This is the Trace Id: ed90aabafb223ec4d044688d8710ea32
Overslaan naar hoofdinhoud
Microsoft Beveiliging

Wat is FIDO2?

Leer de basisprincipes van FIDO2-wachtwoordloze authenticatie, inclusief hoe het werkt en helpt individuen en organisaties te beschermen tegen online aanvallen.

Verminder de risico's met verificatie zonder wachtwoord

FIDO2 gedefinieerd

FIDO2 (Fast IDentity Online 2) is een open standaard voor gebruikersverificatie die gericht is op het versterken van de manier waarop mensen zich aanmelden bij onlineservices om het algehele vertrouwen te vergroten. FIDO2 versterkt de beveiliging en beschermt personen en organisaties tegen cybercrime door gebruik te maken van cryptografische referenties die bestand zijn tegen phishing om gebruikersidentiteiten te valideren.

FIDO2 is de nieuwste open verificatiestandaard die is ontwikkeld door de FIDO Alliance, een industrieconsortium van Microsoft en andere technologie-, commerciële en overheidsorganisaties. De alliantie bracht in 2014 de FIDO 1.0-verificatiestandaard uit, met phishing-resistente meervoudige verificatie (MFA) en in 2018 de nieuwste wachtwoordloze verificatiestandaard, FIDO2 (ook wel FIDO 2.0 of FIDO 2 genoemd).

Wat zijn wachtwoordsleutels en hoe verhouden deze zich tot FIDO2?

Hoe lang of complex ze ook zijn, of hoe vaak ze ook worden gewijzigd, wachtwoorden kunnen in gevaar komen als ze willens of wetens worden gedeeld. Zelfs met een beveiligingsoplossing met sterk wachtwoorden loopt elke organisatie een risico op phishing, hacken en andere cyberaanvallen waarin wachtwoorden worden gestolen. Eenmaal in verkeerde handen kunnen wachtwoorden worden gebruikt om onbevoegde toegang te krijgen tot onlineaccounts, apparaten en bestanden.

Wachtwoordsleutels zijn FIDO2-aanmeldingsreferenties die worden gemaakt met behulp van openbare-sleutelcryptografie. Ze zijn een effectieve vervanging voor wachtwoorden, verhogen de cyberveiligheid en maken het inloggen bij ondersteunde webtoepassingen en websites gebruiksvriendelijker dan traditionele methoden.

FIDO2-verificatie zonder wachtwoord is afhankelijk van cryptografische algoritmen en genereert een persoonlijke en een openbare wachtwoordsleutel met lange, willekeurige getallen die wiskundig zijn gerelateerd. Het sleutelpaar wordt gebruikt om gebruikersverificatie rechtstreeks uit te voeren op het apparaat van een eindgebruiker, of het nu gaat om een desktopcomputer, laptop, mobiele telefoon of beveiligingssleutel. Een wachtwoordsleutel kan worden gebonden aan één apparaat of automatisch worden gesynchroniseerd op meerdere apparaten van een gebruiker via een cloudservice.

Hoe werkt FIDO2-verificatie?

FIDO2-verificatie zonder wachtwoord werkt in het algemeen door wachtwoordsleutels te gebruiken als de eerste en primaire factor voor accountverificatie. Kortom, wanneer een gebruiker zich registreert bij een door FIDO2 ondersteunde onlineservice, genereert het clientapparaat dat is geregistreerd om de verificatie uit te voeren, een sleutelpaar dat alleen werkt voor die web-app of website.

De openbare sleutel wordt versleuteld en gedeeld met de service, maar de persoonlijke sleutel blijft veilig op het apparaat van de gebruiker. Elke keer dat de gebruiker zich probeert aan te melden bij de service, biedt de service een unieke uitdaging voor de klant. De gebruiker activeert het wachtwoordsleutelapparaat om de aanvraag te ondertekenen met de persoonlijke sleutel en deze te retourneren. Hierdoor wordt het proces cryptografisch beschermd tegen phishing.

Typen FIDO2-verificators

Voordat het apparaat een unieke FIDO2-set met wachtwoordsleutels kan genereren, moet het bevestigen dat de gebruiker die toegang aanvraagt geen onbevoegde gebruiker is of een type malware. Dit gebeurt met een verificator, een apparaat dat een pincode, biometrisch kenmerk of andere gebruikersinvoer accepteert.

