This is the Trace Id: 30eea1c37989d92f3010d77f647f8318
Μετάβαση στο κύριο περιεχόμενο
Ασφάλεια της Microsoft

Τι είναι το FIDO2;

Μάθετε τα βασικά στοιχεία του ελέγχου ταυτότητας χωρίς κωδικό πρόσβασης FIDO2, συμπεριλαμβανομένου του τρόπου λειτουργίας του, αλλά και του τρόπου διευκολύνει την προστασία ατόμων και οργανισμών από επιθέσεις online.

Μείωση των κινδύνων με έλεγχο ταυτότητας χωρίς κωδικό πρόσβασης

Ερμηνεία του FIDO2

Το FIDO2 (Fast IDentity Online 2, Γρήγορη Ταυτότητα Online 2) είναι ένα ανοιχτό σύνολο προδιαγραφών για τον έλεγχο ταυτότητας χρήστη που στοχεύει στην ισχυροποίηση του τρόπου με τον οποίο οι χρήστες πραγματοποιούν είσοδο σε ηλεκτρονικές υπηρεσίες ώστε να αυξηθεί η συνολική αξιοπιστία. Το FIDO2 ισχυροποιεί την ασφάλεια και προστατεύει άτομα και οργανισμούς από τα εγκλήματα στον κυβερνοχώρο χρησιμοποιώντας κρυπτογραφικά διαπιστευτήρια που προσβάλλονται δύσκολα από ηλεκτρονικό "ψάρεμα" για την επικύρωση ταυτοτήτων χρηστών.

Το FIDO2 είναι το πιο πρόσφατο ανοικτό σύνολο προδιαγραφών ελέγχου ταυτότητας που αναπτύχθηκε από τη FIDO Alliance, μια βιομηχανική κοινοπραξία της Microsoft και άλλων τεχνολογικών, εμπορικών και δημόσιων οργανισμών. Η κοινοπραξία κυκλοφόρησε το σύνολο προδιαγραφών ελέγχου ταυτότητας FIDO 1.0, το οποίο παρουσίασε ισχυρή ανθεκτικότητα έναντι του ηλεκτρονικού "ψαρέματος" όσον αφορά τον έλεγχο ταυτότητας πολλών παραγόντων (MFA), το 2014 και το πιο πρόσφατο σύνολο προδιαγραφών ελέγχου ταυτότητας χωρίς κωδικό πρόσβασης, FIDO2 (ονομάζεται επίσης FIDO 2.0 ή FIDO 2), το 2018.

Τι είναι τα κλειδιά πρόσβασης και πώς σχετίζονται με το FIDO2;

Ανεξάρτητα από το πόσο μεγάλοι ή σύνθετοι ή πόσο συχνά αλλάζουν, οι κωδικοί πρόσβασης μπορούν να παραβιαστούν με την εκούσια ή εκούσια κοινή χρήση τους. Ακόμη και με μια λύση προστασίας που βασίζεται σε ισχυρό κωδικό πρόσβασης, συνεχίζει να υπάρχει ένα επίπεδο κινδύνων όσον αφορά το "ψάρεμα", την εισβολή και άλλου είδους επιθέσεων στον κυβερνοχώροόπου μπορούν να υποκλαπούν κωδικοί πρόσβασης. Όταν βρεθούν σε λάθος χέρια, οι κωδικοί πρόσβασης μπορούν να χρησιμοποιηθούν για την απόκτηση μη εξουσιοδοτημένης πρόσβασης σε ηλεκτρονικούς λογαριασμούς, συσκευές και αρχεία.

Τα κλειδιά πρόσβασης είναι διαπιστευτήρια εισόδου FIDO2 που δημιουργούνται με χρήση κρυπτογράφησης δημόσιου κλειδιού. Μια αποτελεσματική αντικατάσταση των κωδικών πρόσβασης αυξάνει την ασφάλεια από απειλές στον κυβερνοχώρο, ενώ παράλληλα καθιστά την είσοδο σε υποστηριζόμενες εφαρμογές και τοποθεσίες web πιο φιλική προς τον χρήστη σε σχέση με τις παραδοσιακές μεθόδους.

Ο έλεγχος ταυτότητας χωρίς κωδικό πρόσβασης FIDO2 βασίζεται σε κρυπτογραφικούς αλγόριθμους για τη δημιουργία ενός ζεύγους ιδιωτικών και δημόσιων κλειδιών πρόσβασης, μεγάλου μήκους, τυχαίων αριθμών που σχετίζονται με βάση μαθηματικές εξισώσεις. Το ζεύγος κλειδιών χρησιμοποιείται για την εκτέλεση ελέγχου ταυτότητας χρήστη απευθείας στη συσκευή ενός τελικού χρήστη, είτε πρόκειται για επιτραπέζιο υπολογιστή, φορητό υπολογιστή, κινητό τηλέφωνο ή κλειδί ασφαλείας. Ένα κλειδί πρόσβασης μπορεί να είναι ενοποιημένο με μια συσκευή χρήστη ή να συγχρονιστεί αυτόματα σε πολλές συσκευές χρήστη μέσω μιας υπηρεσίας cloud.

