This is the Trace Id: 689540ad046eec272bad48ffafc5b5f5
Lompati ke konten utama
Microsoft Security

Apa itu FIDO2?

Pelajari dasar-dasar autentikasi tanpa kata sandi FIDO2, termasuk cara kerjanya dan caranya membantu melindungi individu dan organisasi dari serangan online.

Kurangi risiko dengan autentikasi tanpa kata sandi

FIDO2 ditetapkan

FIDO2 (Fast IDentity Online 2) adalah standar terbuka untuk autentikasi pengguna yang bertujuan untuk memperkuat cara orang masuk ke layanan online demi meningkatkan kepercayaan secara keseluruhan. FIDO2 memperkuat keamanan dan melindungi individu dan organisasi dari kejahatan cyber menggunakan kredensial kriptografi tahan pengelabuan untuk memvalidasi identitas pengguna.

FIDO2 adalah standar autentikasi terbuka terbaru yang dikembangkan oleh FIDO Alliance, konsorsium industri yang berisi Microsoft serta organisasi teknologi, komersial, dan pemerintah lainnya. Aliansi ini merilis standar autentikasi FIDO 1.0, yang memperkenalkan autentikasi multifaktor (MFA) tahan pengelabuan pada tahun 2014 dan standar autentikasi tanpa kata sandi terbaru—FIDO2 (juga disebut FIDO 2.0 atau FIDO 2)—pada 2018.

Apa itu kunci sandi dan apa hubungannya dengan FIDO2?

Tidak peduli seberapa panjang atau kompleks, atau pun seberapa sering kata sandi diubah, kata sandi dapat disusupi jika dibagikan secara sengaja maupun tidak sengaja. Bahkan dengan solusi perlindungan kata sandi yang kuat, setiap organisasi berisiko terkena pengelabuan, peretasan, dan serangan cyber lainnya yang dapat mencuri kata sandi. Jika berada di tangan yang salah, kata sandi dapat digunakan untuk mendapatkan akses tidak sah ke akun, perangkat, dan file online.

Kunci sandi adalah kredensial masuk FIDO2 yang dibuat menggunakan kriptografi kunci publik. Sebagai pengganti efektif untuk kata sandi, kunci sandi meningkatkan keamanan cyber sekaligus menjadikan masuk ke aplikasi web dan situs web lebih ramah pengguna daripada metode tradisional.

Autentikasi tanpa kata sandi FIDO2 bergantung pada algoritme kriptografi untuk menghasilkan sepasang kunci sandi privat dan publik—angka panjang dan acak yang terkait secara matematis. Pasangan kunci digunakan untuk melakukan autentikasi pengguna secara langsung di perangkat pengguna akhir, baik komputer desktop, laptop, smartphone, maupun kunci keamanan. Kunci akses dapat dibatasi ke satu perangkat pengguna atau disinkronkan secara otomatis di beberapa perangkat pengguna melalui layanan cloud.

Bagaimana cara kerja autentikasi FIDO2?

Autentikasi tanpa kata sandi FIDO2 berfungsi secara umum menggunakan kunci sandi sebagai faktor pertama dan utama untuk autentikasi akun. Singkatnya, ketika pengguna mendaftar dengan layanan online yang didukung FIDO2, perangkat klien yang terdaftar untuk melakukan autentikasi menghasilkan pasangan kunci yang hanya berfungsi untuk aplikasi web atau situs web tersebut.

Kunci publik dienkripsi dan dibagikan dengan layanan, tetapi kunci privat tetap aman di perangkat pengguna. Kemudian, setiap kali pengguna mencoba masuk ke layanan, layanan akan memberikan tantangan unik kepada klien. Klien mengaktifkan perangkat kunci akses untuk menandatangani permintaan dengan kunci privat dan mengembalikannya. Hal ini membuat proses terlindungi dari pengelabuan secara kriptografis.

Tipe pengautentikasi FIDO2

Sebelum perangkat dapat menghasilkan kumpulan kunci akses FIDO2 yang unik, perangkat harus mengonfirmasi bahwa pengguna yang meminta akses bukan pengguna atau tipe malware yang tidak sah. Tindakan ini dilakukan dengan pengautentikasi, yaitu perangkat yang dapat menerima PIN, biometrik, atau gerakan pengguna lainnya.

