Як використовувати мобільний телефон як автентифікатор FIDO2 для сеансів Windows

Якщо ви втомилися боротися з неможливі паролі, SMS-перевірка та коди, термін дії яких закінчується через 30 секундВикористання мобільного телефону як автентифікатора FIDO2 для входу у Windows та корпоративні програми буквально змінює правила гри. Ідея проста: ваш телефон стає вашим ключем безпеки, і вам потрібно лише розблокувати його за допомогою відбитка пальця, обличчя або PIN-коду, щоб довести свою особу.

В останні роки такі гіганти, як Microsoft, Google, Apple та багато постачальників послуг безпеки, інвестували в FIDO2 та ключі доступу як реальна заміна паролівЦя технологія вже не є експериментальною: вона працює на Windows 10/11. Android, iOSmacOS, ChromeOS та найпопулярніші браузери. І що нас тут цікавить, це те, що він дозволяє використовувати ваш мобільний пристрій як FIDO2-автентифікатор як для доступу до хмарних ресурсів, так і для сеансів Windows, якими керує ваша організація.

Що таке FIDO2, ключі доступу та чому ваш мобільний телефон може бути автентифікатором?

Коли ми говоримо про використання мобільного телефону як автентифікатора для Windows, ми насправді маємо на увазі використовувати стандарти FIDO2 та паролі (ключі доступу)FIDO розшифровується як Fast Identity Online (Fast Identity Online) – це альянс компаній, який роками розробляв способи автентифікації без використання слабких та повторно використовуваних паролів.

FIDO2 — це сучасний стандарт, який об'єднує два ключові компоненти: WebAuthn (від W3C, частини браузера та додатка) y CTAP2 (протокол, який зв’язується з автентифікатором, таким як ваш телефон або фізичний ключ)Разом вони дозволяють онлайн-сервісу просити вас пройти автентифікацію за допомогою мобільного телефону, Windows Hello, USB/NFC-ключа FIDO2 тощо, замість того, щоб змушувати вас запам’ятовувати ще один пароль.

У цій моделі ваш мобільний телефон може виконувати роль кросплатформний автентифікатор FIDOВін безпечно зберігає ваш закритий ключ і може підписувати запити, надіслані на нього Windows, Microsoft Entra ID, Google або іншими сервісами. Ви розблоковуєте телефон звичайним методом (відбиток пальця, обличчя, PIN-код), а пристрій виконує криптографічну частину за вас.

Під капотом FIDO2 використовує криптографія з відкритим ключемЩоразу, коли ви реєструєте ключ доступу для певної служби, генерується пара ключів: закритий ключ зберігається на автентифікаторі (ваш мобільний телефон, ваш ПК, фізичний ключ) і ніколи його не залишає; відкритий ключ надсилається до служби та пов’язується з вашим обліковим записом. Коли ви знову входите в систему, сервер надсилає запит, який ваш автентифікатор підписує закритим ключем, а сервер перевіряє цей підпис за допомогою відкритого ключа.

Практичний результат полягає в тому, що Немає паролів для фільтрації, одноразових кодів для перехоплення та спільних секретів для красти з сервера.Якщо хтось спробує вас фішингувати, навіть якщо він переведе вас на підроблений веб-сайт, криптографічний тест не буде дійсним для вашого справжнього відкритого ключа, тому атака розвалиться сама по собі.

Типи FIDO2-аутентифікаторів та роль мобільних пристроїв

В екосистемі FIDO2 розрізняють два основні типи автентифікаторів: платформа та мультиплатформаРозуміння цієї різниці допоможе вам зрозуміти, яке місце займають мобільні пристрої, коли ми говоримо про сеанси Windows.

Аутентифікатор платформи – це той, що Він інтегрований у сам пристрій.Наприклад, Windows Hello на ноутбуці із сумісним сканером відбитків пальців або камерою, Touch ID на MacBook або датчик відбитків пальців на сучасному ноутбуці. Його можна використовувати лише з того самого комп’ютера, на якому його встановлено, і його не можна перенести на інший пристрій.

