- Ang mga passkey na nakabatay sa FIDO2 ay nagpapahintulot sa pag-login WindowsID ng Pag-login sa Microsoft, Google at iba pang mga serbisyo gamit ang mobile phone bilang isang secure authenticator.
- Sinusuportahan ng Windows 10/11 at mga pangunahing browser ang FIDO2/WebAuthn, na may mga opsyon sa pagpapatotoo sa iisang device o sa pagitan ng mga device gamit ang QR code at Bluetooth.
- Posibleng pagsamahin ang paggamit ng mga mobile phone, mga pisikal na security key, at mga platform authenticator (Windows Hello, Touch ID, atbp.) upang makamit ang isang tunay na kapaligirang walang password.
- Maaaring pamahalaan ng mga organisasyon ang mga patakaran ng FIDO2 mula sa Microsoft Entra at Microsoft Graph, paghigpitan ang mga partikular na AAGUID, at maglapat ng phishing-resistant MFA.
Kung pagod ka nang makipaglaban mga imposibleng password, SMS verification, at mga code na mawawalan ng bisa sa loob ng 30 segundoAng paggamit ng iyong mobile phone bilang FIDO2 authenticator para mag-log in sa Windows at sa mga corporate application mo ay, literal na, isang game-changer. Simple lang ang ideya: ang iyong telepono ang magiging security key mo, at kailangan mo lang itong i-unlock gamit ang iyong fingerprint, mukha, o PIN para patunayang ikaw nga ito.
Sa mga nakaraang taon, ang mga higanteng kompanya tulad ng Microsoft, Google, Apple, at maraming tagapagbigay ng seguridad ay namuhunan sa FIDO2 at mga passkey bilang tunay na kapalit para sa mga passwordHindi na eksperimental ang teknolohiyang ito: gumagana na ito sa Windows 10/11. Android, iOSmacOS, ChromeOS, at mga pinakasikat na browser. At, ang nakakaakit sa amin dito, pinapayagan ka nitong gamitin ang iyong mobile device bilang isang FIDO2 authenticator para sa parehong pag-access sa mga cloud resource at para sa mga sesyon ng Windows na pinamamahalaan ng iyong organisasyon.
Ano ang FIDO2, mga passkey, at bakit maaaring maging isang authenticator ang iyong mobile phone?
Kapag pinag-uusapan natin ang paggamit ng mobile phone bilang authenticator para sa Windows, ang tinutukoy talaga natin ay gumamit ng mga pamantayan at passkey (mga access key) ng FIDO2Ang FIDO ay nangangahulugang Fast Identity Online, isang alyansa ng mga kumpanyang gumugol ng mga taon sa pagdidisenyo ng mga paraan upang mag-authenticate nang hindi umaasa sa mahihina at muling ginagamit na mga password.
Ang FIDO2 ay ang modernong pamantayan na pinagsasama-sama ang dalawang pangunahing bahagi: WebAuthn (mula sa W3C, ang bahagi ng browser at ang app) y CTAP2 (ang protocol na nakikipag-ugnayan sa authenticator, tulad ng iyong telepono o pisikal na key)Kapag pinagsama-sama, pinapayagan ng mga ito ang isang online na serbisyo na hilingin sa iyo na mag-authenticate gamit ang iyong mobile phone, Windows Hello, isang FIDO2 USB/NFC key, atbp., sa halip na pilitin kang tandaan ang isa pang password.
Sa modelong ito, ang iyong mobile phone ay maaaring magsilbing tagapagpatunay ng FIDO na uri na cross-platformLigtas nitong iniimbak ang iyong pribadong susi at maaaring pumirma sa mga hamong ipinadala dito ng Windows, Microsoft Entra ID, Google, o iba pang mga serbisyo. Ina-unlock mo ang iyong telepono gamit ang iyong karaniwang paraan (fingerprint, mukha, PIN), at ang device ang bahala sa cryptographic na bahagi para sa iyo.