Πώς λειτουργεί ο έλεγχος ταυτότητας FIDO2;

Σε γενικές γραμμές, ο έλεγχος ταυτότητας χωρίς κωδικό πρόσβασης FIDO2 λειτουργεί χρησιμοποιώντας κλειδιά πρόσβασης ως τον πρώτο και τον κύριο παράγοντα για τον έλεγχο ταυτότητας λογαριασμού. Εν ολίγοις, όταν ένας χρήστης εγγράφεται σε μια ηλεκτρονική υπηρεσία που υποστηρίζεται από το FIDO2, ο υπολογιστής-πελάτης που έχει καταχωρηθεί για την εκτέλεση του ελέγχου ταυτότητας δημιουργεί ένα ζεύγος κλειδιών που λειτουργεί μόνο για τη συγκεκριμένη εφαρμογή ή τοποθεσία web.

Το δημόσιο κλειδί είναι κρυπτογραφημένο και κοινόχρηστο με την υπηρεσία, αλλά το ιδιωτικό κλειδί παραμένει με ασφάλεια στη συσκευή του χρήστη. Στη συνέχεια, κάθε φορά που ο χρήστης επιχειρεί να εισέλθει στην υπηρεσία, η υπηρεσία παρουσιάζει μια μοναδική πρόκληση στο πρόγραμμα-πελάτη. Το πρόγραμμα-πελάτης ενεργοποιεί τη συσκευή κλειδιού πρόσβασης για να υπογράψει την αίτηση με το ιδιωτικό κλειδί και να την επιστρέψει. Με αυτόν τον τρόπο, η διεργασία προστατεύεται κρυπτογραφικά από το ηλεκτρονικό "ψάρεμα".

Τύποι πιστοποιητικών ταυτότητας FIDO2

Για να μπορέσει η συσκευή να δημιουργήσει ένα μοναδικό σύνολο κλειδιών πρόσβασης FIDO2, πρέπει να επιβεβαιώσει ότι ο χρήστης που ζητά πρόσβαση δεν είναι μη εξουσιοδοτημένος χρήστης ή τύπος λογισμικού κακόβουλης λειτουργίας. Η παραπάνω λειτουργία επιτελείται με πιστοποίηση ταυτότητας, η οποία πρόκειται για μια συσκευή που είναι σε θέση να αποδεχτεί ένα PIN, βιομετρικά στοιχεία ή άλλη χειρονομία χρήστη.

Υπάρχουν δύο τύποι πιστοποιητικών ταυτότητας FIDO:

Πιστοποίηση ταυτότητας περιαγωγής (ή μεταξύ πλατφορμών)

Αυτά τα προγράμματα πιστοποίησης ταυτότητας είναι μεταφέρσιμες συσκευές υλικού που είναι ξεχωριστές από τους υπολογιστές-πελάτες των χρηστών. Τα προγράμματα πιστοποίησης ταυτότητας περιαγωγής περιλαμβάνουν κλειδιά ασφαλείας, smartphone, tablet, φορέσιμα και άλλες συσκευές που συνδέονται με τους υπολογιστές-πελάτες μέσω του πρωτοκόλλου USB ή της επικοινωνίας κοντινού πεδίου (NFC) και της ασύρματης τεχνολογίας Bluetooth. Οι χρήστες επαληθεύουν τις ταυτότητές τους με διάφορους τρόπους, όπως συνδέοντας ένα κλειδί FIDO και πατώντας ένα κουμπί ή παρέχοντας ένα βιομετρικό στοιχείο, όπως ένα δακτυλικό αποτύπωμα, στο smartphone τους. Τα προγράμματα πιστοποίησης ταυτότητας περιαγωγής είναι επίσης γνωστά ως πιστοποίηση ταυτότητας μεταξύ πλατφορμών, επειδή επιτρέπουν στους χρήστες να πραγματοποιούν έλεγχο ταυτότητας σε πολλούς υπολογιστές, οποιαδήποτε στιγμή και από οπουδήποτε.

Πιστοποίηση ταυτότητας πλατφόρμας (ή ενοποιημένης)

Αυτά τα προγράμματα πιστοποίησης ταυτότητας είναι ενσωματωμένα στους υπολογιστές-πελάτες των χρηστών, είτε πρόκειται για επιτραπέζιο υπολογιστή, φορητό υπολογιστή, tablet ή smartphone. Περιλαμβάνοντας βιομετρικές δυνατότητες και chips υλικού για την προστασία κλειδιών πρόσβασης, τα προγράμματα πιστοποίησης ταυτότητας πλατφόρμας απαιτούν από τον χρήστη να πραγματοποιεί είσοδο σε υπηρεσίες που υποστηρίζονται από το FIDO με τον υπολογιστή-πελάτη του και, στη συνέχεια, να πραγματοποιεί έλεγχο ταυτότητας μέσω της ίδιας συσκευής, γενικά, με κάποιο βιομετρικό στοιχείο ή PIN.

Παραδείγματα προγραμμάτων πιστοποίησης ταυτότητας πλατφόρμας που χρησιμοποιούν βιομετρικά δεδομένα περιλαμβάνουν το Microsoft Windows Hello, το Apple Touch ID και Face ID και το Android Fingerprint.

Τρόπος εγγραφής και εισόδου σε υπηρεσίες που υποστηρίζονται από το FIDO2:

Για να επωφεληθείτε από την αυξημένη ασφάλεια που προσφέρει ο έλεγχος ταυτότητας FIDO2, ακολουθήστε αυτά τα βασικά βήματα:

Τρόπος εγγραφής σε μια υπηρεσία που υποστηρίζεται από το FIDO2:

  • Βήμα 1: Κατά την εγγραφή σε μια υπηρεσία, θα σας ζητηθεί να επιλέξετε μια υποστηριζόμενη μέθοδο πιστοποίησης ταυτότητας FIDO.