Мультиплатформні автентифікатори – це ті, що Ви можете використовувати його з кількох різних пристроїв.Саме тут вступають у гру ключі безпеки FIDO2 (YubiKey, SoloKey, Nitrokey, універсальні ключі NFC/USB), а також, що дуже важливо для нашої теми, мобільні телефони Android та iOS, що використовуються як зовнішні автентифікатори для інших пристроїв.

Залежно від налаштувань, ваш мобільний телефон може працювати двома способами: як автентифікатор платформи (коли ви використовуєте ключ доступу безпосередньо в мобільному браузері/додатку) або як кросплатформний автентифікатор (коли мобільний телефон використовується для входу на інший пристрій, наприклад, ПК з Windows, за допомогою QR-коду та Bluetooth).

Окрім мобільних телефонів та фізичних ключів, існують інші програмні автентифікатори та апаратні засоби сумісний, як Windows Hello, Touch ID, Face ID, спеціалізовані мобільні автентифікатори та такі програми, як Hideez Authenticator що розширює спектр можливостей для змішаних бізнес-середовищ, де сучасні додатки FIDO2 співіснують зі застарілими системами, що все ще базуються на паролях.

Сумісність з FIDO2 у Windows, браузерах та службах

Щоб мобільний пристрій функціонував як FIDO2-автентифікатор у сеансах Windows, важливо, щоб Повна підтримка FIDO2/WebAuthn: операційна система, браузер або додаток та служба ідентифікаціїНа щастя, поточна підтримка дуже широка.

З боку операційної системи, Windows 10 (версія 1903 і пізніша) та Windows 11 Вони вбудовано підтримують автентифікацію FIDO2, особливо якщо пристрій підключено до Microsoft Entra ID (раніше Azure AD) або гібридного домену. Windows Hello виступає в ролі автентифікатора платформи, а система також може працювати з USB/NFC-ключами FIDO2 та мобільними автентифікаторами.

Що стосується браузерів, Chrome, Edge, Firefox та Safari Вони включили підтримку WebAuthn для кількох версій, як на комп’ютерах, так і на мобільних пристроях. Це дозволяє таким сервісам, як Microsoft Entra, Google, Bitwarden та іншим менеджерам паролів і постачальникам SSO, ініціювати процес автентифікації FIDO2 безпосередньо з браузера.

На рівні сервісів майже вся екосистема, яка має значення сьогодні, підтримує або впроваджує ключі доступу: Microsoft Entra ID, облікові записи Google, Google Workspace, постачальники корпоративної системи єдиного входу, менеджери паролів, такі як Bitwarden, та платформи ідентифікації, такі як Hideez Cloud IdentityКожен з них інтегрує FIDO2 дещо по-різному, але основна ідея та сама: ваш автентифікатор (мобільний, ключ або Windows Hello) підписує запити замість введення паролів.

Крім того, у бізнес-середовищі, Microsoft Entra ID дозволяє керувати FIDO2 як офіційним методом автентифікаціїЦе передбачає використання спеціальних політик для його активації, обмеження певних AAGUID (моделей ключів або автентифікаторів) та застосування його за умов умовного доступу. Це ключово, коли ви хочете захистити конфіденційні ресурси та впровадити багатофакторну автентифікацію, стійку до фішингу.

Увійдіть у Microsoft за допомогою ключів доступу FIDO2. Увійдіть за допомогою мобільного пристрою.

Перший практичний сценарій використання мобільного телефону як FIDO2-автентифікатора з Windows зазвичай включає Microsoft Access IDоскільки багато корпоративних сеансів Windows 10/11 пов’язані з Entra та використовують цю ідентифікаційну особу для таких ресурсів, як Office, Teams, SharePoint та внутрішні додатки.

