This is the Trace Id: f178febdcc32467aa050474745745d54
Перейти до основного
Захисний комплекс Microsoft

Що таке FIDO2?

Ознайомтеся з основами безпарольної автентифікації FIDO2, зокрема дізнайтеся, як вона працює та допомагає захистити користувачів і організації від атак в Інтернеті.

Зменшіть ризик завдяки безпарольній автентифікації

Визначення FIDO2

FIDO2 (Fast IDentity Online 2) – це відкритий стандарт автентифікації користувачів, покликаний зміцнити процедуру входу користувачів до онлайнових служб для підвищення загальної довіри. FIDO2 зміцнює безпеку та захищає окремих користувачів і організації від кіберзлочинів, використовуючи стійкі до фішингу криптографічні облікові дані для перевірки ідентичностей користувачів.

FIDO2 – це найновіший відкритий стандарт автентифікації, розроблений галузевим консорціумом FIDO Alliance, до якого входять корпорація Майкрософт та інші технологічні, комерційні та державні організації. У 2014 році консорціум випустив стандарт автентифікації FIDO 1.0, у якому було запроваджено стійку до фішингу багатофакторну автентифікацію (БФА), а в 2018 році – найновіший стандарт безпарольної автентифікації FIDO2 (який також називається FIDO 2.0 або FIDO 2).

Що таке ключі доступу та як вони пов’язані з FIDO2?

Якими б довгими чи складними не були паролі та як часто вони б не змінювалися, паролі може бути уражено, якщо їх свідомо чи ненавмисно передають комусь. Навіть використовуючи рішення захисту з надійними паролями, кожна організація наражається на певний ризик фішингу, зламу та інших кібератак, внаслідок яких паролі може бути викрадено. Потрапивши до чужих рук, паролі можуть бути використані для отримання несанкціонованого доступу до онлайнових облікових записів, пристроїв і файлів.

Ключі доступу – це облікові дані FIDO2 для входу, створювані з використанням криптографії з відкритим ключем. Як ефективна заміна паролів, вони підвищують рівень кібербезпеки, роблячи вхід у підтримувані веб-програми та на веб-сайти зручнішим для користувачів, ніж звичайні методи.

Безпарольна автентифікація FIDO2, використовуючи криптографічні алгоритми, створює пару з закритого та відкритого ключів доступу – довгих випадкових чисел, математично пов’язаних між собою. Пара ключів використовується для автентифікації користувачів безпосередньо на пристрої користувача (настільному комп’ютері, ноутбуці, мобільному телефоні або ключі безпеки). Ключ доступу можна прив’язати до одного пристрою користувача або автоматично синхронізувати на кількох пристроях користувача через хмарну службу.

Як працює автентифікація FIDO2?

Безпарольна автентифікація FIDO2 зазвичай використовується як перший і основний фактор автентифікації облікового запису. Якщо коротко, коли користувач реєструється в онлайновій службі, що підтримує FIDO2, клієнтський пристрій, зареєстрований для автентифікації, створює пару ключів, яка працює лише для цієї веб-програми або веб-сайту.

Відкритий ключ шифрується та передається до служби, а закритий ключ залишається в безпеці на пристрої користувача. Після цього щоразу, коли користувач намагається ввійти в службу, ця служба пропонує клієнту пройти унікальну перевірку. Клієнт активує пристрій із ключем доступу, щоб підписати запит закритим ключем і повернути його. Таким чином процес криптографічно захищається від фішингу.

Типи автентифікаторів FIDO2

Щоб пристрій міг згенерувати унікальний набір ключів доступу FIDO2, він має спочатку підтвердити, що користувач, який запитує доступ, не є неавторизованим користувачем або якоюсь зловмисною програмою. Він робить це за допомогою автентифікатора – пристрою, який може приймати PIN-код, біометричні дані або іншу дію користувача.