  • Βήμα 2: Ενεργοποιήστε το πρόγραμμα πιστοποίησης ταυτότητας FIDO με μια απλή χειρονομία που υποστηρίζει το πρόγραμμα πιστοποίησης ταυτότητας, είτε πρόκειται για εισαγωγή PIN, το άγγιγμα μιας μονάδας ανάγνωσης δακτυλικών αποτυπωμάτων είτε την εισαγωγή κλειδιού ασφαλείας FIDO2.

  • Βήμα 3: Όταν ενεργοποιηθεί η πιστοποίηση ταυτότητας, η συσκευή σας θα δημιουργήσει ένα ζεύγος ιδιωτικού και δημόσιου κλειδιού που είναι μοναδικό για τη συσκευή, τον λογαριασμό σας και την υπηρεσία.

  • Βήμα 4: Η τοπική συσκευή σας αποθηκεύει με ασφάλεια το ιδιωτικό κλειδί και τυχόν εμπιστευτικές πληροφορίες που αφορούν τη μέθοδο ελέγχου ταυτότητας, όπως τα βιομετρικά δεδομένα σας. Το δημόσιο κλειδί κρυπτογραφείται και, μαζί με ένα τυχαία δημιουργημένο αναγνωριστικό διαπιστευτηρίων, καταχωρείται στην υπηρεσία και είναι αποθηκεύεται στον διακομιστή πιστοποίησης ταυτότητας.

Τρόπος εισόδου σε μια υπηρεσία που υποστηρίζεται από το FIDO2:

  • Βήμα 1: Η υπηρεσία εκδίδει μια κρυπτογραφική πρόκληση για να επιβεβαιώσει την παρουσία σας.

  • Βήμα 2: Όταν σας ζητηθεί, εκτελέστε την ίδια χειρονομία πιστοποίησης ταυτότητας που χρησιμοποιήθηκε κατά την εγγραφή του λογαριασμού. Αφού επιβεβαιώσετε την παρουσία σας με τη χειρονομία, η συσκευή σας θα χρησιμοποιήσει το ιδιωτικό κλειδί που είναι αποθηκευμένο τοπικά στη συσκευή σας για να υπογράψει την πρόκληση.

  • Βήμα 3: Η συσκευή σας στέλνει την υπογεγραμμένη πρόκληση πίσω στην υπηρεσία, η οποία την επαληθεύει με το δημόσιο κλειδί που έχει καταχωρηθεί με ασφάλεια.

  • Βήμα 4: Μόλις τελειώσετε, θα εισέλθετε.

Ποια είναι τα πλεονεκτήματα του ελέγχου ταυτότητας FIDO2;

Τα πλεονεκτήματα του ελέγχου ταυτότητας χωρίς κωδικό πρόσβασης FIDO2 περιλαμβάνουν πιο ισχυρή ασφάλεια και προστασία προσωπικών δεδομένων, φιλικές προς τον χρήστη εμπειρίες και βελτιωμένη δυνατότητα κλιμάκωσης. Το FIDO2 μειώνει επίσης τους φόρτους εργασίας και τα κόστη που σχετίζονται με τη διαχείριση πρόσβασης.

Αυξάνει την ασφάλεια

Ο έλεγχος ταυτότητας χωρίς κωδικό πρόσβασης FIDO2 ενισχύει σημαντικά την ασφάλεια σύνδεσης, βασιζόμενος σε μοναδικά κλειδιά πρόσβασης. Με το FIDO2, οι εισβολείς δεν μπορούν εύκολα να αποκτήσουν πρόσβαση σε αυτές τις ευαίσθητες πληροφορίες μέσω ηλεκτρονικού "ψαρέματος", ransomware και άλλων κοινών ενεργειών υποκλοπών στον κυβερνοχώρο. Τα βιομετρικά κλειδιά, όπως και τα κλειδιά FIDO2, βοηθούν επίσης στην εξάλειψη ευπαθειών στις παραδοσιακές μεθόδους ελέγχου ταυτότητας πολλών παραγόντων, όπως είναι η αποστολή κωδικών πρόσβασης μίας χρήσης (OTP) μέσω μηνυμάτων κειμένου.

Βελτίωση της προστασίας προσωπικών δεδομένων χρήστη

Ο έλεγχος ταυτότητας FIDO ισχυροποιεί την προστασία προσωπικών δεδομένων των χρηστών αποθηκεύοντας με ασφάλεια κρυπτογραφικά ιδιωτικά κλειδιά και βιομετρικά δεδομένα στις συσκευές χρήστη. Επιπροσθέτως, επειδή αυτή η μέθοδος ελέγχου ταυτότητας δημιουργεί μοναδικά ζεύγη κλειδιών, βοηθά στην αποτροπή των υπηρεσιών παροχής από την παρακολούθηση χρηστών κατά την περιήγησή τους σε διάφορες τοποθεσίες. Επίσης, ανταποκρινόμενες στις ανησυχίες των καταναλωτών σχετικά με πιθανή κατάχρηση των βιομετρικών δεδομένων τους, οι κυβερνήσεις εφαρμόζουν νόμους περί προστασίας προσωπικών δεδομένων που εμποδίζουν τους οργανισμούς να πωλούν ή να κοινοποιούν βιομετρικές πληροφορίες.

