer och mobila enheter. Detta gör det möjligt för tjänster som Microsoft Entra, Google, Bitwarden och andra lösenordshanterare och SSO-leverantörer att initiera FIDO2-autentiseringsflödet direkt från webbläsaren.
På tjänstenivå stöder eller använder nästan hela det ekosystem som är viktigt idag lösenord: Microsoft Entra ID, Google-konton, Google Workspace, företagsleverantörer av enkel inloggning, lösenordshanterare som Bitwarden och identitetsplattformar som Hideez Cloud IdentityVar och en integrerar FIDO2 på ett något annorlunda sätt, men grundidén är densamma: din autentiserare (mobil, nyckel eller Windows Hello) signerar utmaningar istället för att ange lösenord.
I affärsmiljöer dessutom, Med Microsoft Entra ID kan du hantera FIDO2 som en officiell autentiseringsmetod.Detta innebär att man använder specifika policyer för att aktivera det, begränsar specifika AAGUID:er (nyckelmodeller eller autentiserare) och tillämpar det under villkorliga åtkomstförhållanden. Detta är viktigt när du vill säkra känsliga resurser och implementera nätfiskeresistent MFA.
Logga in med FIDO2-lösenord till Microsoft. Logga in med din mobila enhet.
Det första praktiska scenariot för att använda en mobiltelefon som en FIDO2-autentiserare med Windows involverar vanligtvis Microsoft Access IDeftersom många företagssessioner med Windows 10/11 är länkade till Entra och använder den identiteten för resurser som Office, Teams, Sharepoint och interna appar.
Entra stöder tre huvudsakliga FIDO2-nyckelmodeller för användare: Åtkomstnycklar som lagras på själva inloggningsenheten, nycklar som lagras på en annan enhet (t.ex. din mobiltelefon) och nycklar som lagras på en fysisk säkerhetsnyckel.Alla dessa modeller kan kombineras inom samma organisation.
När lösenkoden lagras på samma enhet (till exempel på en Windows-bärbar dator med Windows Hello eller på mobiltelefonen där du har Microsoft Authenticator och lösenkoden) är flödet mycket enkelt: Du navigerar till resursen (kontor, företagsportal, etc.) och väljer autentiseringsalternativet med ansikte, fingeravtryck, PIN eller säkerhetsnyckelSystemet öppnar ett säkerhetsfönster och ber dig identifiera dig med den konfigurerade metoden.
Om lösenkoden finns på en annan enhet, till exempel din mobiltelefon, inkluderar processen autentisering mellan enheterI Windows 11 23H2 eller senare, till exempel, när du väljer att logga in med en säkerhetsnyckel, erbjuds du möjligheten att välja en extern enhet som "iPhone, iPad eller Android-enhet.” Datorn visar en QR-kod som du skannar med mobiltelefonens kamera. Sedan frågar telefonen efter din biometri eller PIN-kod och slutför autentiseringen på fjärrdatorn med hjälp av Bluetooth och internet.
I båda fallen, när flödet är klart, autentiseras du mot Microsoft Access IDvilket i sin tur låter dig komma åt dina molnapplikationer och, i välintegrerade miljöer, Windows-sessioner eller skrivbordsappar som är beroende av den identiteten.
Specifik användning av Microsoft Authenticator med lösennycklar på Android och iOS
Ett av de bekvämaste sätten att använda din mobiltelefon som en FIDO2-autentiserare i Microsoft-miljöer är via Microsoft Authenticator med stöd för åtkomstnycklarDen här appen kan fungera som en FIDO2-autentiserare både på samma enhet (lokal autentisering) och mellan enheter (för att logga in på en Windows-dator eller annan dator).
På iOS kan du använda Authenticator som en plattformsautentiserare för att logga in på Microsoft. Ange ditt ID i en sin egen webbläsare iPhone eller iPad och i inbyggda Microsoft-applikationer som OneDrive, SharePoint eller Outlook. Systemet visar alternativet "Ansikte, fingeravtryck, PIN-kod eller säkerhetsnyckel", och när du väljer det kommer det att be om Face ID, Touch ID eller din enhets PIN-kod.