Автентифікатори FIDO бувають двох типів:

Переміщувані (або кросплатформні) автентифікатори

Ці автентифікатори являють собою фізичні пристрої, відокремлені від клієнтських пристроїв користувачів. До переміщуваних автентифікаторів належать ключі безпеки, смартфони, планшети, портативні пристрої та інші пристрої, які підключаються до клієнтських пристроїв за допомогою протоколу USB або безпровідної технології NFC та Bluetooth. Користувачі підтверджують свою ідентичність різними способами, наприклад, вставляючи ключ FIDO та натискаючи кнопку або надаючи на смартфоні біометричні дані, як-от відбиток пальця. Переміщувані автентифікатори також називаються кросплатформними, оскільки вони дають змогу користувачам автентифікуватися на кількох комп’ютерах будь-де та будь-коли.

Платформні (або прив’язані) автентифікатори

Ці автентифікатори вбудовуються в клієнтські пристрої користувачів (настільний комп’ютер, ноутбук, планшет або смартфон). Платформні автентифікатори, які сполучають у собі біометричні функції та мікросхеми для захисту ключів доступу, вимагають від користувача входити в служби, які підтримують FIDO, за допомогою клієнтського пристрою, а потім автентифікуватися через той самий пристрій, як правило, за допомогою біометричних даних або PIN-коду.

Серед прикладів платформних автентифікаторів, які використовують біометричні дані, можна навести Microsoft Windows Hello, Apple Touch ID та Face ID, а також Android Fingerprint.

Як реєструватися та входити в служби з підтримкою FIDO2

Щоб скористатися перевагами підвищеного захисту, які пропонує автентифікація FIDO2, виконайте такі основні кроки.

Як зареєструватися в служби з підтримкою FIDO2

  • Крок 1. Коли ви реєструєтеся у службі, буде запропоновано вибрати підтримуваний метод автентифікації FIDO.

  • Крок 2. Активуйте автентифікатор FIDO простою дією, яку підтримує автентифікатор: введенням PIN-коду, дотиком до сканера відбитка пальця або вставленням ключа безпеки FIDO2.

  • Крок 3. Після активації автентифікатора ваш пристрій створить пару з закритого та відкритого ключів, унікальну для вашого пристрою, облікового запису та служби.

  • Крок 4. Ваш локальний пристрій надійно зберігає закритий ключ і будь-яку конфіденційну інформацію, що стосується методу автентифікації, наприклад біометричні дані. Відкритий ключ шифрується та разом із випадково згенерованим обліковим ідентифікатором реєструється у службі та зберігається на її сервері автентифікації.

Як зареєструватися в службі з підтримкою FIDO2

  • Крок 1. Служба видає криптографічний запит на перевірку для підтвердження вашої присутності.

  • Крок 2. Коли буде запропоновано, виконайте ту саму дію автентифікації, що й під час реєстрації облікового запису. Коли ви підтвердите свою присутність дією, ваш пристрій підпише запиту закритим ключем, який зберігається локально на пристрої.

  • Крок 3. Ваш пристрій повертає підписаний запит до служби, яка перевіряє його за допомогою безпечно зареєстрованого відкритого ключа.

  • Крок 4. Коли цей процес завершено, ви ввійшли у службу.

Які переваги автентифікації FIDO2?

Безпарольна автентифікація FIDO2 надає такі переваги, як вищий рівень безпеки та конфіденційності, підвищена зручність для користувачів, а також покращена масштабованість. FiDO2 також зменшує завантаженість і витрати, пов’язані з керуванням доступом.

Підвищує рівень безпеки

Безпарольна автентифікація FIDO2 значно підвищує безпеку входу завдяки використанню унікальних ключів доступу. Маючи справу з FIDO2, хакери не можуть легко отримати доступ до цієї делікатної інформації, використовуючи фішинг, зловмисні програми з вимогою викупу та інші поширені кіберзагрози. Біометричні дані та ключі FIDO2 також допомагають усунути вразливості в традиційних методах багатофакторної автентифікації, таких як надсилання одноразових кодів доступу в текстових повідомленнях.