Entra підтримує три основні моделі ключів доступу FIDO2 для користувачів: Ключі доступу, що зберігаються на самому пристрої входу, ключі, що зберігаються на іншому пристрої (наприклад, на вашому мобільному телефоні), і ключі, що зберігаються на фізичному ключі безпеки.Усі ці моделі можна поєднати в межах однієї організації.

Коли ключ доступу зберігається на тому самому пристрої (наприклад, на ноутбуці з Windows та Windows Hello або на мобільному телефоні, де у вас є Microsoft Authenticator та ключ доступу), процес дуже простий: Ви переходите до ресурсу (Офіс, портал компанії тощо) та вибираєте опцію автентифікації за допомогою обличчя, відбитка пальця, PIN-коду або ключа безпекиСистема відкриє вікно безпеки та попросить вас ідентифікувати себе, використовуючи налаштований метод.

Якщо ключ доступу знаходиться на іншому пристрої, наприклад, на мобільному телефоні, процес включає автентифікація між пристроямиНаприклад, у Windows 11 23H2 або пізнішої версії, під час вибору входу за допомогою ключа безпеки вам пропонується вибрати зовнішній пристрій, такий як «iPhone, IPad або пристрій Android». ПК відображає QR-код, який ви скануєте камерою свого мобільного телефону; потім телефон запитує ваші біометричні дані або PIN-код і, використовуючи Bluetooth та Інтернет, завершить автентифікацію на віддаленому комп’ютері.

В обох випадках, після завершення процесу, ви автентифікуєтесь за Microsoft Access IDщо, у свою чергу, дозволяє вам отримувати доступ до ваших хмарних програм, а в добре інтегрованих середовищах – до сеансів Windows або програм для настільних комп’ютерів, які залежать від цієї ідентифікаційної особи.

Спеціальне використання Microsoft Authenticator з ключами доступу на Android та iOS

Один із найзручніших способів використання мобільного телефону як автентифікатора FIDO2 у середовищах Microsoft – це Microsoft Authenticator з підтримкою ключів доступуЦя програма може виконувати роль FIDO2-автентифікатора як на одному пристрої (локальна автентифікація), так і між пристроями (для входу на ПК з Windows або інший комп’ютер).

На iOS ви можете використовувати Authenticator як автентифікатор платформи для входу в Microsoft. Введіть свій ідентифікатор у власний браузер iPhone або iPad а також у нативних програмах Microsoft, таких як OneDrive, SharePoint або Outlook. Система покаже вам варіант «Обличчя, відбиток пальця, PIN-код або ключ безпеки», і коли ви його виберете, вона запитає Face ID, Touch ID або PIN-код вашого пристрою.

Для автентифікації між пристроями в iOS класичний процес такий: На іншому комп’ютері (наприклад, на комп’ютері з Windows 11) перейдіть на сторінку входу Microsoft. Увійдіть, виберіть інші способи входу, виберіть автентифікацію за допомогою ключа безпеки та виберіть пристрій iPhone/iPad/Android.У цей момент на екрані ПК відображається QR-код.

За допомогою iPhone ви відкриваєте системний додаток камери (не камеру, вбудовану в Authenticator, оскільки вона не розпізнає QR-код WebAuthn) та наведіть її на код. iPhone пропонує опцію «Увійти за допомогою пароля», і після підтвердження вашої особи за допомогою Face ID, Touch ID або PIN-коду телефон завершує автентифікацію FIDO2 на ПК за допомогою Bluetooth та підключення до Інтернету.

На Android поведінка схожа, хоча й з деякими нюансами. Для автентифікації того ж пристрою в браузері потрібно Android 14 або новішої версії Щоб використовувати Authenticator як сховище ключів доступу на телефоні, перейдіть на веб-сайт My Security Info, виберіть параметри входу та виберіть обличчя, відбиток пальця, PIN-код або ключ безпеки. Якщо у вас збережено кілька ключів доступу, система попросить вас вибрати той, який ви хочете використовувати.