Προβιβασμός της ευκολίας χρήσης

Με τον έλεγχο ταυτότητας FIDO, τα άτομα μπορούν να πραγματοποιούν γρήγορη και εύκολη πιστοποίηση των ταυτοτήτων τους χρησιμοποιώντας κλειδιά FIDO2, εφαρμογές πιστοποίησης ταυτότητας ή μονάδων ανάγνωσης δακτυλικών αποτυπωμάτων ή κάμερες που είναι ενσωματωμένες στις συσκευές τους. Παρόλο που οι χρήστες πρέπει να εκτελέσουν ένα δεύτερο ή ακόμη και τρίτο βήμα ασφαλείας (όπως όταν απαιτούνται περισσότερα από ένα βιομετρικά στοιχεία για την επαλήθευση ταυτότητας), εξοικονομούν χρόνο και κόπο που σχετίζεται με τη δημιουργία, απομνημόνευση, διαχείριση και επαναφορά κωδικών πρόσβασης.

Βελτιώνει τη δυνατότητα κλιμάκωσης

Το FIDO2 είναι ένα ανοιχτό σύνολο προδιαγραφών χωρίς άδεια χρήσης που επιτρέπει στις επιχειρήσεις και σε άλλους οργανισμούς να κλιμακώνουν τις μεθόδους ελέγχου ταυτότητας χωρίς κωδικό πρόσβασης παγκοσμίως. Με το FIDO2, μπορούν να παρέχουν ασφαλείς, βελτιωμένες εμπειρίες εισόδου σε όλους τους υπαλλήλους, τους πελάτες και τους συνεργάτες, ανεξάρτητα από το πρόγραμμα περιήγησης και την πλατφόρμα που έχουν επιλέξει.

Απλοποίηση της διαχείρισης πρόσβασης

Οι ομάδες IT δεν χρειάζεται πλέον να αναπτύσσουν και να διαχειρίζονται πολιτικές και υποδομές κωδικών πρόσβασης, με αποτέλεσμα να μειώνονται τα κόστη και να αποδεσμεύονται ώστε να εστιάσουν σε δραστηριότητες υψηλότερης προστιθέμενης αξίας. Επιπλέον, η παραγωγικότητα μεταξύ του προσωπικού της υπηρεσίας βοήθειας αυξάνεται, καθώς δεν είναι απαραίτητο να υποστηρίζουν αιτήσεις που βασίζονται σε κωδικούς πρόσβασης, όπως είναι η επαναφορά κωδικών πρόσβασης.

Τι είναι τα στοιχεία WebAuthn και CTAP2;

Το σύνολο προδιαγραφών FIDO2 διαθέτει δύο στοιχεία: Έλεγχος ταυτότητας Web (WebAuthn) και πρωτόκολλο 2 Client-to-Authenticator (CTAP2, Υπολογιστής-πελάτης προς Πιστοποίηση ταυτότητας). Το κύριο στοιχείο, το WebAuthn, είναι ένα JavaScript API που εφαρμόζεται σε συμβατά προγράμματα περιήγησης web και πλατφόρμες, έτσι ώστε οι καταχωρημένες συσκευές να μπορούν να εκτελούν έλεγχο ταυτότητας FIDO2. Η κοινοπραξία World Wide Web Consortium (W3C), ο διεθνής οργανισμός προτύπων για το World Wide Web, ανέπτυξε το WebAuthn σε συνεργασία με τη FIDO Alliance. Το WebAuthn κατέστη το επίσημο σύνολο προδιαγραφών web W3C το 2019.

Το δεύτερο στοιχείο, το CTAP2, που αναπτύχθηκε από τη FIDO Alliance, επιτρέπει στα προγράμματα πιστοποίησης ταυτότητας περιαγωγής, όπως κλειδιά ασφαλείας FIDO2 και κινητές συσκευές, να επικοινωνούν με πρόγραμμα περιήγησης και πλατφόρμες που υποστηρίζονται από το FIDO2.

Τι είναι τα στοιχεία FIDO U2F και FIDO UAF;

Το FIDO2 αναπτύχθηκε από το FIDO 1.0, τις πρώτες προδιαγραφές ελέγχου ταυτότητας FIDO που κυκλοφόρησαν από τη σύμπραξη το 2014. Αυτές οι αρχικές προδιαγραφές περιλάμβαναν το πρωτόκολλο FIDO Universal Second Factor (Ενιαίος δευτερεύων παράγοντας, FIDO U2F) και το πρωτόκολλο FIDO Universal Authentication Framework (Πλαίσιο ενιαίου ελέγχου ταυτότητας, FIDO UAF).

Τόσο το FIDO U2F όσο και το FIDO UAF είναι μορφές ελέγχου ταυτότητας πολλών παραγόντων, ο οποίος απαιτεί δύο ή τρεις αποδείξεις (ή παράγοντες) για την επικύρωση ενός χρήστη. Αυτοί οι παράγοντες μπορεί να είναι στοιχεία που μόνο ο χρήστης γνωρίζει (όπως ένας κωδικός πρόσβασης ή PIN), κατέχει (όπως ένα κλειδί FIDO ή μια εφαρμογή πιστοποίησης ταυτότητας σε μια κινητή συσκευή) ή είναι κάτι διαφορετικό (όπως ένα βιομετρικό στοιχείο).