Ada dua tipe pengautentikasi FIDO:

Pengautentikasi jelajah (atau lintas platform)

Pengautentikasi ini adalah perangkat keras portabel yang terpisah dari perangkat klien pengguna. Pengautentikasi jelajah mencakup kunci keamanan, smartphone, tablet, wearable, dan perangkat lain yang terhubung dengan perangkat klien melalui protokol USB atau komunikasi jarak dekat (NFC) dan teknologi nirkabel Bluetooth. Pengguna memverifikasi identitas mereka dengan berbagai cara, misalnya dengan memasukkan kunci FIDO dan menekan tombol atau dengan menyediakan biometrik, seperti sidik jari, di smartphone mereka. Pengautentikasi jelajah juga dikenal sebagai pengautentikasi lintas platform karena memungkinkan pengguna untuk mengautentikasi di beberapa komputer, kapan saja, di mana saja.

Pengautentikasi platform (atau terikat)

Pengautentikasi ini disematkan di perangkat klien pengguna, baik desktop, laptop, tablet, maupun smartphone. Terdiri dari kemampuan biometrik dan chip perangkat keras untuk melindungi kunci sandi, pengautentikasi platform mengharuskan pengguna untuk masuk ke layanan yang didukung FIDO dengan perangkat klien mereka lalu mengautentikasi melalui perangkat yang sama, umumnya dengan biometrik atau PIN.

Contoh pengautentikasi platform yang menggunakan data biometrik mencakup Microsoft Windows Hello, Apple Touch ID dan Face ID, serta Sidik Jari Android.

Cara mendaftar dan masuk ke layanan yang didukung FIDO2:

Untuk memanfaatkan peningkatan keamanan yang ditawarkan autentikasi FIDO2, ikuti langkah-langkah dasar berikut:

Cara mendaftar layanan yang didukung FIDO2:

  • Langkah 1: Saat mendaftar dengan layanan, Anda akan diminta untuk memilih metode pengautentikasi FIDO yang didukung.

  • Langkah 2: Aktifkan pengautentikasi FIDO dengan gerakan sederhana yang didukung pengautentikasi, baik memasukkan PIN, menyentuh pembaca sidik jari, maupun menyisipkan kunci keamanan FIDO2.

  • Langkah 3: Setelah pengautentikasi diaktifkan, perangkat Anda akan menghasilkan pasangan kunci privat dan publik yang unik untuk perangkat, akun, dan layanan Anda.

  • Langkah 4: Perangkat lokal Anda menyimpan kunci privat dan informasi rahasia apa pun yang terkait dengan metode autentikasi, seperti data biometrik Anda. Kunci publik dienkripsi dan, bersama dengan ID kredensial yang dibuat secara acak, didaftarkan pada layanan dan disimpan di server pengautentikasinya.

Cara masuk ke layanan yang didukung FIDO2:

  • Langkah 1: Layanan ini mengeluarkan tantangan kriptografis untuk mengonfirmasi identitas Anda.

  • Langkah 2: Saat diminta, lakukan gerakan pengautentikasi yang sama yang digunakan selama pendaftaran akun. Setelah Anda mengonfirmasi identitas Anda dengan gerakan, perangkat Anda kemudian akan menggunakan kunci privat yang disimpan secara lokal di perangkat Anda untuk menandatangani tantangan.

  • Langkah 3: Perangkat Anda mengirimkan kembali tantangan yang ditandatangani ke layanan, yang memverifikasinya dengan kunci publik yang terdaftar dengan aman.

  • Langkah 4: Setelah selesai, Anda pun masuk.

Apa saja manfaat autentikasi FIDO2?

Manfaat autentikasi tanpa kata sandi FIDO2 mencakup keamanan dan privasi yang lebih besar, pengalaman ramah pengguna, dan skalabilitas yang disempurnakan. FIDO2 juga mengurangi beban kerja dan biaya yang terkait dengan manajemen akses.

Meningkatkan keamanan

Autentikasi tanpa kata sandi FIDO2 secara signifikan meningkatkan keamanan masuk dengan mengandalkan kunci sandi unik. Dengan FIDO2, peretas tidak dapat dengan mudah mendapatkan akses ke informasi sensitif ini melalui pengelabuan, ransomware, dan tindakan pencurian cyber umum lainnya. Kunci Biometrik dan FIDO2 juga membantu menghilangkan kerentanan dalam metode autentikasi multifaktor tradisional, seperti mengirim kode akses satu kali (OTP) melalui pesan teks.