Для автентифікації між пристроями на Android ви дотримуєтеся тієї ж схеми на своєму ПК: Натисніть Enter, виберіть ключ безпеки, виберіть пристрій AndroidНа віддаленому пристрої відображається QR-код, який можна відсканувати камерою системи або за допомогою самої програми Authenticator, ввівши обліковий запис ключа доступу та скориставшись кнопкою сканування QR-коду, яка відображається в даних ключа доступу.

У всіх цих сценаріях важливо мати Bluetooth та інтернет-з’єднання активні на обох пристрояхЯкщо в організації діють обмежувальні політики Bluetooth, адміністратору може знадобитися налаштувати винятки, щоб дозволити сполучення лише з автентифікаторами з увімкненим ключем доступу FIDO2.

Інші варіанти використання FIDO2: Google, Bitwarden та єдиний вхід для підприємств

Окрім Microsoft та Windows, сама концепція використання мобільного телефону як FIDO2-автентифікатора ідеально відповідає Ключі паролів Google, менеджери паролів FIDO2 та рішення для єдиного входу для підприємствВсе разом робить ваш мобільний телефон основою вашої цифрової ідентичності.

У Google ви можете створити ключі доступу для свого особистого облікового запису або облікового запису Workspace та використовувати їх el метод розблокування екран мобільного телефону (відбиток пальця, обличчя, PIN-код) як основний фактор. Після налаштування ключа доступу на вашому телефоні Android або iPhone ви можете увійти до свого облікового запису Google на ПК, використовуючи процедуру «Спробуйте інший спосіб» / «Використайте ключ доступу» та просканувавши QR-код, який відображається у браузері комп’ютера.

Процес схожий: ПК відображає QR-код, ви скануєте його камерою телефону або вбудованим сканером, і телефон пропонує вам розблокувати його. Після перевірки біометричних даних або PIN-коду, Мобільний телефон підписує виклик FIDO2, і ПК отримує доступ до вашого облікового запису.Після цього Google може запропонувати створити локальний ключ доступу на вашому комп’ютері, але це необов’язково.

Bitwarden, зі свого боку, дозволяє вмикати двоетапний вхід за допомогою FIDO2 WebAuthn у своїх додатках. Ви можете зареєструвати фізичні ключі безпеки, сертифіковані FIDO2, а також використовувати вбудовані автентифікатори, такі як Windows Hello або Touch ID. На мобільних пристроях можна використовувати ключі з підтримкою NFC (наприклад, YubiKey NFC), піднісши їх близько до області зчитування телефону; іноді доводиться ретельно «прицілюватися», оскільки положення зчитувача NFC залежить від моделі.

У бізнес-середовищі такі платформи, як Hideez Cloud Identity Вони поєднують синхронізовані ключі доступу FIDO2 (ті, що можуть бути у вас в Google або iCloud) з власними мобільними автентифікаторами на основі динамічних QR-кодів. Типовий робочий процес виглядає наступним чином: щоб увійти на ПК, ви відкриваєте додаток на своєму телефоні, скануєте QR-код, що відображається на екрані комп’ютера, і авторизуєте вхід зі свого мобільного пристрою, який діє як безпечний автентифікатор.

Цей підхід особливо корисний, коли у вас є поєднання Сучасні програми, сумісні з FIDO2 та застарілими системами, які все ще покладаються на ім'я користувача та парольДеякі апаратні ключі та рішення для ідентифікації навіть дозволяють тому ж ключу функціонувати як автентифікатор FIDO2 для нових послуг і як менеджер паролів шифрування для застарілих програм.

Увімкнення FIDO2/паролів в організаціях за допомогою входу Microsoft

Якщо ваша мета — надати користувачам можливість використовувати свої мобільні пристрої як автентифікатор FIDO2 у сеансах Windows та корпоративних програмах, шлях уперед включає Формально активуйте метод FIDO2 в Microsoft Entra ID та визначити, які типи автентифікаторів дозволені.