För autentisering mellan enheter i iOS är den klassiska processen: På den andra datorn (till exempel en Windows 11-maskin) går du till Microsofts inloggningssida. Logga in, välj andra inloggningsmetoder, välj autentisering med säkerhetsnyckel och välj iPhone/iPad/Android-enhet.I det ögonblicket visas en QR-kod på datorskärmen.
Med din iPhone öppnar du systemkamera-appen (inte kameran som är inbyggd i Authenticator, eftersom den inte förstår WebAuthn QR-koden) och riktar den mot koden. iPhone erbjuder alternativet "Logga in med lösenord" och efter att du har verifierat din identitet med Face ID, Touch ID eller PIN slutför telefonen FIDO2-autentiseringen med datorn med hjälp av Bluetooth och en internetanslutning.
På Android är beteendet liknande, men med vissa nyanser. Att autentisera samma enhet i en webbläsare kräver Android 14 eller senare För att använda Authenticator som en lösenkodslagring på din telefon, gå till webbplatsen Min säkerhetsinformation, välj inloggningsalternativ och välj ansikte, fingeravtryck, PIN-kod eller säkerhetsnyckel. Om du har flera sparade lösenkoder kommer systemet att be dig välja vilken du vill använda.
För autentisering mellan enheter på Android följer du samma mönster på din dator: Gå till Enter, välj säkerhetsnyckel, välj Android-enhetFjärrenheten visar en QR-kod som du kan skanna med systemets kamera eller från själva Authenticator-appen genom att ange åtkomstnyckelkontot och använda QR-kodsskanningsknappen som syns i lösenordsinformationen.
I alla dessa scenarier är det viktigt att ha Bluetooth och internetanslutning aktiv på båda enheternaOm organisationen har restriktiva Bluetooth-policyer kan administratören behöva konfigurera undantag för att endast tillåta parkopplingar med FIDO2-lösenordsaktiverade autentiserare.
Andra FIDO2-användningsfall: Google, Bitwarden och företags-SSO
Utöver Microsoft och Windows passar själva konceptet att använda en mobiltelefon som en FIDO2-autentiserare perfekt med Google Passkeys, FIDO2-lösenordshanterare och SSO-lösningar för företagAllt bidrar till att göra din mobiltelefon till kärnan i din digitala identitet.
I Google kan du skapa åtkomstnycklar för ditt personliga konto eller Workspace-konto och använda el upplåsningsmetod mobilskärm (fingeravtryck, ansikte, PIN-kod) som huvudfaktor. När lösenordet har konfigurerats på din Android-telefon eller iPhone kan du logga in på ditt Google-konto på en dator med hjälp av flödet "Försök med ett annat sätt" / "Använd din åtkomstkod" och skanna en QR-kod som visas i datorns webbläsare.
Upplevelsen är liknande: datorn visar en QR-kod, du skannar den med telefonens kamera eller inbyggda skanner, och telefonen uppmanar dig att låsa upp den. Efter att du har verifierat din biometri eller PIN-kod, Mobiltelefonen skriver under FIDO2-utmaningen och datorn får tillgång till ditt kontoEfter det kan Google föreslå att du skapar en lokal lösenordsnyckel på din dator, men det är valfritt.
Bitwarden, för sin del, möjliggör aktivering tvåstegsinloggning med FIDO2 WebAuthn i dess applikationer. Du kan registrera FIDO2-certifierade fysiska säkerhetsnycklar, men också använda inbyggda autentiseringsverktyg som Windows Hello eller Touch ID. På mobila enheter är det möjligt att använda NFC-aktiverade nycklar (som YubiKey NFC) genom att föra dem nära telefonens läsyta; ibland måste du "sikta" noggrant eftersom NFC-läsarens position varierar beroende på modell.
I affärsmiljön, plattformar som Hideez Cloud Identity De kombinerar synkroniserade FIDO2-lösenord (de du kan ha i Google eller iCloud) med sina egna mobilautentiserare baserade på dynamiska QR-koder. Det typiska arbetsflödet är följande: för att logga in på en dator öppnar du appen på din telefon, skannar en QR-kod som visas på datorskärmen och auktoriserar inloggningen från din mobila enhet, som fungerar som en säker autentiserare.
Den här metoden är särskilt användbar när du har en blandning av Moderna applikationer kompatibla med FIDO2 och äldre system som fortfarande förlitar sig på användarnamn och lösenordVissa hårdvarunycklar och identitetslösningar tillåter till och med att samma nyckel fungerar som en FIDO2-autentiserare för nya tjänster och som lösenordshanteraren kryptering för äldre applikationer.