Meningkatkan privasi pengguna

Autentikasi FIDO memperkuat privasi pengguna dengan menyimpan kunci kriptografi privat dan data biometrik di perangkat pengguna dengan aman. Selain itu, karena metode autentikasi ini menghasilkan pasangan kunci unik, metode ini membantu mencegah penyedia layanan melacak pengguna di seluruh situs. Selain itu, sebagai tanggapan atas kekhawatiran konsumen terkait potensi penyalahgunaan data biometrik, pemerintah memberlakukan undang-undang privasi yang mencegah organisasi menjual atau berbagi informasi biometrik.

Mendukung kemudahan penggunaan

Dengan autentikasi FIDO, individu dapat mengautentikasi identitas mereka dengan cepat dan mudah menggunakan kunci FIDO2, aplikasi pengautentikasi, atau pembaca sidik jari atau kamera yang disematkan di perangkat mereka. Meskipun pengguna harus melakukan langkah keamanan kedua atau bahkan ketiga (misalnya memerlukan lebih dari satu biometrik untuk verifikasi identitas), hal ini menghemat waktu dan kerumitan terkait pembuatan, penghafalan, pengelolaan, dan pengaturan ulang kata sandi.

Meningkatkan skalabilitas

FIDO2 adalah standar bebas lisensi terbuka yang memungkinkan bisnis dan organisasi lain untuk menskalakan metode autentikasi tanpa kata sandi di seluruh dunia. Dengan FIDO2, mereka dapat memberikan pengalaman masuk yang aman dan efisien untuk semua karyawan, pelanggan, dan mitra terlepas dari pilihan browser dan platform mereka.

Menyederhanakan manajemen akses

Tim TI tidak perlu lagi menyebarkan dan mengelola kebijakan dan infrastruktur kata sandi, sehingga mengurangi biaya dan membebaskan mereka untuk fokus pada aktivitas bernilai lebih tinggi. Selain itu, produktivitas di antara personel staf dukungan meningkat, karena mereka tidak perlu melayani permintaan berbasis kata sandi, seperti mengatur ulang kata sandi.

Apa itu WebAuthn dan CTAP2?

Kumpulan spesifikasi FIDO2 memiliki dua komponen: Web Authentication (WebAuthn) dan Client-to-Authenticator Protocol 2 (CTAP2). Komponen utama, WebAuthn, adalah API JavaScript yang diterapkan di browser web dan platform yang sesuai sehingga perangkat terdaftar dapat melakukan autentikasi FIDO2. World Wide Web Consortium (W3C), organisasi standar internasional untuk World Wide Web, mengembangkan WebAuthn dalam kemitraan dengan FIDO Alliance. WebAuthn menjadi standar formal web W3C pada 2019.

Komponen kedua, CTAP2, yang dikembangkan oleh FIDO Alliance, memungkinkan pengautentikasi jelajah, seperti kunci keamanan FIDO2 dan perangkat seluler, untuk berkomunikasi dengan browser dan platform yang didukung FIDO2.

Apa itu FIDO U2F dan FIDO UAF?

FIDO2 berkembang dari FIDO 1.0, spesifikasi autentikasi FIDO pertama yang dirilis oleh aliansi pada tahun 2014. Spesifikasi asli ini mencakup protokol FIDO Universal Second Factor (FIDO U2F) dan protokol FIDO Universal Authentication Framework (FIDO UAF).

Baik FIDO U2F maupun FIDO UAF adalah bentuk autentikasi multifaktor, yang memerlukan dua atau tiga item bukti (atau faktor) untuk memvalidasi pengguna. Faktor ini hanya dapat berupa sesuatu yang hanya diketahui pengguna (seperti kode akses atau PIN), yang dimiliki (seperti kunci FIDO atau aplikasi pengautentikasi di perangkat seluler), atau (seperti biometrik).

