This is the Trace Id: 1fe0dded5a81355c3e1f24ca3c83881a
Gå til hovedindholdet
Microsoft Security

Hvad er FIDO2?

Få mere at vide om de grundlæggende funktioner i FIDO2-godkendelse uden adgangskode, herunder hvordan det fungerer og hjælper med at beskytte enkeltpersoner og organisationer mod onlineangreb.

Reducer risikoen med godkendelse uden adgangskode

FIDO2 defineret

FIDO2 (Fast IDentity Online 2) er en åben standard for brugergodkendelse, der har til formål at styrke den måde, folk logger på onlinetjenester på for at øge den overordnede tillid. FIDO2 styrker sikkerheden og beskytter enkeltpersoner og organisationer mod cyberkriminalitet ved at bruge kryptografiske legitimationsoplysninger, der er modstandsdygtige over for phishing, til at validere brugeridentiteter.

FIDO2 er den nyeste standard for åben godkendelse, der er udviklet af FIDO Alliance, et branchekonsortium af Microsoft og andre teknologiorganisationer, handelsorganisationer og statslige organisationer. Alliance udgav FIDO 1.0-godkendelsesstandarderne – som introducerede phishing-resistent multifaktorgodkendelse (MFA) – i 2014 og den nyeste standard for godkendelse uden adgangskode – FIDO2 (også kaldet FIDO 2.0 eller FIDO 2) – i 2018.

Hvad er adgangsnøgler, og hvordan er de relateret til FIDO2?

Uanset hvor længe eller kompleks, eller hvor ofte de ændres, kan adgangskoder kompromitteres ved at blive delt med eller uden vilje. Selv med en beskyttelsesløsning med stærk adgangskode er alle organisationer i en vis risiko for phishing, hacking og andre cyberangreb, hvor adgangskoder bliver stjålet. Når de er i de forkerte hænder, kan adgangskoder bruges til at få uautoriseret adgang til onlinekonti, enheder og filer.

Adgangsnøgler er FIDO2-logonoplysninger, der oprettes ved hjælp af kryptering af offentlig nøgle. En effektiv erstatning for adgangskoder øger cybersikkerhed, samtidig med at de gør det mere brugervenligt at logge på understøttede webprogrammer og websteder end traditionelle metoder.

FIDO2-godkendelse uden adgangskode er afhængig af kryptografiske algoritmer til at generere et par private og offentlige adgangsnøgler – lange, tilfældige tal, der er matematisk relaterede. Nøgleparret bruges til at udføre brugergodkendelse direkte på en slutbrugers enhed, uanset om det er en stationær computer, bærbar computer, mobiltelefon eller sikkerhedsnøgle. En adgangsnøgle kan bindes til en enkelt brugerenhed eller synkroniseres automatisk på tværs af en brugers flere enheder via en cloudtjeneste.

Hvordan fungerer FIDO2-godkendelse?

FIDO2-godkendelse uden adgangskode fungerer ved generelt at bruge adgangsnøgler som den første og primære faktor til kontogodkendelse. Kort sagt, når en bruger registrerer sig med en FIDO2-understøttet onlinetjeneste, genererer den klientenhed, der er registreret til at udføre godkendelsen, et nøglepar, der kun fungerer for den pågældende webapp eller det pågældende websted.

Den offentlige nøgle krypteres og deles med tjenesten, men den private nøgle forbliver sikker på brugerens enhed. Hver gang brugeren derefter forsøger at logge på tjenesten, udgør tjenesten en unik udfordring for klienten. Klienten aktiverer adgangsnøgleenheden for at signere anmodningen med den private nøgle og returnere den. Dette gør processen kryptografisk beskyttet mod phishing.

Typer af FIDO2-godkendere

Før enheden kan generere et entydigt FIDO2-sæt adgangsnøgler, skal den bekræfte, at den bruger, der anmoder om adgang, ikke er en uautoriseret bruger eller en type malware. Det gør den med en godkender, som er en enhed, der kan acceptere en pinkode, biometrisk eller en anden brugerbevægelse.