Sa ilalim ng hood, ginagamit ng FIDO2 pampublikong key cryptographySa bawat oras na magrehistro ka ng passkey para sa isang partikular na serbisyo, isang pares ng susi ang nabubuo: ang pribadong susi ay iniimbak sa authenticator (iyong mobile phone, iyong PC, isang pisikal na susi) at hindi kailanman umaalis dito; ang pampublikong susi ay ipinapadala sa serbisyo at iniuugnay sa iyong account. Kapag nag-log in ka muli, ang server ay maglalabas ng isang hamon na pipirmahan ng iyong authenticator gamit ang pribadong susi, at beripikahin ng server ang lagdang iyon gamit ang pampublikong susi.
Ang praktikal na resulta ay iyon Walang mga password na sasalain, walang mga minsanang code na haharangin, at walang mga ibinahaging sikreto na nakawin mula sa server.Kung may sumubok na i-phish ka, kahit na dalhin ka pa nila sa isang pekeng website, ang cryptographic challenge ay hindi magiging wasto para sa iyong tunay na public key, kaya ang pag-atake ay kusang mabibigo.
Mga uri ng FIDO2 authenticator at ang papel ng mobile
Sa FIDO2 ecosystem, dalawang pangunahing uri ng mga authenticator ang nakikilala: plataporma at multiplatformAng pag-unawa sa pagkakaibang ito ay makakatulong sa iyo na makita kung saan nababagay ang mobile kapag pinag-uusapan natin ang mga sesyon ng Windows.
Ang platform authenticator ay isa na Ito ay isinama sa mismong aparato.Halimbawa, ang Windows Hello sa isang laptop na may compatible na fingerprint reader o camera, ang Touch ID sa isang MacBook, o ang fingerprint sensor sa isang modernong laptop. Magagamit lamang ito mula sa parehong computer kung saan ito naka-install at hindi maaaring ilipat sa ibang device.
Ang mga multi-platform authenticator ay ang mga Maaari mo itong gamitin mula sa iba't ibang device.Dito pumapasok ang mga FIDO2 security key (YubiKey, SoloKey, Nitrokey, generic NFC/USB key), at, napakahalaga para sa ating paksa, ang mga Android at iOS mobile phone na ginagamit bilang external authenticator para sa iba pang mga device.
Depende sa mga setting, maaaring gumana ang iyong mobile phone sa dalawang paraan: bilang tagapagpatunay ng plataporma (kapag gumamit ka ng passkey nang direkta sa mobile browser/app) o bilang tagapagpatunay na cross-platform (kapag ang mobile phone ay ginagamit para mag-log in sa ibang device, halimbawa isang Windows PC, gamit ang QR code at Bluetooth).
Bukod sa mga mobile phone at pisikal na susi, mayroon pang ibang mga software authenticator at hardware katugma, tulad ng Windows Hello, Touch ID, Face ID, mga espesyalisadong mobile authenticator, at mga app tulad ng Hideez Authenticator na nagpapalawak sa hanay ng mga opsyon para sa magkahalong kapaligiran ng negosyo, kung saan ang mga modernong FIDO2 app ay magkakasamang nabubuhay kasama ng mga legacy system na nakabatay pa rin sa mga password.
Pagkakatugma ng FIDO2 sa Windows, mga browser, at mga serbisyo
Para gumana ang mobile device bilang isang FIDO2 authenticator sa mga sesyon ng Windows, mahalaga na Buong suporta para sa FIDO2/WebAuthn: ang operating system, ang browser o app, at ang serbisyo ng pagkakakilanlanMabuti na lang at napakalawak ng kasalukuyang suporta.
Sa panig ng operating system, Windows 10 (bersyon 1903 at mas bago) at Windows 11 Sinusuportahan nila ang FIDO2 authentication, lalo na kung ang device ay konektado sa Microsoft Entra ID (dating Azure AD) o isang hybrid domain. Ang Windows Hello ay gumaganap bilang isang platform authenticator, at maaari ring gumana ang system gamit ang mga FIDO2 USB/NFC key at mobile authenticator.
Tulad ng para sa mga browser, Chrome, Edge, Firefox at Safari Isinama nila ang suporta ng WebAuthn para sa ilang bersyon, kapwa sa desktop at mobile. Nagbibigay-daan ito sa mga serbisyong tulad ng Microsoft Entra, Google, Bitwarden, at iba pang mga password manager at SSO provider na simulan ang daloy ng FIDO2 authentication nang direkta mula sa browser.