Er zijn twee typen FIDO-verificators:

Roaming-verificators (of platformoverschrijdend)

Deze verificators zijn draagbare hardwareapparaten die los staan van clientapparaten van gebruikers. Roaming-verificators omvatten beveiligingssleutels, smartphones, tablets, wearables en andere apparaten die verbinding maken met clientapparaten via het USB-protocol of NFC (Near Field Communication) en draadloze Bluetooth-technologie. Gebruikers verifiëren hun identiteit op verschillende manieren, bijvoorbeeld door een FIDO-sleutel in te voeren en op een knop te drukken of door een biometrisch kenmerk, zoals een vingerafdruk, op hun smartphone te verstrekken. Roaming-verificators worden ook wel platformoverschrijdende verificators genoemd, omdat ze gebruikers in staat stellen zich op meerdere computers te verifiëren, op elk gewenst moment en op elke plek.

Platform (of gebonden) verificators

Deze verificators zijn ingesloten op clientapparaten van gebruikers, of het nu gaat om een desktop, laptop, tablet of smartphone. Platformverificatie bestaat uit biometrische mogelijkheden en hardwarechips voor het beveiligen van wachtwoordsleutels en vereist dat gebruikers zich aanmelden bij door FIDO ondersteunde services met hun clientapparaat en vervolgens verifiëren via hetzelfde apparaat, meestal met een biometrisch kenmerk of een pincode.

Voorbeelden van platformverificators die gebruikmaken van biometrische gegevens zijn Microsoft Windows Hello, Apple Touch ID en Face ID en Android Fingerprint.

Registreren en aanmelden bij door FIDO2 ondersteunde services:

Volg deze basisstappen om te profiteren van de verbeterde beveiliging die FIDO2-verificatie biedt:

Aanmelden bij een door FIDO2 ondersteunde service:

  • Stap 1: Wanneer je je registreert bij een service, wordt je gevraagd een ondersteunde FIDO-verificatormethode te kiezen.

  • Stap 2: Activeer de FIDO-verificator met een eenvoudige actie die de verificator ondersteunt, of je nu een pincode invoert, een vingerafdruklezer aanraakt of een FIDO2-beveiligingssleutel invoegt.

  • Stap 3: Zodra de verificator is geactiveerd, genereert je apparaat een persoonlijk en openbaar sleutelpaar dat uniek is voor je apparaat, account en de service.

  • Stap 4: Je lokale apparaat slaat de persoonlijke sleutel en eventuele vertrouwelijke informatie met betrekking tot de verificatiemethode, zoals je biometrische gegevens, veilig op. De openbare sleutel wordt versleuteld en, samen met een willekeurig gegenereerde referentie-id, geregistreerd bij de service en opgeslagen op de verificatorserver.

Aanmelden bij een door FIDO2 ondersteunde service:

  • Stap 1: De service geeft een cryptografische uitdaging uit om je aanwezigheid te bevestigen.

  • Stap 2: Wanneer hierom wordt gevraagd, voer je dezelfde verificatoractie uit die werd gebruikt tijdens de accountregistratie. Zodra je je aanwezigheid met de actie hebt bevestigd, gebruikt je apparaat vervolgens de persoonlijke sleutel die lokaal op je apparaat is opgeslagen om de uitdaging te ondertekenen.

  • Stap 3: Je apparaat stuurt de ondertekende uitdaging terug naar de service, die deze verifieert met de veilig geregistreerde openbare sleutel.

  • Stap 4: Zodra dit is afgerond, ben je aangemeld.

Wat zijn de voordelen van FIDO2-verificatie?

De voordelen van FIDO2-verificatie zonder wachtwoord zijn onder andere betere beveiliging en privacy, gebruikersvriendelijke ervaringen en verbeterde schaalbaarheid. FIDO2 vermindert ook workloads en kosten die zijn gekoppeld aan toegangsbeheer.