Μάθετε περισσότερα σχετικά με αυτές τις προδιαγραφές:

FIDO U2F

Το FIDO U2F ισχυροποιεί τα πρότυπα εξουσιοδότησης που βασίζονται σε κωδικό πρόσβασης με έλεγχο ταυτότητας δύο παραγόντων (2FA), ο οποίος επικυρώνει τον χρήστη με δύο αποδείξεις. Το πρωτόκολλο FIDO U2F απαιτεί, από ένα άτομο, την παροχή ενός έγκυρου συνδυασμού ονόματος χρήστη και κωδικού πρόσβασης ως πρώτο παράγοντα και, στη συνέχεια, να χρησιμοποιηθεί μια συσκευή USB, NFC ή Bluetooth ως δεύτερο παράγοντα και, σε γενικές γραμμές, πραγματοποιείται έλεγχος ταυτότητας με το πάτημα ενός κουμπιού ή ενός πλήκτρου σε ένα OTP που είναι χρονικά περιορισμένο.

Το FIDO U2F είναι ο διάδοχος του CTAP 1 και προκάτοχος του CTAP2, το οποίο επιτρέπει στους χρήστες να χρησιμοποιούν κινητές συσκευές επιπλέον των κλειδιών FIDO ως συσκευές δεύτερου παράγοντα.

FIDO UAF

Το FIDO UAF διευκολύνει τον έλεγχο ταυτότητας πολλών παραγόντων χωρίς κωδικό πρόσβασης. Απαιτεί από ένα άτομο να εισέλθει με έναν υπολογιστή-πελάτη καταχωρημένο στο FIDO, το οποίο επιβεβαιώνει την παρουσία του χρήστη με βιομετρικό έλεγχο, όπως την σάρωση δακτυλικού αποτυπώματος ή προσώπου ή με PIN, ως πρώτο παράγοντα. Στη συνέχεια, η συσκευή δημιουργεί το μοναδικό κλειδί ως ζεύγος του βιομετρικού ελέγχου και χρησιμοποιείται ως δεύτερος παράγοντας. Μια τοποθεσία web ή μια εφαρμογή μπορεί επίσης να χρησιμοποιήσει έναν τρίτο παράγοντα, όπως ένα βιομετρικό στοιχείο ή τη γεωγραφική τοποθεσία του χρήστη.

Το FIDO UAF είναι ο προκάτοχος του ελέγχου ταυτότητας χωρίς κωδικό πρόσβασης FIDO2.

Τρόπος υλοποίησης του FIDO2

Η εφαρμογή του συνόλου προδιαγραφών FIDO2 σε τοποθεσίες web και εφαρμογές απαιτεί από τον οργανισμό σας να διαθέτει σύγχρονο υλικό και λογισμικό. Ευτυχώς, όλες οι κορυφαίες πλατφόρμες web, συμπεριλαμβανομένων των Microsoft Windows, Apple iOS και MacOS και συστημάτων Android, καθώς και όλα τα κορυφαία προγράμματα περιήγησης web, συμπεριλαμβανομένων των Microsoft Edge, Google Chrome, Apple Safari και Mozilla Firefox, υποστηρίζουν το FIDO2. Η λύση διαχείρισης ταυτότητας και πρόσβασης (IAM) πρέπει επίσης να υποστηρίζει έλεγχο ταυτότητας FIDO2.

Γενικά, η εφαρμογή ελέγχου ταυτότητας FIDO2 σε νέες ή υπάρχουσες τοποθεσίες web και εφαρμογές συνεπάγεται τα εξής βασικά βήματα:

  1. Ορίστε την εμπειρία σύνδεσης χρήστη και τις μεθόδους ελέγχου ταυτότητας και ορίστε πολιτικές ελέγχου πρόσβασης.
  2. Δημιουργήστε νέες ή τροποποιήστε υπάρχουσες σελίδες εγγραφής και εισόδου με τις κατάλληλες προδιαγραφές πρωτοκόλλου FIDO.
  3. Ρυθμίστε έναν διακομιστή FIDO για τον έλεγχο ταυτότητας των αιτήσεων εγγραφής και ελέγχου ταυτότητας FIDO. Ο διακομιστής FIDO μπορεί να είναι ένας μεμονωμένος διακομιστής, να ενοποιείται με διακομιστή web ή εφαρμογής ή να παρέχεται ως λειτουργική μονάδα IAM.
  4. Δημιουργήστε νέες ή τροποποιήστε υπάρχουσες ροές εργασιών ελέγχου ταυτότητας.

Βιομετρικός έλεγχος ταυτότητας και FIDO2

Ο βιομετρικός έλεγχος ταυτότητας χρησιμοποιεί τα μοναδικά βιολογικά ή συμπεριφοριστικά χαρακτηριστικά ενός ατόμου για να επιβεβαιώσει ότι το άτομο είναι όποιο ισχυρίζεται ότι είναι. Τα βιομετρικά δεδομένα συλλέγονται και μετατρέπονται σε βιομετρικά πρότυπα που είναι προσβάσιμα μόνο με έναν μυστικό αλγόριθμο. Όταν το άτομο επιχειρεί να εισέλθει, το σύστημα επανεγγράφει τις πληροφορίες, τις μετατρέπει και τις συγκρίνει με τα αποθηκευμένα βιομετρικά δεδομένα.