Der findes to typer FIDO-godkendere:

Roaming-godkendere (eller på tværs af platforme)

Disse godkendere er bærbare hardwareenheder, der er adskilt fra brugernes klientenheder. Roaming-godkendere omfatter sikkerhedsnøgler, smartphones, tablets, wearables og andre enheder, der opretter forbindelse til klientenheder via USB-protokollen eller NFC (Near Field Communication) og trådløs Bluetooth-teknologi. Brugerne bekræfter deres identitet på en række forskellige måder, f.eks. ved at tilslutte en FIDO-tast og trykke på en knap eller ved at angive biometrisk, f.eks. et fingeraftryk, på deres smartphone. Roaming-godkendere kaldes også godkendere på tværs af platforme, fordi de giver brugerne mulighed for at godkende på flere computere, når som helst og hvor som helst.

Platformsgodkendere (eller bundne)

Disse godkendere er integreret i brugernes klientenheder, uanset om det er en stationær, bærbar computer, tablet eller smartphone. Platformens godkendere har biometriske egenskaber og hardwarechips til beskyttelse af adgangsnøgler og kræver, at brugeren logger på FIDO-understøttede tjenester med deres klientenhed og derefter godkender via den samme enhed, generelt med en biometrisk eller en pinkode.

Eksempler på platformsgodkendere, der bruger biometriske data, omfatter Microsoft Windows Hello, Apple Touch ID og Face ID og Android Fingerprint.

Sådan registrerer og logger du på FIDO2-understøttede tjenester:

Hvis du vil drage fordel af den øgede sikkerhed, som FIDO2-godkendelse tilbyder, skal du følge disse grundlæggende trin:

Sådan tilmelder du dig en FIDO2-understøttet tjeneste:

  • Trin 1: Når du registrerer dig med en tjeneste, bliver du bedt om at vælge en understøttet FIDO-godkendermetode.

  • Trin 2: Aktivér FIDO-godkenderen med en enkel bevægelse, som godkenderen understøtter, uanset om du angiver en pinkode, rører ved en fingeraftrykslæser eller indsætter en FIDO2-sikkerhedsnøgle.

  • Trin 3: Når godkenderen er aktiveret, genererer din enhed et privat og offentligt nøglepar, der er unikt for din enhed, konto og tjenesten.

  • Trin 4: Din lokale enhed gemmer den private nøgle og eventuelle fortrolige oplysninger vedrørende godkendelsesmetoden, f.eks. dine biometriske data. Den offentlige nøgle er krypteret og, sammen med et tilfældigt genereret legitimationsoplysnings-id, registreret hos tjenesten og gemt på dens godkenderserver.

Sådan logger du på en FIDO2-understøttet tjeneste:

  • Trin 1: Tjenesten udsteder en kryptografisk udfordring for at bekræfte din tilstedeværelse.

  • Trin 2: Når du bliver bedt om det, skal du udføre den samme godkenderbevægelse, der blev brugt under kontoregistreringen. Når du har bekræftet din tilstedeværelse med bevægelsen, bruger enheden derefter den private nøgle, der er gemt lokalt på din enhed, til at signere udfordringen.

  • Trin 3: Din enhed sender den signerede udfordring tilbage til tjenesten, som bekræfter den med den sikkert registrerede offentlige nøgle.

  • Trin 4: Når du er færdig, er du logget på igen.

Hvad er fordelene ved FIDO2-godkendelse?

Fordelene ved FIDO2-godkendelse uden adgangskode omfatter større sikkerhed og beskyttelse af personlige oplysninger, brugervenlige oplevelser og forbedret skalerbarhed. FIDO2 reducerer også arbejdsbelastninger og omkostninger, der er knyttet til adgangsstyring.