Verhoogt de beveiliging

FIDO2-verificatie zonder wachtwoord verhoogt de Aanmeldingsbeveiligingaanmeldingsbeveiliging aanzienlijk door gebruik te maken van unieke wachtwoordsleutels. Met FIDO2 kunnen hackers niet eenvoudig toegang krijgen tot deze gevoelige informatie via phishing, ransomware en andere veel voorkomende vormen van cyberdiefstal. Biometrische kenmerken en FIDO2-sleutels helpen ook bij het elimineren van beveiligingsproblemen bij traditionele methoden voor meervoudige verificatie, zoals het verzenden van eenmalige wachtwoordcodes (OTP's) via sms-berichten.

Verbetert de privacy van gebruikers

FIDO-verificatie verbetert de privacy van gebruikers door persoonlijke cryptografische sleutels en biometrische gegevens veilig op te slaan op gebruikersapparaten. Omdat deze verificatiemethode unieke sleutelparen genereert, voorkomt het bovendien dat serviceproviders gebruikers op verschillende sites kunnen volgen. Als reactie op zorgen van consumenten over mogelijk misbruik van biometrische gegevens, voeren overheden ook privacywetten in die voorkomen dat organisaties biometrische gegevens verkopen of delen.

Bevordert gebruiksgemak

Met FIDO-verificatie kunnen personen hun identiteiten snel en gemakkelijk verifiëren met FIDO2-sleutels, verificator-apps of vingerafdruklezers of camera's die onderdeel uitmaken van hun apparaten. Hoewel gebruikers een tweede of zelfs derde beveiligingsstap moeten uitvoeren (bijvoorbeeld wanneer meer dan één biometrisch kenmerk vereist is voor identiteitsverificatie), besparen ze zichzelf de tijd en moeite die gepaard gaan met het maken, onthouden, beheren en opnieuw instellen van wachtwoorden.

Verbetert de schaalbaarheid

FIDO2 is een open, licentievrije standaard waarmee bedrijven en andere organisaties wachtwoordloze verificatiemethoden wereldwijd kunnen schalen. Met FIDO2 kunnen ze veilige, gestroomlijnde aanmeldingservaringen leveren aan alle werknemers, klanten en partners, ongeacht de gebruikte browser en platform.

Vereenvoudigt toegangsbeheer

IT-teams hoeven niet langer wachtwoordbeleid en infrastructuur te implementeren en te beheren, waardoor de kosten worden verlaagd en ze zich kunnen concentreren op nuttigere activiteiten. Daarnaast neemt de productiviteit van helpdeskmedewerkers toe, omdat ze geen problemen met wachtwoorden hoeven op te lossen, zoals het opnieuw instellen van wachtwoorden.

Wat zijn WebAuthn en CTAP2?

De FIDO2-set met specificaties heeft twee onderdelen: Webverificatie (WebAuthn) en Client-naar-Verificator Protocol 2 (CTAP2). Het hoofdonderdeel, WebAuthn, is een JavaScript-API die wordt geïmplementeerd in compatibele webbrowsers en platforms, zodat geregistreerde apparaten FIDO2-verificatie kunnen uitvoeren. Het World Wide Web Consortium (W3C), de internationale standaardenorganisatie voor de World Wide Web, heeft WebAuthn ontwikkeld in samenwerking met de FIDO Alliance. WebAuthn is in 2019 een formele W3C-webstandaard geworden.

Met het tweede onderdeel, CTAP2, dat is ontwikkeld door de FIDO Alliance, kunnen roaming-verificators, zoals FIDO2-beveiligingssleutels en mobiele apparaten, communiceren met door FIDO2 ondersteunde browsers en platforms.

Wat zijn FIDO U2F en FIDO UAF?

FIDO2 is voortgekomen uit FIDO 1.0, de eerste FIDO-verificatiespecificaties die in 2014 door de alliantie zijn vrijgegeven. Deze oorspronkelijke specificaties omvatten het FIDO Universal Second Factor-protocol (FIDO U2F) en het FIDO Universal Authentication Framework-protocol (FIDO UAF).

FiDO U2F en FIDO UAF zijn vormen van meervoudigeverificatie, waarvoor twee of drie bewijsstukken (of factoren) nodig zijn om een gebruiker te valideren. Deze factoren kunnen iets zijn dat alleen de gebruiker weet (zoals een wachtwoordcode of pincode), bezit (zoals een FIDO-sleutel of een verificator-app op een mobiel apparaat) of heeft (zoals een biometrisch kenmerk).