Sa antas ng serbisyo, halos buong ecosystem na mahalaga ngayon ay sumusuporta o gumagamit ng mga passkey: Microsoft Entra ID, Google Accounts, Google Workspace, mga provider ng enterprise SSO, mga password manager tulad ng Bitwarden, at mga platform ng pagkakakilanlan tulad ng Hideez Cloud IdentityAng bawat isa ay nagsasama ng FIDO2 sa bahagyang magkakaibang paraan, ngunit ang pangunahing ideya ay pareho: ang iyong authenticator (mobile, key o Windows Hello) ay pumipirma ng mga hamon sa halip na maglagay ng mga password.
Bukod pa rito, sa mga kapaligiran ng negosyo, Pinapayagan ka ng Microsoft Entra ID na pamahalaan ang FIDO2 bilang isang opisyal na paraan ng pagpapatunayKabilang dito ang paggamit ng mga partikular na patakaran upang paganahin ito, paghihigpit sa mga partikular na AAGUID (mga pangunahing modelo o authenticator), at paglalapat nito sa ilalim ng mga kondisyon ng conditional access. Mahalaga ito kapag gusto mong i-secure ang mga sensitibong mapagkukunan at ipatupad ang phishing-resistant MFA.
Mag-sign in gamit ang mga FIDO2 passkey sa Microsoft. Mag-log in gamit ang iyong mobile device.
Ang unang praktikal na senaryo para sa paggamit ng mobile phone bilang FIDO2 authenticator sa Windows ay karaniwang kinabibilangan ng Microsoft Access IDdahil maraming enterprise Windows 10/11 sessions ang naka-link sa Entra at ginagamit ang pagkakakilanlang iyon para sa mga resources tulad ng Office, Teams, SharePoint at mga panloob na app.
Sinusuportahan ng Entra ang tatlong pangunahing modelo ng FIDO2 passkey para sa mga gumagamit: Mga access key na nakaimbak sa mismong login device, mga key na nakaimbak sa ibang device (tulad ng iyong mobile phone), at mga key na nakaimbak sa isang pisikal na security key.Ang lahat ng mga modelong ito ay maaaring pagsamahin sa loob ng iisang organisasyon.
Kapag ang passkey ay nakaimbak sa parehong device (halimbawa, sa isang Windows laptop na may Windows Hello o sa mobile phone kung saan mayroon kang Microsoft Authenticator at passkey), ang proseso ay napakasimple: Magna-navigate ka sa resource (Office, company portal, atbp.) at pipiliin ang opsyon sa authentication gamit ang Face, fingerprint, PIN o security key.Magbubukas ang system ng security window at hihilingin sa iyong tukuyin ang iyong sarili gamit ang na-configure na paraan.
Kung ang passkey ay nasa ibang device, tulad ng iyong mobile phone, isinasama ng proseso ang pagpapatotoo sa pagitan ng mga deviceHalimbawa, sa Windows 11 23H2 o mas bago, kapag pinili mong mag-sign in gamit ang isang security key, bibigyan ka ng opsyon na pumili ng external device tulad ng “iPhone, iPad o Android device.” Magpapakita ang PC ng QR code, na i-scan mo gamit ang camera ng iyong mobile phone; pagkatapos, hihingin ng telepono ang iyong biometrics o PIN at, gamit ang Bluetooth at Internet, kukumpletuhin ang authentication sa remote computer.
Sa parehong mga kaso, kapag nakumpleto na ang daloy, ikaw ay authenticated laban sa Microsoft Access IDna siya namang nagbibigay-daan sa iyong ma-access ang iyong mga cloud application at, sa mga mahusay na pinagsamang kapaligiran, mga sesyon ng Windows o mga desktop app na umaasa sa pagkakakilanlang iyon.
Espesipikong paggamit ng Microsoft Authenticator na may mga passkey sa Android at iOS
Isa sa mga pinaka-maginhawang paraan para magamit ang iyong mobile phone bilang isang FIDO2 authenticator sa mga kapaligiran ng Microsoft ay sa pamamagitan ng Microsoft Authenticator na may suporta sa access keyAng app na ito ay maaaring magsilbing FIDO2 authenticator sa parehong device (lokal na pagpapatotoo) at sa pagitan ng mga device (para mag-log in sa isang Windows PC o iba pang computer).