Поліпшує конфіденційність користувачів

Автентифікація FIDO зміцнює конфіденційність користувачів завдяки безпечному зберіганню закритих криптографічних ключів і біометричних даних на пристроях користувачів. Крім того, оскільки в цьому методі автентифікації створюються унікальні пари ключів, він не дає змоги постачальникам послуг відстежувати користувачів на сайтах. До того ж, у відповідь на занепокоєння споживачів щодо можливого неналежного використання біометричних даних уряди приймають закони про конфіденційність, які забороняють організаціям продавати або передавати біометричну інформацію.

Підвищує зручність використання

Завдяки автентифікації FIDO користувачі можуть швидко й зручно підтверджувати свою ідентичність, використовуючи ключі FIDO2, програми-автентифікатори або сканерів відбитка пальця чи камери, вбудовані в їхні пристрої. Хоча користувачі мають виконати другий або навіть третій крок у процедурі безпеки (наприклад, якщо для перевірки ідентичності потрібно кілька видів біометричних даних), вони заощаджують час і позбавляються зайвого клопоту, пов’язаного зі створенням, запам’ятовуванням, скиданням паролів і керуванням ними.

Покращує масштабованість

FIDO2 – це відкритий безліцензійний стандарт, який дає змогу компаніям та іншим організаціям розширювати безпарольні методи автентифікації до світового масштабу. За допомогою FIDO2 вони можуть забезпечувати безпечну та спрощену процедуру входу для всіх співробітників, клієнтів і партнерів незалежно від використовуваних браузерів і платформ.

Спрощує керування доступом

ІТ-командам більше не потрібно розгортати політики та інфраструктуру паролів і керувати ними, що скорочує витрати та вивільняє ресурси для більш цінної діяльності. Крім того, служба підтримки працює продуктивніше, оскільки їй не потрібно обробляти пов’язані з паролями запити, такі як скидання паролів.

Що таке WebAuthn і CTAP2?

Набір специфікацій FIDO2 містить два компоненти: Web Authentication (WebAuthn) і Client-to-Authenticator Protocol 2 (CTAP2). Основний компонент, WebAuthn, – це написаний на JavaScript інтерфейс API, реалізований у сумісних браузерах і платформах, завдяки чому зареєстровані пристрої можуть виконувати автентифікацію FIDO2. WebAuthn розроблено консорціумом World Wide Web (W3C), міжнародною організацією зі стандартів для Інтернету, у співпраці з FiDO Alliance. У 2019 році WebAuthn став офіційним веб-стандартом W3C.

Другий компонент, CTAP2, розроблений консорціумом FIDO Alliance, дає змогу переміщуваним автентифікаторам, таким як ключі безпеки FIDO2 та мобільним пристроям, зв’язуватися з браузерами та платформами, які підтримують FIDO2.

Що таке FIDO U2F і FIDO UAF?

FiDO2 є результатом розвитку FIDO 1.0 – перших специфікацій автентифікації FIDO, випущених у 2014 році. Ці початкові специфікації містили протокол FIDO Universal Second Factor (FIDO U2F) і протокол FIDO Universal Authentication Framework (FIDO UAF).

Як FIDO U2F, так і FIDO UAF – це форми багатофакторної автентифікації, яка вимагає двох або трьох доказів (або факторів) для перевірки справжності користувача. Цими факторами може бути щось, що знає лише користувач (наприклад, код доступу або PIN-код), чим володіє лише він (наприклад, ключ FIDO або програма-автентифікатор на мобільному пристрої) або він сам (наприклад, біометричні дані).