Παραδείγματα βιομετρικού ελέγχου ταυτότητας περιλαμβάνουν τα εξής:

Βιολογικά χαρακτηριστικά

  • Σάρωση δακτυλικών αποτυπωμάτων
  • Σάρωση αμφιβληστροειδούς
  • Αναγνώριση ομιλίας
  • Αντιστοίχιση DNA
  • Σάρωση φλέβας

Συμπεριφοριστικά χαρακτηριστικά

  • Χρήση οθόνης αφής
  • Ταχύτητα πληκτρολόγησης
  • Συντομεύσεις πληκτρολογίου
  • Δραστηριότητα ποντικιού

Ο βιομετρικός έλεγχος ταυτότητας είναι μια πραγματικότητα στους σημερινούς υβριδικούς ψηφιακούς χώρους εργασίας. Στους υπαλλήλους αρέσει το γεγονός ότι τους παρέχει ευελιξία να πραγματοποιούν γρήγορο και ασφαλή έλεγχο ταυτότητας όπου και αν επιλέξουν. Επιχειρήσεις όπως αυτήν που περιγράφουμε μειώνουν σημαντικά την περιοχή ευάλωτη σε επιθέσεις, αποθαρρύνοντας τα εγκλήματα στον κυβερνοχώρο που διαφορετικά θα μπορούσαν να στοχεύσουν τα δεδομένα και τα συστήματά τους.

Ωστόσο, ο βιομετρικός έλεγχος ταυτότητας δεν είναι εντελώς απαραβίαστος για τους εισβολείς. Για παράδειγμα, οι κακόβουλοι παράγοντες μπορούν να χρησιμοποιήσουν τα βιομετρικά δεδομένα κάποιου άλλου, όπως μια φωτογραφία ή ένα δακτυλικό αποτύπωμα σιλικόνης, για να μιμηθούν αυτό το άτομο. Εναλλακτικά, μπορούν να συνδυάσουν πολλές σαρώσεις δακτυλικών αποτυπωμάτων για να δημιουργήσουν μια κύρια σάρωση που θα τους παρέχει πρόσβαση σε πολλούς διαφορετικούς λογαριασμούς χρηστών.

Υπάρχουν κι άλλα αρνητικά στοιχεία του βιομετρικού ελέγχου ταυτότητας. Ορισμένα συστήματα αναγνώρισης προσώπου, για παράδειγμα, έχουν μια εγγενή δυσκολία όσον αφορά τα πρόσωπα των έγχρωμων ατόμων και των γυναικών. Επιπλέον, ορισμένοι οργανισμοί επιλέγουν να αποθηκεύουν βιομετρικά δεδομένα σε διακομιστές βάσεων δεδομένων και όχι σε συσκευές τελικού χρήστη, δημιουργώντας ερωτήματα σχετικά με την ασφάλεια και την προστασία προσωπικών δεδομένων. Ωστόσο, ο βιομετρικός έλεγχος ταυτότητας πολλών παραγόντων παραμένει μία από τις πιο ασφαλείς μεθόδους που είναι διαθέσιμες σήμερα για την επαλήθευση ταυτοτήτων χρηστών.

Παραδείγματα ελέγχου ταυτότητας FIDO2

Οι απαιτήσεις ασφάλειας και λογιστικής για την επαλήθευση ταυτότητας διαφέρουν εντός και μεταξύ οργανισμών. Ακολουθούν συνήθεις τρόποι με τους οποίους οι οργανισμοί σε διαφορετικούς κλάδους εφαρμόζουν τον έλεγχο ταυτότητας FIDO2.

Τραπεζικές υπηρεσίες, χρηματοπιστωτικές υπηρεσίες και ασφάλιση

Για την προστασία ευαίσθητων εταιρικών δεδομένων, όπως και πελατών, οι υπάλληλοι που εργάζονται σε εταιρικά γραφεία συχνά χρησιμοποιούν επιτραπέζιους ή φορητούς υπολογιστές που παρέχονται από την εταιρεία που διαθέτουν πιστοποίηση ταυτότητας πλατφόρμας. Η εταιρική πολιτική δεν επιτρέπει τη χρήση αυτών των συσκευών για προσωπική χρήση. Οι εσωτερικοί υπάλληλοι τμημάτων και του τηλεφωνικού κέντρου χρησιμοποιούν συχνά κοινόχρηστες συσκευές και επαληθεύουν τις ταυτότητές τους χρησιμοποιώντας πιστοποιητικά ταυτότητας περιαγωγής.

Αεροπορία και αεροπορικές εταιρείες

Οι οργανισμοί σε αυτούς τους κλάδους πρέπει επίσης να φιλοξενούν άτομα που εργάζονται σε διαφορετικές εγκαταστάσεις και έχουν ποικίλες ευθύνες. Τα στελέχη, το ανθρώπινο δυναμικό και άλλοι υπάλληλοι γραφείου συχνά χρησιμοποιούν αποκλειστικούς επιτραπέζιους και φορητούς υπολογιστές και πραγματοποιούν έλεγχο ταυτότητας είτε με πιστοποίηση ταυτότητας πλατφόρμας είτε με πιστοποίηση ταυτότητας περιαγωγής. Η υποδοχή πύλης αεροδρομίου, οι μηχανικοί αεροπλάνων και τα μέλη του πληρώματος συχνά χρησιμοποιούν κλειδιά ασφαλείας υλικού ή εφαρμογές πιστοποίησης ταυτότητας στα προσωπικά smartphone τους για τον έλεγχο ταυτότητας σε κοινόχρηστα tablet ή σταθμούς εργασίας.