У центрі адміністрування Microsoft Entra адміністратор політики автентифікації може перейти до розділу Entra ID → Методи автентифікації → Політики та знайти метод «ключ безпеки (FIDO2)Там ви можете ввімкнути його глобально або для певних груп безпеки, налаштувати, чи дозволено самостійну реєстрацію, та вирішити, чи потрібна атестація пристрою.

Варіант атестації дозволяє приймати лише наступне: Ключі FIDO2 та автентифікатори від легітимних постачальниківОскільки кожен виробник публікує AAGUID (GUID атестації автентифікатора), який ідентифікує бренд і модель, можна застосувати «політику обмеження ключів», щоб авторизувати лише певні AAGUID та блокувати решту. Це дуже корисно, коли ви хочете мати контрольований пул ключів або корпоративні мобільні автентифікатори.

Для складніших сценаріїв Microsoft пропонує API Microsoft Graph для керування FIDO2За допомогою кінцевої точки конфігурації FIDO2 authenticationMethodsPolicy ви можете автоматизувати створення облікових даних, перевіряти певні AAGUID або навіть надавати ключі безпеки FIDO2 від імені користувачів (попередня версія), використовуючи CTAP та creationOptions, що повертаються Entra.

Після правильного налаштування методу FIDO2 ви можете створити сильні сторони автентифікації на основі ключа доступу та використовувати їх у політиках умовного доступу. Наприклад, налаштуйте правило, яке вимагає автентифікації за допомогою ключів доступу FIDO2 (і за потреби обмежтеся одним або кількома AAGUID мобільних автентифікаторів або певними ключами) для доступу до критично важливих програм або сеансів віддаленого робочого столу.

Також розглядаються такі сценарії технічного обслуговування: Видалення ключів доступу користувачів з центру адмініструванняЗміни UPN (у цьому випадку користувач повинен видалити свій старий ключ FIDO2 та зареєструвати новий) та обмеження, такі як поточна відсутність підтримки для гостьових користувачів B2B для реєстрації облікових даних FIDO2 безпосередньо в орендарі ресурсу.

Налаштуйте та використовуйте ключі безпеки FIDO2 за допомогою мобільного телефону

Хоча основна увага в цьому тексті приділяється мобільному телефону як засобу автентифікації, у багатьох середовищах має сенс поєднувати його з Фізичні ключі безпеки FIDO2особливо для адміністраторів, персоналу з критично важливим доступом або користувачів, яким потрібен надійний другий метод.

Налаштування зазвичай починається з порталів безпеки облікових записів, наприклад, у https://aka.ms/mfasetup або на сторінках «Моя інформація безпеки» Microsoft. Там ви вибираєте «Ключ безпеки» та вказуєте, чи USB або NFC, і ви виконуєте інструкції майстра, які залежать від операційної системи та типу ключа. Нарешті, ключу присвоюється ім’я для подальшої ідентифікації.

Після реєстрації ключ можна використовувати з підтримувані браузери (Edge, Chrome, Firefox) або навіть для входу в комп’ютери з Windows 10/11, надані та налаштовані організацією. Крім того, такі системи, як RSA, пропонують спеціальні утиліти (RSA Security Key Utility) для керування PIN-кодом ключа, його зміни, скидання налаштувань пристрою та інтеграції його з корпоративними продуктами автентифікації, такими як SecurID.

У контексті FIDO2 апаратні ключі – це просто ще один тип кросплатформного автентифікатора. Ваш мобільний пристрій може використовувати їх одночасно. Ви можете мати синхронізовані ключі доступу на своєму мобільному пристрої, фізичні ключі для критично важливих потреб та автентифікатори платформи, такі як Windows Hello, на своїх робочих комп’ютерах.Чим надійніші та краще керовані методи у вас є, тим менше ви залежатимете від слабких паролів.