Øger sikkerheden

FIDO2-godkendelse uden adgangskode øger logonsikkerhed betydeligt ved at være afhængig af entydige adgangsnøgler. Med FIDO2 kan hackere ikke nemt få adgang til disse følsomme oplysninger via phishing, ransomwareog andre almindelige former for cybertyveri. Biometriske nøgler og FIDO2-nøgler hjælper også med at fjerne sikkerhedsrisici i traditionelle multifaktorgodkendelsesmetoder, f.eks. afsendelse af engangsadgangskoder (OTP'er) via sms'er.

Forbedrer beskyttelse af brugernes personlige oplysninger

FIDO-godkendelse styrker brugernes personlige oplysninger ved sikkert at gemme private kryptografiske nøgler og biometriske data på brugerenheder. Da denne godkendelsesmetode genererer entydige nøglepar, hjælper det desuden med at forhindre tjenesteudbydere i at spore brugere på tværs af websteder. Som svar på forbrugerbekymringer i forbindelse med potentielt misbrug af biometriske data har myndighederne indført love om beskyttelse af personlige oplysninger, der forhindrer organisationer i at sælge eller dele biometriske oplysninger.

Øger brugervenligheden

Med FIDO-godkendelse kan enkeltpersoner hurtigt og nemt godkende deres identiteter ved hjælp af FIDO2-nøgler, godkenderapps eller fingeraftrykslæsere eller kameraer, der er integreret i deres enheder. Selvom brugerne skal udføre et andet eller endda tredje sikkerhedstrin (f.eks. når der kræves mere end én biometri til identitetsbekræftelse), sparer de sig selv den tid og besvær, der er forbundet med at oprette, huske, administrere og nulstille adgangskoder.

Forbedrer skalerbarheden

FIDO2 er en åben, licensfri standard, der gør det muligt for virksomheder og andre organisationer at skalere godkendelsesmetoder uden adgangskode i hele verden. Med FIDO2 kan de levere sikre, strømlinede logonoplevelser til alle medarbejdere, kunder og partnere uanset deres valgte browser og platform.

Forenkler adgangsstyring

It-teams behøver ikke længere at udrulle og administrere adgangskodepolitikker og infrastruktur, hvilket reducerer omkostningerne og frigør dem, så de kan fokusere på aktiviteter med højere værdi. Derudover øges produktiviteten blandt helpdesk-medarbejdere, da de ikke behøver at understøtte adgangskodebaserede anmodninger, f.eks. nulstilling af adgangskoder.

Hvad er WebAuthn og CTAP2?

FIDO2-sættet med specifikationer har to komponenter: Webgodkendelse (WebAuthn) og Client-to-Authenticator Protocol 2 (CTAP2). Hovedkomponenten WebAuthn er en JavaScript-API, der implementeres i kompatible webbrowsere og platforme, så registrerede enheder kan udføre FIDO2-godkendelse. World Wide Web Consortium (W3C), den internationale standardorganisation for World Wide Web, udviklede WebAuthn i samarbejde med FIDO Alliance. WebAuthn blev en formel W3C-webstandard i 2019.

Den anden komponent, CTAP2, udviklet af FIDO Alliance, gør det muligt for roaming-godkendere, f.eks. FIDO2-sikkerhedsnøgler og mobilenheder, at kommunikere med FIDO2-understøttede browsere og platforme.

Hvad er FIDO U2F og FIDO UAF?

FIDO2 udviklede sig fra FIDO 1.0, som er de første FIDO-godkendelsesspecifikationer, der blev udgivet af Alliance i 2014. Disse oprindelige specifikationer omfattede FIDO U2F-protokollen (Universal Second Factor) og FIDO UAF-protokollen (Fido Universal Authentication Framework).

Både FIDO U2F og FIDO UAF er former for multifaktorgodkendelse, som kræver to eller tre beviser (eller faktorer) for at validere en bruger. Disse faktorer kan være noget, som kun brugeren kender (f.eks. en adgangskode eller pinkode), som f.eks. en FIDO-nøgle eller en godkenderapp på en mobilenhed eller er (f.eks. biometrisk).