Aktivera FIDO2/lösenord i organisationer med Microsoft-inloggning
Om ditt mål är att göra det möjligt för användare att använda sina mobila enheter som en FIDO2-autentiserare i Windows-sessioner och företagsapplikationer, innebär vägen framåt Aktivera FIDO2-metoden formellt i Microsoft Entra ID och definiera vilka typer av autentiserare som är tillåtna.
Från Microsoft Entra administratörscenter kan en autentiseringspolicyadministratör gå till Entra ID → Autentiseringsmetoder → Policyer och leta upp metoden "säkerhetsnyckel (FIDO2)Där kan du aktivera det globalt eller för specifika säkerhetsgrupper, konfigurera om självbetjäningsregistrering är tillåten och bestämma om enhetsverifiering krävs.
Attesteringsalternativet tillåter endast att följande accepteras: FIDO2-nycklar och autentiserare från legitima leverantörerEftersom varje tillverkare publicerar en AAGUID (Authenticator Attestation GUID) som identifierar varumärke och modell, kan en "nyckelbegränsningspolicy" tillämpas för att endast auktorisera vissa AAGUID:er och blockera resten. Detta är mycket användbart när du vill ha en kontrollerad pool av nycklar eller mobila företagsautentiserare.
För mer avancerade scenarier erbjuder Microsoft Microsoft Graph API för att hantera FIDO2Genom konfigurationsslutpunkten authenticationMethodsPolicy FIDO2 kan du automatisera skapandet av autentiseringsuppgifter, validera specifika AAGUID:er eller till och med tillhandahålla FIDO2-säkerhetsnycklar åt användare (förhandsversion) med hjälp av CTAP och creationOptions som returneras av Entra.
När FIDO2-metoden är korrekt konfigurerad kan du skapa nyckelbaserade autentiseringsstyrkor och använd dem i principer för villkorlig åtkomst. Du kan till exempel konfigurera en regel som kräver autentisering med FIDO2-åtkomstnycklar (och eventuellt begränsa till en eller flera AAGUID:er för mobilautentiserare eller specifika nycklar) för att få åtkomst till kritiska applikationer eller fjärrskrivbordssessioner.
Underhållsscenarier beaktas också: Ta bort användarlösenord från administrationscentretUPN-ändringar (i vilket fall användaren måste ta bort sin gamla FIDO2-nyckel och registrera en ny) och begränsningar som den nuvarande bristen på stöd för B2B-gästanvändare att registrera FIDO2-autentiseringsuppgifter direkt i resursklienten.
Konfigurera och använd FIDO2-säkerhetsnycklar med din mobiltelefon
Även om fokus i den här texten är mobiltelefonen som autentiseringsmedel, är det i många miljöer vettigt att kombinera den med FIDO2 fysiska säkerhetsnycklarsärskilt för administratörer, personal med kritisk åtkomst eller användare som behöver en robust andra metod.
Installationen börjar vanligtvis från kontosäkerhetsportaler, till exempel i https://aka.ms/mfasetup eller på Microsofts sidor "Min säkerhetsinformation". Där väljer du "Säkerhetsnyckel" och väljer om det är USB eller NFC, och du följer guiden, som varierar beroende på operativsystem och nyckeltyp. Slutligen tilldelas nyckeln ett namn för framtida identifiering.
När nyckeln är registrerad kan den användas från webbläsare som stöds (Edge, Chrome, Firefox) eller till och med för att logga in på Windows 10/11-datorer som tillhandahålls och konfigurerats av organisationen. Dessutom erbjuder system som RSA specifika verktyg (RSA Security Key Utility) för att hantera nyckelns PIN-kod, ändra den, återställa enheten och integrera den med företagsautentiseringsprodukter som SecurID.
I samband med FIDO2 är hårdvarunycklar helt enkelt en annan typ av plattformsoberoende autentiseringsverktyg. Din mobila enhet kan använda dem samtidigt. Du kan ha synkroniserade lösennycklar på din mobila enhet, fysiska nycklar för kritiska användningsområden och plattformsautentiserare som Windows Hello på dina arbetsdatorer.Ju mer robusta och välskötta metoder du har, desto mindre kommer du att vara beroende av svaga lösenord.