У будь-якому випадку, незалежно від того, чи використовуєте ви фізичні, чи мобільні ключі, рекомендується, щоб адміністратор визначив чіткі правила додавання, видалення та заміни автентифікаторіва також процедури, яких слід дотримуватися у разі втрати або крадіжки пристрою (скасувати пов’язаний ключ доступу, переглянути останні доступи, примусово використовувати багатофакторну автентифікацію під час наступного входу тощо).

Реальні переваги та обмеження використання FIDO2 з мобільним телефоном

Помітне покращення як безпеки, так і зручності використання При використанні мобільного телефону як FIDO2-автентифікатора для сеансів Windows та пов'язаних з ними служб, хоча є й недоліки та нюанси, про які слід знати.

Основна перевага полягає в тому Автентифікація стає стійкою до фішингових атак та атак крадіжки облікових данихОскільки закритий ключ ніколи не залишає телефон і використовується лише для підписання криптографічних запитів, зловмисник не може «вкрасти» ваш пароль, оскільки його просто не існує. Навіть якщо сервіс зазнає порушення безпеки, розкриттям стають відкриті ключі, які марні без фізичного автентифікатора.

Ще однією важливою перевагою є зручність використання: Розблокування телефону за допомогою відбитка пальця або обличчя набагато швидше та природніше. ніж написання довгих паролів, керування одноразовими паролями через SMS або запам'ятовування відповідей на контрольні питання. У багатьох випадках це також усуває потребу в другому рівні традиційної багатофакторної автентифікації (MFA), оскільки FIDO2 сам по собі відповідає вимогам до надійної, стійкої до фішингу MFA.

На регуляторному рівні впровадження FIDO2 допомагає організаціям відповідати таким нормативним актам, як GDPR, HIPAA, PSD2 або NIS2А враховуючи рекомендації NIST або CISA, які рекомендують багатофакторну автентифікацію (MFA), стійку до фішингу, не випадково уряди та великі корпорації звертаються до рішень FIDO в рамках стратегій нульової довіри.

Що стосується обмежень, однією з найяскравіших проблем є технологічна спадщинаБагато програм, застарілих VPN, певних віддалених робочих столів або внутрішніх систем не підтримують FIDO2 або сучасний SSO. Для них вам все одно знадобляться традиційні паролі або автентифікатори, хоча ви можете об'єднати частину доступу за допомогою сучасного постачальника ідентифікаційних даних, який передає дані за допомогою FIDO2 назовні.

Крім того, у багатьох послугах досі Пароль не зникає повністюЙого часто зберігають як механізм відновлення, якщо ви втратите всі свої ключі доступу, а це означає, що якщо ним не керувати належним чином, все ще існує менш безпечний «план Б». Галузь рухається до моделей, де ви можете покладатися виключно на ключі доступу, але поки що ви все ще побачите паролі скрізь.

Ще один важливий нюанс полягає в різниці між Синхронізовані ключі доступу та ключі доступу, пов'язані з пристроємПерші реплікуються через хмарні сервіси (такі як iCloud Keychain або Google Password Manager), що покращує зручність, але ускладнює корпоративний контроль; другі залишаються прив’язаними до одного обладнання (корпоративний мобільний, фізичний ключ), що дає більше контролю ІТ-службі за рахунок певної зручності для користувача.

Для багатьох користувачів і компаній використання мобільного пристрою як FIDO2-автентифікатора для сеансів Windows і доступу до хмарних ресурсів є дуже розумним способом... приєднайтеся до безпарольної автентифікаціїВін поєднує безпеку криптографії з відкритим ключем зі зручністю розблокування телефону, який ви вже носите з собою, інтегрується з Windows 10/11, Microsoft Entra, Google та іншими сучасними сервісами, а також дозволяє вам жити з фізичними ключами та застарілими системами, поки ви переходите до світу, де паролі стають все менш і менш важливими.