Κατασκευή

Για να διασφαλιστεί η φυσική ασφάλεια των εγκαταστάσεων παραγωγής, οι εξουσιοδοτημένοι υπάλληλοι και άλλα άτομα χρησιμοποιούν πιστοποίηση ταυτότητας περιαγωγής, όπως έξυπνες κάρτες με δυνατότητα FIDO2 και κλειδιά FIDO2, ή εγγεγραμμένα προσωπικά smartphone με πιστοποίηση ταυτότητας πλατφόρμας για το ξεκλείδωμα θυρών. Επιπλέον, οι ομάδες σχεδίασης προϊόντων συχνά χρησιμοποιούν αποκλειστικού επιτραπέζιους ή φορητούς υπολογιστές με πιστοποίηση ταυτότητας πλατφόρμας για πρόσβαση σε ηλεκτρονικά συστήματα σχεδίασης που περιέχουν ιδιόκτητες πληροφορίες.

Υπηρεσίες έκτακτης ανάγκης

Οι κυβερνητικές υπηρεσίες και άλλες υπηρεσίες παροχής έκτακτης ανάγκης δεν μπορούν πάντα να πραγματοποιούν έλεγχο ταυτότητας για τους διασώστες και άλλα μέλη ομάδας άμεσης επέμβασης με σαρώσεις δακτυλικών αποτυπωμάτων ή ίριδας. Συχνά, αυτά τα άτομα φοράνε γάντια ή προστασία οφθαλμών ταυτόχρονα και πρέπει να έχουν γρήγορη πρόσβαση σε ηλεκτρονικές υπηρεσίες. Σε αυτές τις περιπτώσεις, προσδιορίζονται μέσω συστημάτων αναγνώρισης ομιλίας. Μπορούν επίσης να χρησιμοποιηθούν αναδυόμενες τεχνολογίες για τη σάρωση σχημάτων αυτιών με smartphone.

Δημιουργία ασφάλειας με σιγουριά με το FIDO2

Ο έλεγχος ταυτότητας χωρίς κωδικό πρόσβασης καθίσταται ταχύτατα η βέλτιστη πρακτική για το IAM. Υιοθετώντας το FIDO2, γνωρίζετε ότι χρησιμοποιείτε ένα αξιόπιστο σύνολο προδιαγραφών για να βεβαιωθείτε ότι οι χρήστες είναι αυτοί που ισχυρίζονται.

Για να έχετε μια σωστή έναρξη με το FIDO2, αξιολογήστε προσεκτικά τις συγκεκριμένες απαιτήσεις του οργανισμού και του κλάδου όσον αφορά την επαλήθευση ταυτότητας. Στη συνέχεια, ενισχύστε την εφαρμογή του FIDO2 με το Microsoft Entra ID (παλαιότερα γνωστό ως Azure Active Directory). Ο οδηγός μεθόδων χωρίς κωδικό πρόσβασης στο Microsoft Entra ID απλοποιεί τη διαχείριση του Windows Hello για επιχειρήσεις, της εφαρμογής Microsoft Authenticator και των κλειδιών ασφαλείας FIDO2.

Μάθετε περισσότερα σχετικά με την Ασφάλεια της Microsoft

Microsoft Entra ID (παλαιότερα γνωστό ως Azure Active Directory)

Προστατεύστε την πρόσβαση σε πόρους και δεδομένα χρησιμοποιώντας ισχυρό έλεγχο ταυτότητας και προσαρμόσιμη πρόσβαση βάσει κινδύνου.

Μάθετε περισσότερα

Microsoft Entra Identity Governance

Αυξήστε την παραγωγικότητα και ισχυροποιήστε την ασφάλεια αυτοματοποιώντας την πρόσβαση σε εφαρμογές και υπηρεσίες.

Μάθετε περισσότερα

Επαληθευμένη ταυτότητα Microsoft Entra

Εκδώστε και επαληθεύστε με σιγουριά διαπιστευτήρια χώρων εργασίας και άλλων με μια λύση ανοιχτών προδιαγραφών.

Μάθετε περισσότερα

Ταυτότητα φόρτου εργασίας Microsoft Entra

Μειώστε τους κινδύνους εκχωρώντας πρόσβαση υπό όρους σε εφαρμογές και υπηρεσίες σε πόρους cloud, όλα σε ένα σημείο.

Μάθετε περισσότερα

Συνήθεις ερωτήσεις

  • Το FIDO2 σημαίνει (Fast IDentity Online 2, Γρήγορη ταυτότητα online 2), το πιο πρόσφατο ανοιχτό σύνολο προδιαγραφών ελέγχου ταυτότητας που κυκλοφόρησε από τη FIDO Alliance. Συνθέτοντας τεχνολογία της Microsoft και άλλων οργανισμών, όπως εμπορικούς και δημόσιους, η σύμπραξη προσπαθεί να καταργήσει τη χρήση κωδικών πρόσβασης σε ολόκληρο το World Wide Web.