Дізнайтеся більше про ці специфікації:

FIDO U2F

FiDO U2F зміцнює стандарти авторизації з паролем за допомогою двофакторної автентифікації (2FA), яка перевіряє користувача за двома доказами. Протокол FIDO U2F вимагає, щоб користувач надавав як перший фактор чинне сполучення імені користувача та пароля, а потім використовував пристрій USB, NFC або Bluetooth як другий фактор, зазвичай натискаючи кнопку або вводячи одноразовий пароль із обмеженням часу існування.

FiDO U2F є наступником CTAP 1 і попередником CTAP2, що дає змогу використовувати мобільні пристрої на додачу до ключів FIDO як пристрої другого фактора.

FIDO UAF

UAF FIDO полегшує багатофакторну безпарольну автентифікацію. Для цього потрібно, щоб користувач увійшов у службу за допомогою зареєстрованого у FIDO клієнтського пристрою, який підтверджує присутність користувача шляхом біометричної перевірки, наприклад відбитка пальця чи сканування обличчя, або за допомогою PIN-коду, як першого фактора. Після цього пристрій генерує унікальну пару ключів як другий фактор. Веб-сайт або програма також може використовувати третій фактор, наприклад біометричні дані або географічне розташування користувача’.

FiDO UAF – це попередник безпарольної автентифікації FIDO2.

Реалізація FIDO2

Реалізація стандарту FIDO2 на веб-сайтах і в програмах потребує від вашої організації наявності сучасного устаткування та програмного забезпечення. На щастя, усі провідні веб-платформи, зокрема Microsoft Windows, Apple iOS і MacOS і Android, а також усі основні веб-браузери, зокрема Microsoft Edge, Google Chrome, Apple Safari та Mozilla Firefox, підтримують FIDO2. Ваша система керування ідентичністю та доступом (IAM) також має підтримувати автентифікацію FIDO2.

Загалом, реалізація автентифікації FIDO2 на нових або наявних веб-сайтах і в програмах передбачає такі основні кроки:

  1. Визначте процедуру входу користувача та методи автентифікації, а також установіть політики керування доступом.
  2. Створіть нові або переробіть наявні сторінки реєстрації та входу з використанням відповідних специфікацій протоколу FIDO.
  3. Налаштуйте сервер FIDO, щоб автентифікувати запити на реєстрацію та автентифікацію FIDO. Сервер FIDO може бути автономним сервером, інтегруватися з веб-сервером чи сервером програм або надаватися як модуль IAM.
  4. Створіть нові або доробіть наявні робочі процеси автентифікації.

FIDO2 та біометрична автентифікація

У біометричній автентифікації використовуються унікальні біологічні характеристики або характеристики поведінки людини, щоб підтвердити, що ця особа є тим, ким вона себе називає. Біометричні дані збираються та перетворюються на біометричні шаблони, доступні лише за допомогою секретного алгоритму. Коли користувач намагається ввійти в систему, система збирає інформацію, перетворює її та порівнює зі збереженим біометричним шаблоном.

Можна навести такі приклади біометричної автентифікації.

Біологічні

  • Сканування відбитка пальця
  • Сканування сітківки ока
  • Розпізнавання голосу
  • Зіставлення ДНК
  • Сканування вен

Поведінкові

  • Використання сенсорного екрана
  • Швидкість друкування
  • Сполучення клавіш
  • Дії з мишею

Біометрична автентифікація вже є реальністю на сучасних гібридних цифрових робочих місцях. Працівникам подобається її гнучкість для швидкого та безпечного підтвердження особи де завгодно. Підприємствам подобається, що біометрична автентифікація значно зменшує потенційно вразливі місця, перешкоджаючи кіберзлочинам, які інакше могли б атакувати їхні дані та системи.

Але біометрична автентифікація не є цілковито захищеною від хакерів. Наприклад, зловмисники можуть видавати себе за іншу особу, використовуючи її біометричні дані, такі як фотографія або силіконовий відбиток пальця. Також вони можуть об’єднувати кілька відбитків пальців в один загальний, який надає доступ до кількох облікових записів користувачів.