Pelajari selengkapnya tentang spesifikasi ini:

FIDO U2F

FIDO U2F memperkuat standar otorisasi berbasis kata sandi dengan autentikasi dua faktor (2FA), yang memvalidasi pengguna dengan dua item bukti. Protokol FIDO U2F memerlukan individu untuk memberikan kombinasi nama pengguna dan kata sandi yang valid sebagai faktor pertama, lalu menggunakan USB, NFC, atau perangkat Bluetooth sebagai faktor kedua, yang secara umum mengautentikasi dengan menekan tombol atau memasukkan OTP yang berdurasi singkat.

FIDO U2F adalah penerus CTAP 1 dan pendahulu CTAP2, yang memungkinkan individu menggunakan perangkat seluler di samping kunci FIDO sebagai perangkat faktor kedua.

FIDO UAF

FIDO UAF memfasilitasi autentikasi multifaktor tanpa kata sandi. Hal ini mengharuskan seseorang untuk masuk dengan perangkat klien yang terdaftar FIDO— yang mengonfirmasi identitas pengguna dengan pemeriksaan biometrik, seperti pemindaian sidik jari atau wajah, atau dengan PIN—sebagai faktor pertama. Perangkat kemudian menghasilkan pasangan kunci unik sebagai faktor kedua. Situs web atau aplikasi juga dapat menggunakan faktor ketiga, seperti biometrik atau lokasi geografis pengguna.

FIDO UAF adalah pendahulu autentikasi tanpa kata sandi FIDO2.

Cara menerapkan FIDO2

Menerapkan standar FIDO2 pada situs web dan aplikasi mengharuskan organisasi Anda memiliki perangkat keras dan perangkat lunak modern. Untungnya, semua platform web terkemuka, termasuk Microsoft Windows, Apple iOS dan MacOS, sistem Android, serta semua browser web utama, termasuk Microsoft Edge, Google Chrome, Apple Safari, dan Mozilla Firefox, mendukung FIDO2. Solusi manajemen identitas dan akses (IAM) Anda juga harus mendukung autentikasi FIDO2.

Pada umumnya, menerapkan autentikasi FIDO2 di situs web dan aplikasi baru atau yang sudah ada memerlukan langkah-langkah utama berikut:

  1. Tetapkan pengalaman masuk pengguna dan metode autentikasi, lalu atur kebijakan kontrol akses.
  2. Buat baru atau ubah halaman pendaftaran dan masuk yang sudah ada dengan spesifikasi protokol FIDO yang sesuai.
  3. Siapkan server FIDO untuk mengautentikasi permintaan pendaftaran dan autentikasi FIDO. Server FIDO dapat berupa server mandiri, terintegrasi dengan server web atau aplikasi, atau disediakan sebagai modul IAM.
  4. Buat baru atau ubah alur kerja autentikasi yang ada.

FIDO2 dan autentikasi biometrik

Autentikasi biometrik menggunakan karakteristik biologis atau perilaku unik seseorang untuk mengonfirmasi bahwa individu tersebut adalah orang yang mereka klaim. Data biometrik dikumpulkan dan dikonversi menjadi templat biometrik yang hanya dapat diakses dengan algoritma rahasia. Ketika individu mencoba masuk, sistem akan mengambil kembali informasi, mengonversinya, dan membandingkannya dengan biometrik yang disimpan.

Contoh autentikasi biometrik meliputi:

Biologis

  • Pemindaian sidik jari
  • Pemindaian retina
  • Pengenalan suara
  • Pencocokan DNA
  • Pemindaian vena

Perilaku

  • Penggunaan layar sentuh
  • Kecepatan pengetikan
  • Pintasan keyboard
  • Aktivitas mouse

Autentikasi biometrik telah menjadi realitas di tempat kerja digital hibrid saat ini. Karyawan menyukai bahwa hal tersebut memberi mereka fleksibilitas untuk mengautentikasi dengan cepat dan aman di mana pun mereka ingin. Bisnis menyukainya karena secara signifikan mengurangi permukaan serangan mereka, sehingga mencegah kejahatan cyber yang mungkin menargetkan data dan sistem mereka.

Namun, autentikasi biometrik tidak sepenuhnya kebal terhadap peretas. Misalnya, pelaku jahat dapat menggunakan data biometrik orang lain, seperti foto atau sidik jari silikon, untuk menyamar sebagai individu tersebut. Mereka juga dapat menggabungkan beberapa pemindaian sidik jari untuk membuat pemindaian utama yang memberi mereka akses ke beberapa akun pengguna.