    Οι προδιαγραφές FIDO2 περιλαμβάνουν τον έλεγχο ταυτότητας Web (WebAuthn), ένα API web που επιτρέπει σε ηλεκτρονικές υπηρεσίες να επικοινωνούν με τα προγράμματα πιστοποίησης ταυτότητας πλατφόρμας FIDO2 (όπως τεχνολογίες αναγνώρισης δακτυλικών αποτυπωμάτων και προσώπου που είναι ενσωματωμένες σε προγράμματα περιήγησης web και πλατφόρμες). Αναπτυγμένο από το World Wide Web Consortium (W3C) σε συνεργασία με τη FIDO Alliance, το WebAuthn είναι ένα επίσημο σύνολο προδιαγραφών W3C.

    Το FIDO2 περιλαμβάνει επίσης το πρωτόκολλο Client-to-Authenticator 2 (CTAP2, Υπολογιστής-πελάτης προς Πιστοποίηση ταυτότητας), που αναπτύχθηκε από τη σύμπραξη. Το CTAP2 συνδέει τα προγράμματα πιστοποίησης ταυτότητας περιαγωγής (όπως εξωτερικά κλειδιά ασφαλείας FIDO2 και κινητές συσκευές) σε υπολογιστές-πελάτες FIDO2 μέσω USB, BLE ή NFC.

  • Το FIDO2 είναι ένα ανοιχτό σύνολο προδιαγραφών χωρίς άδεια χρήσης για έλεγχο ταυτότητας χωρίς κωδικό πρόσβασης πολλών παραγόντων σε περιβάλλοντα κινητών συσκευών και επιτραπέζιων υπολογιστών. Το FIDO2 λειτουργεί χρησιμοποιώντας κρυπτογράφηση δημόσιου κλειδιού αντί για κωδικούς πρόσβασης για την επικύρωση ταυτοτήτων χρηστών, την απόκρουση εγκληματιών του κυβερνοχώρου που επιχειρούν να υποκλέψουν διαπιστευτήρια χρήστη μέσω ηλεκτρονικού "ψαρέματος", λογισμικού κακόβουλης λειτουργίας και άλλων επιθέσεων που στοχεύουν τους κωδικούς πρόσβασης.

  • Τα πλεονεκτήματα του ελέγχου ταυτότητας FIDO2 περιλαμβάνουν μεγαλύτερη ασφάλεια και προστασία προσωπικών δεδομένων, φιλικές προς τον χρήστη εμπειρίες και βελτιωμένη δυνατότητα κλιμάκωσης. Το FIDO2 απλοποιεί επίσης τον έλεγχο πρόσβασης για τις ομάδες IT και το προσωπικό της υπηρεσίας βοήθειας, μειώνοντας τους φόρτους εργασίας και τα κόστη που σχετίζονται με τη διαχείριση ονομάτων χρηστών και κωδικών πρόσβασης.

  • Ένα κλειδί FIDO2, που ονομάζεται επίσης κλειδί ασφαλείας FIDO2, είναι μια φυσική συσκευή υλικού που απαιτείται για έλεγχο ταυτότητας δύο, αλλά και πολλών παραγόντων. Ενεργώντας ως πρόγραμμα πιστοποίησης ταυτότητας περιαγωγής FIDO, χρησιμοποιεί USB, NFC ή Bluetooth για να συνδεθεί σε έναν υπολογιστή-πελάτη FIDO2, επιτρέποντας στους χρήστες να πραγματοποιούν έλεγχο ταυτότητας σε πολλούς υπολογιστές, είτε στο γραφείο, στο σπίτι ή σε άλλη εγκατάσταση.

    Ο υπολογιστής-πελάτης επαληθεύει την ταυτότητα του χρήστη ζητώντας του να χρησιμοποιήσει το κλειδί FIDO2 για να κάνει μια χειρονομία, όπως να αγγίξει μια μονάδα ανάγνωσης δακτυλικών αποτυπωμάτων, να πατήσει ένα κουμπί ή να πληκτρολογήσει ένα PIN. Τα κλειδιά FIDO2 περιλαμβάνουν κλειδιά προσθηκών, smartphone, tablet, φορέσιμα και άλλες συσκευές.

  • Οι οργανισμοί αναπτύσσουν μεθόδους ελέγχου ταυτότητας FIDO2 με βάση τις μοναδικές απαιτήσεις τους όσον αφορά την ασφάλεια, τη λογιστική και την αγορά.

    Για παράδειγμα, οι τράπεζες και οι κατασκευαστές που βασίζονται στην έρευνα συχνά απαιτούν από υπαλλήλους γραφείου και άλλους να χρησιμοποιούν επιτραπέζιους και φορητούς υπολογιστές με πιστοποίηση ταυτότητας πλατφόρμας που παρέχονται από την εταιρεία μόνο για σκοπούς της εταιρείας. Οι οργανισμοί με άτομα με συχνές μετακινήσεις, όπως τα πληρώματα αεροπορικών εταιρειών και οι ομάδες απόκρισης έκτακτης ανάγκης, συχνά έχουν πρόσβαση σε κοινόχρηστα tablet ή σταθμούς εργασίας και, στη συνέχεια, πραγματοποιούν έλεγχο ταυτότητας χρησιμοποιώντας κλειδιά ασφαλείας ή εφαρμογές πιστοποίησης ταυτότητας στα smartphone τους.

Ακολουθήστε την Ασφάλεια της Microsoft