Sa iOS, maaari mong gamitin ang Authenticator bilang platform authenticator para mag-sign in sa Microsoft. Ilagay ang iyong ID sa isang sarili nitong browser iPhone ang iPad at sa mga katutubong aplikasyon ng Microsoft tulad ng OneDrive, SharePoint, o Outlook. Ipapakita sa iyo ng system ang opsyon na "Face, fingerprint, PIN, o security key," at kapag pinili mo ito, hihingi ito ng Face ID, Touch ID, o PIN ng iyong device.
Para sa pagpapatotoo sa pagitan ng mga device sa iOS, ang klasikong proseso ay: Sa kabilang computer (halimbawa, isang Windows 11 machine), pumunta sa pahina ng pag-sign-in ng Microsoft. Mag-log in, pumili ng iba pang mga paraan ng pag-sign-in, piliin ang security key authentication, at piliin ang iPhone/iPad/Android device.Sa sandaling iyon, isang QR code ang ipinapakita sa screen ng PC.
Gamit ang iyong iPhone, bubuksan mo ang app ng kamera ng sistema (hindi ang camera na nakapaloob sa Authenticator, dahil hindi nito naiintindihan ang WebAuthn QR code) at itinuro ito sa code. Nag-aalok ang iPhone ng opsyong "Mag-sign in gamit ang passcode" at, pagkatapos i-verify ang iyong pagkakakilanlan gamit ang Face ID, Touch ID, o PIN, kukumpletuhin ng telepono ang FIDO2 authentication sa PC gamit ang Bluetooth at koneksyon sa internet.
Sa Android, ang pag-uugali ay magkatulad, bagama't may ilang mga nuances. Ang pag-authenticate ng parehong device sa isang browser ay nangangailangan ng Android 14 o mas bago Para magamit ang Authenticator bilang imbakan ng passkey sa iyong telepono, pumunta sa website ng My Security Info, piliin ang mga opsyon sa pag-login, at piliin ang face, fingerprint, PIN, o security key. Kung marami kang naka-save na passkey, hihilingin sa iyo ng system na piliin kung alin ang gusto mong gamitin.
Para sa pagpapatotoo sa pagitan ng mga device sa Android, susundin mo ang parehong pattern sa iyong PC: Pumunta sa Enter, piliin ang security key, piliin ang Android deviceMagpapakita ang remote device ng QR code, na maaari mong i-scan gamit ang camera ng system o mula mismo sa Authenticator app, sa pamamagitan ng paglalagay ng access key account at paggamit ng QR code scan button na makikita sa mga detalye ng passkey.
Sa lahat ng mga sitwasyong ito, mahalagang magkaroon ng Aktibo ang Bluetooth at koneksyon sa internet sa parehong deviceKung ang organisasyon ay may mga mahigpit na patakaran sa Bluetooth, maaaring kailanganin ng administrator na i-configure ang mga exception upang payagan lamang ang mga pagpapares sa mga authenticator na pinagana ng FIDO2 passkey.
Iba pang mga kaso ng paggamit ng FIDO2: Google, Bitwarden, at enterprise SSO
Bukod sa Microsoft at Windows, ang mismong konsepto ng paggamit ng mobile phone bilang isang FIDO2 authenticator ay akmang-akma sa Mga Google Passkey, FIDO2 password manager, at mga solusyon sa enterprise SSONagsasama-sama ang lahat para gawing sentro ng iyong digital na pagkakakilanlan ang iyong mobile phone.
Sa Google, maaari kang gumawa ng mga access key para sa iyong personal o Workspace account at gamitin ang el paraan ng pag-unlock screen ng mobile (fingerprint, mukha, PIN) bilang pangunahing salik. Kapag na-set up na ang passkey sa iyong Android phone o iPhone, maaari ka nang mag-log in sa iyong Google account sa isang PC gamit ang prosesong "Subukan ang ibang paraan" / "Gamitin ang iyong access key" at i-scan ang isang QR code na lumalabas sa browser ng computer.
Magkatulad ang karanasan: magpapakita ang PC ng QR code, i-scan mo ito gamit ang camera o built-in scanner ng telepono, at hihingin sa iyo ng telepono na i-unlock ito. Pagkatapos ma-verify ang iyong biometrics o PIN, Pipirmahan ng mobile phone ang FIDO2 challenge at magkakaroon ng access ang PC sa iyong accountPagkatapos noon, maaaring imungkahi ng Google ang paggawa ng local passkey sa iyong computer, ngunit opsyonal lang iyon.