Є й інші недоліки біометричної автентифікації. Так, наприклад, деякі системи розпізнавання обличчя ненадійно працюють із жінками та людьми з іншим кольором шкіри. Крім того, деякі організації бажають зберігати біометричні дані на серверах баз даних, а не на пристроях користувачів, що викликає питання щодо безпеки та конфіденційності. Проте багатофакторна біометрична автентифікація залишається одним із найбезпечніших методів, наразі доступних для перевірки ідентичності користувачів.

Приклади автентифікації FIDO2

Вимоги до безпеки та логістики для перевірки ідентичності можуть різнитися в межах однієї організації та в різних організаціях. Нижче наведено типові способи впровадження автентифікації FIDO2 в організаціях різних галузей.

Банки, фінансові послуги та страхування

З міркувань захисту делікатних даних компаній та клієнтів співробітники, що працюють у корпоративних офісах, часто використовують надані компанією настільні комп’ютери або ноутбуки з платформними автентифікаторами. Політика компанії забороняє їм використовувати ці пристрої для особистих потреб. Співробітники філій та інформаційно-довідкових служб часто використовують спільні пристрої та підтверджують свою ідентичність за допомогою переміщуваних автентифікаторів.

Авіація та аеропорти

Організації в цих галузях також мають враховувати співробітників, які працюють у різних умовах і мають різні обов’язки. Керівники, співробітники кадрових служб та інші офісні працівники часто використовують спеціальні настільні комп’ютери й ноутбуки та автентифікуються за допомогою платформних або переміщуваних автентифікаторів. Службовці гейтів в аеропортах, механіки літаків і члени екіпажів часто використовують апаратні ключі безпеки або програми-автентифікатори на своїх особистих смартфонах, щоб автентифікуватися на спільних планшетах або робочих станціях.

Виробництво

Щоб додержати фізичної безпеки виробничих об’єктів, авторизовані працівники та інші особи використовують для відмикання дверей переміщувані автентифікатори, як-от смарт-картки з підтримкою FIDO2 та ключі FIDO2, або зареєстровані особисті смартфони з платформними автентифікаторами. Крім того, команди розробки продуктів часто використовують для доступу до онлайнових систем розробки, які містять службову інформацію, спеціальні настільні комп’ютери або ноутбуки з платформними автентифікаторами.

Екстрені служби

Державні установи та інші служби екстреної допомоги не завжди можуть автентифікувати парамедиків та співробітників, що надають першу допомогу, за допомогою відбитка пальця або сканування райдужної оболонки ока. Часто ці співробітники носять рукавиці або засоби захисту очей у той момент, коли їм потрібно швидко отримати доступ до онлайнових служб. У таких випадках для ідентифікації використовуються системи розпізнавання голосу. Також можна використовувати нові технології сканування форми вух за допомогою смартфонів.

Створення спокою та безпеки за допомогою FIDO2

Безпарольна автентифікація швидко стає взірцевим методом IAM. Прийнявши FIDO2, ви будете впевнені, що використовуєте надійний стандарт, який дає змогу переконатися, що користувачі є тими, за кого себе видають.

Щоб почати роботу з FIDO2, уважно вивчіть конкретні вимоги вашої організації та галузі до перевірки ідентичності. Потім оптимізуйте впровадження FIDO2 за допомогою Ідентифікатора Microsoft Entra (попередня назва – Azure Active Directory). Майстер застосування методів безпарольної автентифікації в Ідентифікаторі Microsoft Entra спрощує керування функцією Windows Hello для бізнесу, програмою Microsoft Authenticator та ключами безпеки FIDO2.

Дізнайтеся більше про Захисний комплекс Microsoft

Ідентифікатор Microsoft Entra ID (раніше відомий як Azure Active Directory)

Захистіть доступ до ресурсів і даних за допомогою надійної автентифікації та адаптивного доступу з урахуванням ризиків.