Få mere at vide om disse specifikationer:

FIDO U2F

FIDO U2F styrker adgangskodebaserede godkendelsesstandarder med tofaktorgodkendelse (2FA), som validerer brugeren med to beviser. FIDO U2F-protokollen kræver, at en person angiver en gyldig kombination af brugernavn og adgangskode som en første faktor og derefter bruger en USB-, NFC- eller Bluetooth-enhed som en anden faktor og generelt godkender ved at trykke på en knap eller taste i en tidsfølsom OTP.

FIDO U2F er efterfølgeren til CTAP 1 og den foregående til CTAP2, som gør det muligt for enkeltpersoner at bruge mobilenheder ud over FIDO-nøgler som andenfaktorenheder.

FIDO UAF

FIDO UAF muliggør multifaktorgodkendelse uden adgangskode. Det kræver, at en person logger på med en FIDO-registreret klientenhed – som bekræfter brugerens tilstedeværelse med en biometrisk kontrol, f.eks. et fingeraftryk eller ansigtsscanning eller med en pinkode – som den første faktor. Enheden genererer derefter det entydige nøglepar som en anden faktor. Et websted eller en app kan også bruge en tredje faktor, f.eks. biometrisk eller brugerens geografiske placering.

FIDO UAF er forgængeren til FIDO2-godkendelse uden adgangskode.

Sådan implementerer du FIDO2

Implementering af FIDO2-standarden på websteder og apps kræver, at din organisation har moderne hardware og software. Heldigvis understøtter alle førende webplatforme, herunder Microsoft Windows-, Apple iOS- og MacOS- og Android-systemer samt alle større webbrowsere, herunder Microsoft Edge, Google Chrome, Apple Safari og Mozilla Firefox, FIDO2. Din løsning til identitets- og adgangsstyring (IAM) skal også understøtte FIDO2-godkendelse.

Generelt omfatter implementering af FIDO2-godkendelse på nye eller eksisterende websteder og apps disse vigtige trin:

  1. Definer brugerlogonoplevelsen og godkendelsesmetoderne, og angiv adgangskontrol politikker.
  2. Opret nye eller rediger eksisterende registrerings- og logonsider med de relevante FIDO-protokolspecifikationer.
  3. Konfigurer en FIDO-server for at godkende FIDO-registrerings- og godkendelsesanmodninger. FIDO-serveren kan være en separat server, integrere med en web- eller programserver eller leveres som et IAM-modul.
  4. Opret nye eller rediger eksisterende godkendelsesarbejdsprocesser.

FIDO2- og biometrisk godkendelse

Biometrisk godkendelse bruger en persons entydige biologiske eller adfærdsmæssige karakteristika til at bekræfte, at personen er den person, vedkommende hævder at være. Biometriske data indsamles og konverteres til biometriske skabeloner, der kun er tilgængelige med en hemmelig algoritme. Når personen forsøger at logge på, henter systemet oplysningerne, konverterer dem og sammenligner dem med den gemte biometri.

Eksempler på biometrisk godkendelse omfatter følgende:

Biologisk

  • Scanning af fingeraftryk
  • Nethindescanning
  • Talegenkendelse
  • DNA-matchning
  • Venescanning

Adfærdsmæssige

  • Brug af touchskærm
  • Skrivehastighed
  • Tastaturgenveje
  • Museaktivitet

Biometrisk godkendelse er en realitet på nutidens hybride, digitale arbejdspladser. Medarbejdere synes godt om, at det giver dem fleksibilitet til hurtigt og sikkert at godkende, uanset hvor de vælger. Virksomheder synes godt om, at det reducerer deres angrebsoverflade markant, hvilket reducerer cyberkriminalitet, der ellers ville være rettet mod deres data og systemer.

Biometrisk godkendelse er dog ikke helt hackerfri. Forkerte aktører kan f.eks. bruge en andens biometriske data, f.eks. et foto eller et siliciumfingeraftryk, til at repræsentere den pågældende person. Eller de kan kombinere flere fingeraftryksscanninger for at oprette en primær scanning, der giver dem adgang til flere brugerkonti.