Oavsett om du använder fysiska eller mobila nycklar rekommenderas det att administratören definierar tydliga policyer för att lägga till, ta bort och ersätta autentiseraresamt procedurer att följa vid förlust eller stöld av en enhet (återkalla tillhörande lösenord, granska senaste åtkomster, tvinga fram MFA vid nästa inloggning, etc.).
Verkliga fördelar och begränsningar med att använda FIDO2 med din mobiltelefon
Tydlig förbättring av både säkerhet och användbarhet När man använder mobiltelefonen som en FIDO2-autentiserare för Windows-sessioner och tillhörande tjänster, även om det också finns nackdelar och nyanser som bör kännas till.
Den största fördelen är att Autentisering blir resistent mot nätfiske och stöld av autentiseringsuppgifterEftersom den privata nyckeln aldrig lämnar telefonen och bara används för att signera kryptografiska utmaningar, kan en angripare inte "stjäla" ditt lösenord eftersom det helt enkelt inte existerar. Även om en tjänst drabbas av ett intrång exponeras publika nycklar, vilka är värdelösa utan den fysiska autentiseraren.
En annan viktig fördel är användarupplevelsen: Att låsa upp telefonen med ditt fingeravtryck eller ansikte är mycket snabbare och mer naturligt. än att skriva långa lösenord, hantera engångslösenord via SMS eller komma ihåg svar på säkerhetsfrågor. I många fall eliminerar det också behovet av ett andra lager av traditionell MFA, eftersom FIDO2 i sig uppfyller kraven för stark, phishing-resistent MFA.
På regulatorisk nivå hjälper införandet av FIDO2 organisationer att anpassa sig till regelverk som GDPR, HIPAA, PSD2 eller NIS2Och med riktlinjerna från NIST eller CISA som rekommenderar nätfiskeresistent MFA, är det ingen slump att myndigheter och stora företag vänder sig till FIDO-lösningar inom ramen för zero-trust-strategier.
På begränsningssidan är ett av de tydligaste problemen teknologiskt arvMånga applikationer, äldre VPN-tjänster, specifika fjärrskrivbord eller interna system stöder inte FIDO2 eller modern SSO. För dessa behöver du fortfarande traditionella lösenord eller autentiserare, även om du kan omsluta en del av åtkomsten med en modern IdP som kommunicerar FIDO2 utåt.
Dessutom, i många tjänster fortfarande Lösenordet försvinner inte heltDen sparas ofta som en återställningsmekanism om du förlorar alla dina lösenord, vilket innebär att om den inte hanteras korrekt finns det fortfarande en mindre säker "plan B". Branschen rör sig mot modeller där du kan förlita dig uteslutande på lösenord, men för tillfället kommer du fortfarande att se lösenord överallt.
En annan viktig nyans är skillnaden mellan Synkroniserade lösenord och lösenord länkade till enhetenDe förra replikeras via molntjänster (som iCloud Keychain eller Google Password Manager), vilket förbättrar bekvämligheten men komplicerar företagskontrollen; de senare förblir knutna till en enda hårdvara (företagsmobil, fysisk nyckel), vilket ger IT mer kontroll på bekostnad av en viss bekvämlighet för användaren.
För många användare och företag är det ett mycket rimligt sätt att använda en mobil enhet som FIDO2-autentiserare för Windows-sessioner och åtkomst till molnresurser. hoppa på tåget för lösenordsfri autentiseringDen kombinerar säkerheten hos kryptografi med offentlig nyckel med bekvämligheten att låsa upp telefonen du redan bär med dig, integreras med Windows 10/11, Microsoft Entra, Google och andra moderna tjänster, och låter dig leva med fysiska nycklar och äldre system medan du övergår till en värld där lösenord blir mindre och mindre viktiga.
Passionerad författare om bytesvärlden och tekniken i allmänhet. Jag älskar att dela med mig av min kunskap genom att skriva, och det är vad jag kommer att göra i den här bloggen, visa dig alla de mest intressanta sakerna om prylar, mjukvara, hårdvara, tekniska trender och mer. Mitt mål är att hjälpa dig att navigera i den digitala världen på ett enkelt och underhållande sätt.