Дізнайтеся більше

Керування ідентичностями в Microsoft Entra

Підвищіть продуктивність і зміцніть безпеку, автоматизувавши доступ до програм і служб.

Дізнатися більше

Підтверджувані ID Microsoft Entra

Упевнено видавайте та перевіряйте робочі та інші облікові дані, використовуючи рішення на основі відкритих стандартів.

Дізнайтеся більше

ID робочих навантажень Microsoft Entra

Зменште ризик, надаючи програмам і службам умовний доступ до хмарних ресурсів в одному розташуванні.

Дізнайтеся більше

Запитання й відповіді

  • FIDO2 означає (Fast IDentity Online 2), найновіший відкритий стандарт автентифікації, випущений консорціумом FiDO Alliance. Цей консорціум, до складу якого входять корпорація Майкрософт та інших технологічні, комерційні та урядові організації, прагне усунути використання паролів в Інтернеті.

    Специфікації FIDO2 включають веб-інтерфейс API Web Authentication (WebAuthn), який дає онлайновим службам змогу зв’язуватися з платформними автентифікаторами FIDO2 (такими як технології сканування відбитків пальців і розпізнавання обличчя, вбудовані в браузери та платформи). WebAuthn є офіційним стандартом W3C, розроблений консорціумом World Wide Web (W3C) у партнерстві з FIDO Alliance.

    FiDO2 також включає розроблений консорціумом протокол Client-to-Authenticator Protocol 2 (CTAP2). CTAP2 з’єднує переміщувані автентифікатори (такі як зовнішні ключі безпеки FIDO2 та мобільні пристрої) з клієнтськими пристроями FIDO2 через USB, BLE або NFC.

  • FIDO2 – це відкритий безліцензійний стандарт багатофакторної безпарольної автентифікації в мобільних і настільних середовищах. FiDO2 працює, використовуючи для перевірки ідентичностей користувачів криптографію відкритих ключів замість паролів, що перешкоджає кіберзлочинцям, які намагаються викрасти облікові дані користувачів за допомогою фішингу, зловмисних програм та інших атак на основі паролів.

  • Автентифікація FIDO2 надає такі переваги, як вищий рівень безпеки та конфіденційності, підвищена зручність для користувачів, а також покращена масштабованість. FiDO2 також спрощує керування доступом для ІТ-команд і служб підтримки, зменшуючи завантаженість і витрати, пов’язані з керуванням іменами користувачів і паролями.

  • Ключ FIDO2, також званий ключем безпеки FIDO2, – це фізичний пристрій, необхідний для двофакторної та багатофакторної автентифікації. Діючи як переміщуваний автентифікатор FIDO, він використовує USB, NFC або Bluetooth для підключення до клієнтського пристрою FIDO2, що дає змогу користувачам автентифікуватися на кількох комп’ютерах (в офісі, вдома або в іншому розташуванні).

    Клієнтський пристрій перевіряє ідентичність користувача, попросивши його виконати дію за допомогою ключа FIDO2, наприклад торкнутися сканера відбитка пальця, натиснути кнопку або ввести PIN-код. Ключами FIDO2 можуть бути вставні ключі, смартфони, планшети, портативні та інші пристрої.

  • Організації розгортають методи автентифікації FIDO2, виходячи зі своїх унікальних вимог до безпеки, логістичних і галузевих вимог.

    Наприклад, банки та виробники, що займаються дослідженнями, часто вимагають від офісних та інших працівників використовувати надані компанією та призначені лише для службових потреб настільні комп’ютери та ноутбуки з платформними автентифікаторами. Натомість, працівники, які часто перебувають у дорозі, наприклад екіпажі авіакомпаній та аварійні служби, часто отримують спільні планшети або робочі станції, а потім автентифікують їх за допомогою ключів безпеки або програм-автентифікаторів на своїх смартфонах.

Підпишіться на новини про Захисний комплекс Microsoft