Der findes andre ulemper ved biometrisk godkendelse. Nogle systemer til ansigtsgenkendelse har f.eks. en indbygget bias mod kvinder og farvede mennesker. Derudover vælger nogle organisationer at gemme biometriske data på databaseservere i stedet for på slutbrugerenheder, hvilket rejser spørgsmål om sikkerhed og beskyttelse af personlige oplysninger. Multifaktor biometrisk godkendelse er stadig en af de mest sikre metoder, der er tilgængelige i dag til at bekræfte brugeridentiteter.

Eksempler på FIDO2-godkendelse

Sikkerhedskrav og logistiske krav til identitetsbekræftelse varierer i og på tværs af organisationer. Følgende er almindelige måder, hvorpå organisationer i forskellige brancher implementerer FIDO2-godkendelse.

Bankvæsen, finansielle tjenester og forsikring

For at beskytte følsomme virksomheds- og kundedata bruger medarbejdere, der arbejder på virksomhedskontorer, ofte stationære eller bærbare computere, der leveres af virksomheden, med platformsgodkendere. Virksomhedens politik forhindrer dem i at bruge disse enheder til personlig brug. På stedet-medarbejdere i filialer og callcenter bruger ofte delte enheder og bekræfter deres identiteter ved hjælp af roaming-godkendere.

Luftfart og luftfartsselskaber

Organisationer i disse brancher skal også imødekomme personer, der arbejder i forskellige indstillinger og har forskellige ansvarsområder. Executive, HR og andre kontorbaserede medarbejdere bruger ofte dedikerede stationære og bærbare computere og godkender enten med platform- eller roaming-godkendere. Lufthavnsgateagenter, flymekanikere og besætningsmedlemmer bruger ofte hardwaresikkerhedsnøgler eller godkenderapps på deres personlige smartphones til at godkende på delte tablets eller arbejdsstationer.

Produktion

For at sikre den fysiske sikkerhed for produktionsfaciliteter bruger autoriserede medarbejdere og andre personer roaming-godkendere—, f.eks. FIDO2-aktiverede chipkort og FIDO2-nøgler—eller registrerede personlige smartphones med platformsgodkendere til at låse døre op. Derudover bruger produktdesignteams ofte dedikerede stationære eller bærbare computere med platformsgodkendere til at få adgang til onlinedesignsystemer, der indeholder beskyttede oplysninger.

Redningstjenester

Offentlige myndigheder og andre udbydere af nødtjenester kan ikke altid godkende paramedicinere og andre, der yder førstehjælp, med fingeraftryks- eller irisscanninger. Disse personer har ofte handsker eller øjenbeskyttelse på, samtidig med at de har brug for hurtigt at få adgang til onlinetjenester. I disse tilfælde identificeres de i stedet via talegenkendelsessystemer. Nye teknologier til scanning af ørefigurer med smartphones kan også bruges.

Skab sikkerhed, der giver ro i sindet, med FIDO2

Godkendelse uden adgangskodeGodkendelse uden adgangskode er hurtigt ved at blive bedste praksis for IAM. Ved at bruge FIDO2 ved du, at du bruger en standard, der er tillid til, for at sikre, at brugerne er dem, de siger, de er.

For at komme i gang med FIDO2 skal du omhyggeligt evaluere dine specifikke organisations- og branchekrav til identitetsbekræftelse. Strømlin derefter FIDO2-implementeringen med Microsoft Entra ID (tidligere kendt som Azure Active Directory). Guiden metoder uden adgangskode i Microsoft Entra ID forenkler administrationen af Windows Hello til virksomheder, Microsoft Authenticator-appen og FIDO2-sikkerhedsnøgler.

Få mere at vide om Microsoft Security

Microsoft Entra-id (tidligere kendt som Azure Active Directory)

Beskyt adgangen til ressourcer og data ved hjælp af stærk godkendelse og risikobaseret tilpasset adgang.