Autentikasi biometrik juga memiliki kekurangan lain. Beberapa sistem pengenalan wajah, misalnya, memiliki bias yang melekat terhadap wanita dan orang kulit berwarna. Selain itu, beberapa organisasi memilih untuk menyimpan data biometrik di server database ketimbang di perangkat pengguna akhir, sehingga menimbulkan pertanyaan tentang keamanan dan privasi. Namun, autentikasi biometrik multifaktor tetap menjadi salah satu metode paling aman yang tersedia saat ini untuk memverifikasi identitas pengguna.

Contoh autentikasi FIDO2

Persyaratan keamanan dan logistik untuk verifikasi identitas bervariasi di dalam dan lintas organisasi. Berikut adalah cara umum penerapan autentikasi FIDO2 dalam organisasi di berbagai industri.

Perbankan, layanan keuangan, dan asuransi

Untuk melindungi data bisnis dan pelanggan yang sensitif, karyawan yang bekerja di kantor perusahaan sering menggunakan desktop atau laptop yang disediakan perusahaan yang memiliki pengautentikasi platform. Kebijakan perusahaan melarang mereka menggunakan perangkat ini untuk penggunaan pribadi. Karyawan cabang dan pusat panggilan di tempat sering menggunakan perangkat bersama dan memverifikasi identitas mereka menggunakan pengautentikasi jelajah.

Penerbangan dan maskapai

Organisasi dalam industri ini juga harus mengakomodasi individu yang bekerja di situasi yang berbeda dan memiliki tanggung jawab yang bervariasi. Eksekutif, sumber daya manusia, dan karyawan berbasis kantor lainnya sering menggunakan desktop dan laptop khusus dan mengautentikasi baik dengan platform maupun pengautentikasi jelajah. Petugas pintu masuk bandara, teknisi pesawat, dan anggota kru sering menggunakan kunci keamanan perangkat keras atau aplikasi pengautentikasi di smartphone pribadi mereka untuk mengautentikasi di tablet atau stasiun kerja bersama.

Manufaktur

Untuk memastikan keamanan fisik fasilitas manufaktur, karyawan resmi dan individu lain menggunakan pengautentikasi jelajah— seperti kartu pintar dengan dukungan FIDO2 dan kunci FIDO2— atau smartphone pribadi terdaftar dengan pengautentikasi platform untuk membuka kunci pintu. Selain itu, tim desain produk sering menggunakan desktop atau laptop khusus dengan pengautentikasi platform untuk mengakses sistem desain online yang berisi informasi hak milik.

Layanan darurat

Lembaga pemerintah dan penyedia layanan darurat lainnya tidak dapat selalu mengautentikasi paramedis dan pekerja pertolongan pertama lainnya dengan pemindaian sidik jari atau iris. Sering kali, orang-orang ini mengenakan sarung tangan atau pelindung mata sementara mereka perlu mengakses layanan online dengan cepat. Dalam kasus ini, mereka akan diidentifikasi melalui sistem pengenalan suara. Teknologi yang muncul untuk memindai bentuk telinga dengan smartphone juga dapat digunakan.

Ciptakan keamanan yang menenangkan dengan FIDO2

Autentikasi tanpa kata sandi dengan cepat menjadi praktik terbaik untuk IAM. Dengan menerima FIDO2, Anda tahu bahwa Anda menggunakan standar tepercaya untuk memastikan bahwa pengguna adalah orang yang sebenarnya.

Untuk mulai menggunakan FIDO2, evaluasi dengan cermat persyaratan khusus organisasi dan industri untuk verifikasi identitas. Kemudian, sederhanakan implementasi FIDO2 dengan Microsoft Entra ID (sebelumnya dikenal sebagai Azure Active Directory). Wizard metode tanpa kata sandi di Microsoft Entra ID mempermudah pengelolaan Windows Hello untuk Bisnis, Aplikasi Microsoft Authenticator, dan kunci keamanan FIDO2.

Pelajari selengkapnya tentang Microsoft Security

Microsoft Entra ID (sebelumnya dikenal sebagai Azure Active Directory)

Lindungi akses ke sumber daya dan data dengan menggunakan autentikasi yang kuat dan akses adaptif berbasis risiko.