Ang Bitwarden, sa bahagi nito, ay nagbibigay-daan sa pagpapagana dalawang-hakbang na pag-login gamit ang FIDO2 WebAuthn sa mga aplikasyon nito. Maaari kang magparehistro ng mga FIDO2-certified physical security key, ngunit maaari ka ring gumamit ng mga native authenticator tulad ng Windows Hello o Touch ID. Sa mga mobile device, posibleng gumamit ng mga NFC-enabled key (tulad ng YubiKey NFC) sa pamamagitan ng paglapit sa mga ito sa reading area ng telepono; minsan kailangan mong "tumutok" nang maingat dahil ang posisyon ng NFC reader ay nag-iiba depende sa modelo.
Sa kapaligiran ng negosyo, ang mga plataporma tulad ng Hideez Cloud Identity Pinagsasama nila ang mga naka-synchronize na FIDO2 passkey (mga maaaring mayroon ka sa Google o iCloud) kasama ang sarili nilang mga mobile authenticator batay sa mga dynamic na QR code. Ang karaniwang daloy ng trabaho ay ang mga sumusunod: para mag-log in sa isang PC, bubuksan mo ang app sa iyong telepono, i-scan ang isang QR code na ipinapakita sa screen ng computer, at pinahihintulutan ang pag-login mula sa iyong mobile device, na nagsisilbing isang secure na authenticator.
Ang pamamaraang ito ay lalong kapaki-pakinabang kapag mayroon kang halo ng Mga modernong application na tugma sa FIDO2 at mga legacy system na umaasa pa rin sa username at passwordAng ilang mga hardware key at identity solution ay nagpapahintulot pa nga sa parehong key na gumana bilang isang FIDO2 authenticator para sa mga bagong serbisyo at bilang tagapamahala ng password pag-encrypt para sa mga lumang aplikasyon.
Paganahin ang FIDO2/passkeys sa mga organisasyong may Microsoft Login
Kung ang iyong layunin ay paganahin ang mga user na gamitin ang kanilang mobile device bilang isang FIDO2 authenticator sa mga sesyon ng Windows at mga corporate application, ang landas pasulong ay kinabibilangan ng Pormal na i-activate ang FIDO2 method sa Microsoft Entra ID at tukuyin kung anong mga uri ng mga authenticator ang pinapayagan.
Mula sa Microsoft Entra admin center, maaaring pumunta ang isang authentication policy administrator sa Entra ID → Mga paraan ng pagpapatotoo → Mga Patakaran at hanapin ang paraan na "susi ng seguridad (FIDO2)Doon mo ito mapapagana sa buong mundo o para sa mga partikular na grupo ng seguridad, i-configure kung pinapayagan ang pagpaparehistro sa self-service, at magpasya kung kinakailangan ang pagpapatunay ng device.
Ang opsyon sa pagpapatunay ay nagpapahintulot lamang na tanggapin ang mga sumusunod: Mga FIDO2 key at authenticator mula sa mga lehitimong providerDahil ang bawat tagagawa ay naglalathala ng isang AAGUID (Authenticator Attestation GUID) na tumutukoy sa tatak at modelo, maaaring ilapat ang isang "patakaran sa paghihigpit ng susi" upang pahintulutan lamang ang ilang partikular na AAGUID at harangan ang iba. Ito ay lubhang kapaki-pakinabang kapag gusto mong magkaroon ng isang kontroladong pool ng mga susi o mga corporate mobile authenticator.
Para sa mas advanced na mga senaryo, nag-aalok ang Microsoft Microsoft Graph API para sa pamamahala ng FIDO2Sa pamamagitan ng authenticationMethodsPolicy FIDO2 configuration endpoint, maaari mong i-automate ang paggawa ng kredensyal, i-validate ang mga partikular na AAGUID, o kahit na mag-provision ng mga FIDO2 security key para sa mga user (preview version), gamit ang CTAP at creationOptions na ibinalik ng Entra.