Få mere at vide

Microsoft Entra identitetshåndtering

Øg produktiviteten, og styrk sikkerheden ved at automatisere adgangen til apps og tjenester.

Få mere at vide

Microsoft Entra Bekræftet id

Du kan trygt udstede og bekræfte arbejdsplads og andre legitimationsoplysninger med en løsning med åbne standarder.

Få mere at vide

Microsoft Entra arbejdsbelastnings-id

Reducer risikoen ved at give apps og tjenester betinget adgang til cloudressourcer på ét sted.

Få mere at vide

Ofte stillede spørgsmål

  • FIDO2 står for (Fast IDentity Online 2), den nyeste åbne godkendelsesstandard, der er udgivet af FIDO Alliance. Alliance, der består af Microsoft og andre teknologiske, kommercielle og offentlige organisationer, forsøger at fjerne brugen af adgangskoder via World Wide Web.

    FIDO2-specifikationer omfatter Web Authentication (WebAuthn), som er en web-API, der gør det muligt for onlinetjenester at kommunikere med FIDO2-platformgodkendere (f.eks. teknologier til fingeraftryk og ansigtsgenkendelse, der er integreret i webbrowsere og platforme). WebAuthn er udviklet af World Wide Web Consortium (W3C) i samarbejde med FIDO Alliance og er en formel W3C-standard.

    FIDO2 indeholder også Client-to-Authenticator Protocol 2 (CTAP2), der er udviklet af Alliance. CTAP2 forbinder roaming-godkendere (f.eks. eksterne FIDO2-sikkerhedsnøgler og mobilenheder) til FIDO2-klientenheder via USB, BLE eller NFC.

  • FIDO2 er en åben, licensfri standard til multifaktorgodkendelse uden adgangskode i mobil- og skrivebordsmiljøer. FIDO2 fungerer ved at bruge kryptografi med offentlige nøgler i stedet for adgangskoder til at validere brugeridentiteter og forhindre cyberkriminelle, der forsøger at stjæle brugerlegitimationsoplysninger via phishing, malware og andre adgangskodebaserede angreb.

  • Fordelene ved FIDO2-godkendelse omfatter større sikkerhed og beskyttelse af personlige oplysninger, brugervenlige oplevelser og forbedret skalerbarhed. FIDO2 forenkler også adgangskontrol for it-teams og helpdeskmedarbejdere ved at reducere arbejdsbelastninger og omkostninger i forbindelse med administration af brugernavne og adgangskoder.

  • En FIDO2-nøgle, også kaldet en FIDO2-sikkerhedsnøgle, er en fysisk hardwareenhed, der kræves til tofaktorgodkendelse og multifaktorgodkendelse. Som roaming-FIDO-godkender bruger den USB, NFC eller Bluetooth til at oprette forbindelse til en FIDO2-klientenhed, hvilket giver brugerne mulighed for at godkende på flere computere, uanset om de er på kontoret, derhjemme eller i en anden indstilling.

    Klientenheden bekræfter brugerens identitet ved at bede brugeren om at bruge FIDO2-tasten til at foretage en bevægelse, f.eks. at berøre en fingeraftrykslæser, trykke på en knap eller angive en pinkode. FIDO2-nøgler omfatter plug-in-nøgler, smartphones, tablets, wearables og andre enheder.

  • Organisationer udruller FIDO2-godkendelsesmetoder baseret på deres unikke krav til sikkerhed, logistisk og branche.

    Banker og forskningsdrevne producenter kræver f.eks. ofte, at kontorbaserede og andre medarbejdere bruger virksomhedsleverede stationære og bærbare computere udelukkende til virksomheder med platformsgodkendere. Organisationer med personer på farten, f.eks. flybesætninger og teams til akutberedskab, får i stedet ofte adgang til delte tablets eller arbejdsstationer og godkender derefter ved hjælp af sikkerhedsnøgler eller godkenderapps på deres smartphones.

Følg Microsoft Security