Meer informatie over deze specificaties:

FIDO U2F

FIDO U2F versterkt op wachtwoorden gebaseerde autorisatiestandaarden met tweeledige verificatie (2FA), waarmee de gebruiker wordt gevalideerd met twee bewijsstukken. Het FIDO U2F-protocol vereist dat een persoon als eerste een geldige combinatie van gebruikersnaam en wachtwoord opgeeft en vervolgens een USB-, NFC- of Bluetooth-apparaat als tweede factor gebruikt, waarbij verificatie doorgaans wordt uitgevoerd door op een knop te drukken of een tijdgevoelige OTP in te toetsen.

FIDO U2F is de opvolger van CTAP 1 en de voorloper van CTAP2, waarmee individuen naast FIDO-sleutels ook mobiele apparaten kunnen gebruiken als secundaire apparaten.

FIDO UAF

FIDO UAF faciliteert meervoudige verificatie zonder wachtwoord. Het vereist dat een individu zich aanmeldt met een FIDO-geregistreerd clientapparaat, dat de aanwezigheid van de gebruiker ten eerste bevestigt met een biometrische controle, zoals een vingerafdruk of gezichtsscan, of met een pincode. Het apparaat genereert vervolgens als tweede factor het unieke sleutelpaar. Een website of app kan ook een derde factor gebruiken, zoals een biometrisch kenmerk of de geografische locatie van de gebruiker.

FIDO UAF is de voorloper van FIDO2-verificatie zonder wachtwoord.

FIDO2 implementeren

Het implementeren van de FIDO2-standaard op websites en apps vereist dat je organisatie over moderne hardware en software beschikt. Gelukkig bieden alle toonaangevende webplatformen, waaronder Microsoft Windows, Apple iOS en MacOS en Android-systemen, en alle belangrijke webbrowsers, waaronder Microsoft Edge, Google Chrome, Apple Safari en Mozilla Firefox, ondersteuning voor FIDO2. Je oplossing voor identiteits- en toegangsbeheer (IAM) moet ook FIDO2-verificatie ondersteunen.

In het algemeen omvat het implementeren van FIDO2-verificatie in nieuwe of bestaande websites en apps de volgende belangrijke stappen:

  1. Definieer de gebruikersaanmeldingservaring en verificatiemethoden en stel beleid voor toegangsbeheer in.
  2. Maak nieuwe registratie- en aanmeldingspagina's of wijzig bestaande pagina's met de juiste FIDO-protocolspecificaties.
  3. Stel een FIDO-server in om FIDO-registratie- en verificatieaanvragen te verifiëren. De FIDO-server kan een zelfstandige server zijn, integreren met een web- of toepassingsserver of worden geleverd als een IAM-module.
  4. Bouw nieuwe of wijzig bestaande verificatiewerkstromen.

FIDO2- en biometrische verificatie

Biometrische verificatie maakt gebruik van de unieke biologische of gedragskenmerken van een persoon om te bevestigen dat de persoon is wie hij of zij claimt te zijn. Biometrische gegevens worden verzameld en geconverteerd naar biometrische sjablonen die alleen toegankelijk zijn met een geheim algoritme. Wanneer de persoon zich probeert aan te melden, wordt de informatie opnieuw opgenomen, geconverteerd en vergeleken met de opgeslagen biometrische gegevens.

Voorbeelden van biometrische verificatie zijn:

Biologisch

  • Vingerafdruk scannen
  • Retinascan
  • Spraakherkenning
  • DNA-overeenkomst
  • Bloedvatscan

Gedrag

  • Touchscreengebruik
  • Typsnelheid
  • Sneltoetsen
  • Muisactiviteit

Biometrische verificatie is een realiteit op de hedendaagse hybride, digitale werkplekken. Werknemers vinden het prettig dat het hen de flexibiliteit geeft om snel en veilig te verifiëren waar ze maar willen. Bedrijven vinden het prettig dat het hun kwetsbaarheid voor aanvallen aanzienlijk verkleint, waardoor cybercriminaliteit wordt ontmoedigd die zich anders op hun gegevens en systemen zou kunnen richten.