Pelajari selengkapnya

Tata Kelola Identitas Microsoft Entra

Tingkatkan produktivitas dan perkuat keamanan dengan mengotomatiskan akses ke aplikasi dan layanan.

Pelajari selengkapnya

ID Terverifikasi Microsoft Entra

Terbitkan dan verifikasikan dengan percaya diri tempat kerja dan kredensial lainnya dengan solusi standar terbuka.

Pelajari selengkapnya

Microsoft Entra Workload ID

Kurangi risiko dengan memberikan akses bersyarat aplikasi dan layanan ke sumber daya cloud, semuanya di satu tempat.

Pelajari selengkapnya

Tanya jawab umum

  • FIDO2 adalah singkatan dari (Fast IDentity Online 2), standar autentikasi terbuka terbaru yang dirilis oleh FIDO Alliance. Terdiri dari Microsoft dan organisasi teknologi, komersial, dan pemerintah lainnya, aliansi ini berusaha untuk meniadakan penggunaan kata sandi di World Wide Web.

    Spesifikasi FIDO2 mencakup Web Authentication (WebAuthn), API web yang memungkinkan layanan online berkomunikasi dengan pengautentikasi platform FIDO2 (seperti teknologi pengenalan sidik jari dan wajah yang disematkan di browser dan platform web). Dikembangkan oleh World Wide Web Consortium (W3C) dalam kemitraan dengan FIDO Alliance, WebAuthn adalah standar formal dari W3C.

    FIDO2 juga mencakup Client-to-Authenticator Protocol 2 (CTAP2), yang dikembangkan oleh aliansi ini. CTAP2 menghubungkan pengautentikasi jelajah (seperti kunci keamanan eksternal FIDO2 dan perangkat seluler) ke perangkat klien FIDO2 melalui USB, BLE, atau NFC.

  • FIDO2 adalah standar bebas lisensi terbuka untuk autentikasi multifaktor tanpa kata sandi di lingkungan seluler dan desktop. FIDO2 berfungsi dengan menggunakan kriptografi kunci publik alih-alih kata sandi untuk memvalidasi identitas pengguna, menggagalkan penjahat cyber yang mencoba mencuri kredensial pengguna melalui pengelabuan, malware, dan serangan berbasis kata sandi lainnya.

  • Manfaat autentikasi FIDO2 mencakup keamanan dan privasi yang lebih besar, pengalaman ramah pengguna, dan skalabilitas yang disempurnakan. FIDO2 juga menyederhanakan kontrol akses untuk tim TI dan staf bantuan dengan mengurangi beban kerja dan biaya yang terkait dengan pengelolaan nama pengguna dan kata sandi.

  • Kunci FIDO2, juga disebut kunci keamanan FIDO2, adalah perangkat keras fisik yang diperlukan untuk autentikasi dua faktor dan multifaktor. Bertindak sebagai pengautentikasi FIDO jelajah, kunci ini menggunakan USB, NFC, atau Bluetooth untuk menyambungkan ke perangkat klien FIDO2, sehingga pengguna dapat mengautentikasi di beberapa komputer, baik di kantor, di rumah, maupun di situasi lain.

    Perangkat klien memverifikasi identitas pengguna dengan meminta pengguna menggunakan tombol FIDO2 untuk membuat gerakan, seperti menyentuh pembaca sidik jari, menekan tombol, atau memasukkan PIN. Kunci FIDO2 mencakup kunci plug-in, smartphone, tablet, wearable, dan perangkat lainnya.

  • Organisasi menyebarkan metode autentikasi FIDO2 berdasarkan persyaratan keamanan, logistik, dan industri khusus mereka.

    Misalnya, bank dan produsen berbasis riset sering kali mewajibkan karyawan berbasis kantor dan karyawan lain untuk menggunakan desktop dan laptop khusus untuk bisnis yang disediakan perusahaan dengan pengautentikasi platform. Organisasi dengan karyawan yang bepergian, seperti kru maskapai dan tim respons darurat, sering kali mengakses tablet atau stasiun kerja bersama, lalu mengautentikasi menggunakan kunci keamanan atau aplikasi pengautentikasi di smartphone mereka.

Ikuti Microsoft Security