Kapag na-configure nang maayos ang FIDO2 method, maaari ka nang lumikha mga kalakasan ng pagpapatotoo batay sa passkey at gamitin ang mga ito sa mga patakaran sa conditional access. Halimbawa, mag-set up ng isang panuntunan na nangangailangan ng authentication gamit ang mga FIDO2 access key (at opsyonal na limitahan sa isa o higit pang mga AAGUID ng mga mobile authenticator o mga partikular na key) upang ma-access ang mga kritikal na application o mga remote desktop session.
Isinasaalang-alang din ang mga sitwasyon sa pagpapanatili: Pagtanggal ng mga passkey ng user mula sa administration centerMga pagbabago sa UPN (kung saan dapat tanggalin ng user ang kanilang lumang FIDO2 key at magparehistro ng bago) at mga limitasyon tulad ng kasalukuyang kakulangan ng suporta para sa mga B2B guest user upang direktang magparehistro ng mga kredensyal ng FIDO2 sa resource tenant.
I-configure at gamitin ang mga FIDO2 security key gamit ang iyong mobile phone
Bagama't ang pokus ng tekstong ito ay ang mobile phone bilang isang authenticator, sa maraming kapaligiran ay makatuwiran na pagsamahin ito sa Mga pisikal na security key ng FIDO2lalo na para sa mga administrador, kawani na may kritikal na pag-access, o mga user na nangangailangan ng isang mahusay na pangalawang paraan.
Karaniwang nagsisimula ang pag-setup mula sa mga portal ng seguridad ng account, halimbawa sa https://aka.ms/mfasetup o sa mga pahina ng "My Security Info" ng Microsoft. Doon mo pipiliin ang "Security Key," at pipiliin kung ito ay USB o NFC, at susundin mo ang wizard, na nag-iiba depende sa operating system at uri ng key. Panghuli, isang pangalan ang itinalaga sa key para sa pagkakakilanlan sa hinaharap.
Kapag nakarehistro na, magagamit na ang susi mula sa mga sinusuportahang browser (Edge, Chrome, Firefox) o kahit na mag-log in sa mga computer na may Windows 10/11 na ibinigay at na-configure ng organisasyon. Bukod pa rito, ang mga sistemang tulad ng RSA ay nag-aalok ng mga partikular na utility (RSA Security Key Utility) upang pamahalaan ang PIN ng key, baguhin ito, i-reset ang device, at isama ito sa mga produkto ng corporate authentication tulad ng SecurID.
Sa konteksto ng FIDO2, ang mga hardware key ay isa lamang uri ng cross-platform authenticator. Magagamit ito ng iyong mobile device nang sabay-sabay. Maaari kang magkaroon ng mga naka-sync na passkey sa iyong mobile device, mga pisikal na key para sa mahahalagang gamit, at mga platform authenticator tulad ng Windows Hello sa iyong mga computer sa trabaho.Kung mas matatag at maayos ang iyong pamamahala ng mga pamamaraan, mas kaunti ang iyong aasa sa mahihinang password.
Sa anumang kaso, gumagamit ka man ng mga pisikal o mobile key, inirerekomenda na tukuyin ng administrator malinaw na mga patakaran para sa pagdaragdag, pag-alis, at pagpapalit ng mga authenticatorpati na rin ang mga pamamaraang dapat sundin sakaling mawala o manakaw ang isang device (bawiin ang nauugnay na passkey, suriin ang mga kamakailang access, pilitin ang MFA sa susunod na pag-login, atbp.).
Mga tunay na bentahe at limitasyon ng paggamit ng FIDO2 sa iyong mobile phone
Malinaw na pagpapabuti sa parehong seguridad at kakayahang magamit Kapag ginagamit ang mobile phone bilang isang FIDO2 authenticator para sa mga sesyon ng Windows at mga kaugnay na serbisyo, mayroon ding mga disbentaha at nuances na dapat malaman.
Ang pangunahing bentahe ay iyon Ang pagpapatotoo ay nagiging matibay laban sa mga pag-atake ng phishing at pagnanakaw ng kredensyalDahil ang pribadong susi ay hindi kailanman umaalis sa telepono at ginagamit lamang upang pumirma ng mga cryptographic challenge, hindi maaaring "nakawin" ng isang attacker ang iyong password dahil hindi talaga ito umiiral. Kahit na ang isang serbisyo ay na-breach, ang makikita ay mga pampublikong susi, na walang silbi kung wala ang pisikal na authenticator.