Biometrische verificatie is echter niet volledig hacker-proof. Kwaadwillenden kunnen bijvoorbeeld de biometrische gegevens van iemand anders gebruiken, zoals een foto of vingerafdruk, om die persoon te imiteren. Ze kunnen ook meerdere vingerafdrukscans combineren om een primaire scan te maken waarmee ze toegang krijgen tot verschillende gebruikersaccounts.

Er zijn andere nadelen verbonden aan biometrische verificatie. Sommige systemen voor gezichtsherkenning hebben bijvoorbeeld een inherente bias ten opzichte van vrouwen en mensen met kleur. Bovendien kiezen sommige organisaties ervoor om biometrische gegevens op databaseservers op te slaan in plaats van op apparaten van eindgebruikers, wat vragen oproept over beveiliging en privacy. Toch blijft meervoudige biometrische verificatie een van de veiligste methoden die momenteel beschikbaar zijn om gebruikersidentiteiten te verifiëren.

Voorbeelden van FIDO2-verificatie

Beveiligings- en logistieke vereisten voor identiteitsverificatie variëren binnen en tussen organisaties. Hieronder volgen veelvoorkomende manieren waarop organisaties in verschillende sectoren FIDO2-verificatie implementeren.

Bankwezen, financiële dienstverlening en verzekeringen

Om gevoelige bedrijfs- en klantgegevens te beschermen, gebruiken werknemers die in bedrijfskantoren werken vaak door het bedrijf geleverde desktops of laptops met platformverificators. Het bedrijfsbeleid verbiedt het gebruik van deze apparaten voor persoonlijk gebruik. Medewerkers van filialen en callcenters op locatie maken vaak gebruik van gedeelde apparaten en verifiëren hun identiteit met behulp van roaming-verificators.

Luchtvaart en luchtvaartmaatschappijen

Organisaties in deze sectoren moeten ook functioneren voor personen die in verschillende omgevingen werken en verschillende verantwoordelijkheden hebben. Leidinggevenden, personeelszaken en andere kantoormedewerkers maken vaak gebruik van speciale desktops en laptops en verifiëren via platform- of roaming-verificators. Luchthavenpoortagenten, vliegtuigmechanica en bemanningsleden gebruiken vaak hardwarebeveiligingssleutels of verificator-apps op hun persoonlijke smartphones om zich te verifiëren op gedeelde tablets of werkstations.

Productie

Om de fysieke veiligheid van productiefaciliteiten te garanderen, gebruiken geautoriseerde werknemers en andere personen roaming-verificators (zoals FIDO2-compatibele smartcards en FIDO2-sleutels) of geregistreerde persoonlijke smartphones met platformoverschrijdende verificators om deuren te ontgrendelen. Bovendien gebruiken productontwerpteams vaak toegewezen desktops of laptops met platformoverschrijdende verificators voor toegang tot onlineontwerpsystemen die bedrijfseigen informatie bevatten.

Hulpdiensten

Overheidsinstanties en andere hulpdiensten kunnen paramedische en andere eerstehulpverleners niet altijd verifiëren met vingerafdruk- of irisscans. Vaak dragen deze personen handschoenen of oogbeschermers terwijl ze tegelijkertijd snel toegang moeten hebben tot onlinediensten. In dergelijke gevallen worden ze in plaats daarvan geïdentificeerd via spraakherkenningssystemen. Opkomende technologieën voor het scannen van oorvormen met smartphones kunnen ook worden gebruikt.

Gemoedsrust creëren met FIDO2

Verificatie zonder wachtwoordverificatie zonder wachtwoord wordt snel een best practice voor IAM. Als je FIDO2 omarmt, weet je dat jeu een vertrouwde standaard gebruikt om na te gaan dat gebruikers zijn wie ze zeggen dat ze zijn.

Om aan de slag te gaan met FIDO2, evalueer je zorgvuldig je specifieke organisatie- en branchevereisten voor identiteitsverificatie. Stroomlijn vervolgens de FIDO2-implementatie met Microsoft Entra ID (voorheen bekend als Azure Active Directory). De wizard-methoden zonder wachtwoord in Microsoft Entra ID vereenvoudigt het beheer van Windows Hello voor Bedrijven, de Microsoft Authenticator-app en FIDO2-beveiligingssleutels.

Krijg meer informatie over Microsoft Beveiliging

Microsoft Entra ID (voorheen bekend als Azure Active Directory)

Beveilig de toegang tot resources en gegevens met behulp van sterke verificatie en op risico's gebaseerde adaptieve toegang.

Meer informatie

Microsoft Entra Identity Governance

Verhoog de productiviteit en verbeter de beveiliging door de toegang tot apps en services te automatiseren.

Meer informatie

Microsoft Entra geverifieerde ID

Geef werkplek- en andere referenties uit en verifieer deze met vertrouwen met een oplossing op basis van open standaarden.

Meer informatie

Microsoft Entra Workload-id

Verminder het risico door apps en services voorwaardelijke toegang te verlenen tot cloudresources, allemaal op één plek.

Meer informatie

Veelgestelde vragen

  • FIDO2 staat voor (Fast IDentity Online 2), de nieuwste open verificatiestandaard die is uitgebracht door de FIDO Alliance. De alliantie, bestaande uit Microsoft en andere technologische, commerciële en overheidsorganisaties, streeft ernaar het gebruik van wachtwoorden op het World Wide Web te elimineren.

    FIDO2-specificaties omvatten webverificatie (WebAuthn), een web-API waarmee online services kunnen communiceren met FIDO2-platformauthenticators (zoals vingerafdruk- en gezichtsherkenningstechnologieën ingebed in webbrowsers en platforms). WebAuthn is ontwikkeld door het World Wide Web Consortium (W3C) in samenwerking met de FIDO Alliance en is een formele W3C-standaard.

    FIDO2 bevat ook het Client-to-Authenticator Protocol 2 (CTAP2), dat is ontwikkeld door de alliantie. CTAP2 verbindt roaming-verificators (zoals externe FIDO2-beveiligingssleutels en mobiele apparaten) met FIDO2-clientapparaten via USB, BLE of NFC.

  • FIDO2 is een open, licentievrije standaard voor meervoudige wachtwoordloze verificatie in mobiele en desktopomgevingen. FIDO2 maakt gebruik van cryptografie met openbare sleutels in plaats van wachtwoorden om de identiteit van gebruikers te valideren, waardoor cybercriminelen worden tegengewerkt die proberen gebruikersgegevens te stelen via phishing, malware en andere op wachtwoorden gebaseerde aanvallen.

  • De voordelen van FIDO2-verificatie zijn onder andere betere beveiliging en privacy, gebruikersvriendelijke ervaringen en verbeterde schaalbaarheid. FIDO2 vereenvoudigt ook het toegangsbeheer voor IT-teams en helpdeskmedewerkers door workloads en kosten voor het beheren van gebruikersnamen en wachtwoorden te verminderen.

  • Een FIDO2-sleutel, ook wel een FIDO2-beveiligingssleutel genoemd, is een fysiek hardwareapparaat dat vereist is voor tweeledige en meervoudige verificatie. Het fungeert als FIDO roaming-verificator en maakt gebruik van USB, NFC of Bluetooth om verbinding te maken met een FIDO2-clientapparaat, waardoor gebruikers zich op meerdere computers kunnen verifiëren, zowel op kantoor, thuis of in een andere omgeving.

    Het clientapparaat verifieert de identiteit van de gebruiker door de gebruiker te vragen de FIDO2-sleutel te gebruiken om een gebaar te maken, zoals het aanraken van een vingerafdruklezer, het indrukken van een knop of het invoeren van een pincode. FIDO2-sleutels omvatten insteeksleutels, smartphones, tablets, wearables en andere apparaten.

  • Organisaties implementeren FIDO2-verificatiemethoden op basis van hun unieke beveiligings-, logistieke en branchevereisten.

    Banken en door onderzoek aangestuurde fabrikanten eisen bijvoorbeeld vaak van kantoor- en andere werknemers dat zij door het bedrijf geleverde desktops en laptops voor zakelijk gebruik gebruiken met platformverificatiemethoden. Organisaties met mensen onderweg, zoals vliegtuigpersoneel en noodhulpteams, hebben in plaats daarvan vaak toegang tot gedeelde tablets of werkstations en verifiëren zich vervolgens met behulp van beveiligingssleutels of verificator-apps op hun smartphones.

Volg Microsoft Beveiliging