Isa pang mahalagang bentahe ay ang karanasan ng gumagamit: Mas mabilis at mas natural ang pag-unlock ng iyong telepono gamit ang iyong fingerprint o mukha. kaysa sa pagsulat ng mahahabang password, pamamahala ng mga OTP sa pamamagitan ng SMS, o pag-alala ng mga sagot sa mga tanong sa seguridad. Sa maraming pagkakataon, inaalis din nito ang pangangailangan para sa pangalawang patong ng tradisyonal na MFA, dahil ang FIDO2 mismo ay nakakatugon sa mga kinakailangan para sa malakas at lumalaban sa phishing na MFA.
Sa antas ng regulasyon, ang pag-aampon ng FIDO2 ay nakakatulong sa mga organisasyon na naaayon sa mga regulasyon tulad ng GDPR, HIPAA, PSD2 o NIS2At dahil sa mga alituntunin mula sa NIST o CISA na nagrerekomenda ng phishing-resistant MFA, hindi nagkataon lamang na ang mga gobyerno at malalaking korporasyon ay bumabaling sa mga solusyon sa FIDO sa loob ng balangkas ng mga estratehiyang zero-trust.
Sa aspeto ng mga limitasyon, isa sa mga pinakamalinaw na problema ay ang pamana ng teknolohiyaMaraming application, mga legacy VPN, mga partikular na remote desktop, o mga internal system ang hindi sumusuporta sa FIDO2 o modernong SSO. Para sa mga ito, kakailanganin mo pa rin ng mga tradisyonal na password o authenticator, bagama't maaari mong balutin ang ilan sa access gamit ang isang modernong IdP na nagpapadala ng FIDO2 palabas.
Bukod pa rito, sa maraming serbisyo pa rin Hindi tuluyang nawawala ang passwordMadalas itong itinatago bilang mekanismo ng pagbawi kung sakaling mawala mo ang lahat ng iyong mga passkey, ibig sabihin, kung hindi mapapamahalaan nang maayos, mayroon pa ring hindi gaanong ligtas na "plan B." Ang industriya ay patungo sa mga modelo kung saan maaari kang umasa lamang sa mga passkey, ngunit sa ngayon, makakakita ka pa rin ng mga password kahit saan.
Ang isa pang mahalagang nuance ay ang pagkakaiba sa pagitan Mga naka-synchronize na passkey at passkey na naka-link sa deviceAng mga nauna ay ginagaya sa pamamagitan ng mga serbisyo sa cloud (tulad ng iCloud Keychain o Google Password Manager), na nagpapabuti sa kaginhawahan ngunit nagpapakomplikado sa kontrol ng korporasyon; ang huli ay nananatiling nakatali sa iisang hardware (corporate mobile, pisikal na susi), na nagbibigay ng higit na kontrol sa IT kapalit ng ilang kaginhawahan para sa gumagamit.
Para sa maraming user at negosyo, ang paggamit ng mobile device bilang FIDO2 authenticator para sa mga Windows session at access sa mga cloud resource ay isang napaka-makatwirang paraan upang sumabay sa uso ng passwordless authenticationPinagsasama nito ang seguridad ng public-key cryptography sa kaginhawahan ng pag-unlock ng teleponong dala-dala mo na, isinasama sa Windows 10/11, Microsoft Entra, Google at iba pang modernong serbisyo, at nagbibigay-daan sa iyong mamuhay gamit ang mga pisikal na key at mga lumang sistema habang lumilipat ka sa isang mundo kung saan ang mga password ay nagiging hindi gaanong mahalaga.
Masigasig na manunulat tungkol sa mundo ng mga byte at teknolohiya sa pangkalahatan. Gustung-gusto kong ibahagi ang aking kaalaman sa pamamagitan ng pagsusulat, at iyon ang gagawin ko sa blog na ito, ipakita sa iyo ang lahat ng mga pinaka-kagiliw-giliw na bagay tungkol sa mga gadget, software, hardware, teknolohikal na uso, at higit pa. Ang layunin ko ay tulungan kang mag-navigate sa digital na mundo sa simple at nakakaaliw na paraan.