This is the Trace Id: 3b9ca69771e3c456828fbb856c78687d
跳到主要內容
Microsoft 安全性

什麼是 FIDO2?

了解 FIDO2 無密碼驗證的基本知識,包括其運作方式,以及協助保護個人和組織不受線上攻擊。

使用無密碼驗證降低風險

FIDO2 已定義

FIDO2 (Fast IDentity Online 2) 是使用者驗證的開放標準,旨在加強使用者對線上服務的登入方式,以提高整體信任度。FIDO2 使用防網路釣魚密碼加密認證來驗證使用者身分識別,以加強安全性,並保護個人與組織免受網路犯罪攻擊。

FIDO2 是 FIDO 聯盟所開發的最新開放驗證標準,FIDO 聯盟是 Microsoft 和其他技術、商業及政府組織的產業聯盟。聯盟於 2014 年發行 FIDO 1.0 驗證標準 (引進防網路釣魚多重要素驗證 (MFA) ,並於 2018 年發行最新的無密碼驗證標準—FIDO2 (也稱為 FIDO 2.0 或 FIDO 2))。

什麼是通行金鑰? 它們與 FIDO2 如何關聯?

無論密碼有多久或多複雜,或是變更過多久,密碼可能會因為願意或不想共用而遭到入侵。即使使用強式密碼保護解決方案,每個組織都面臨網路釣魚、駭客攻擊,以及其他密碼遭竊的網路攻擊風險。密碼一旦被誤用,就可以用來取得線上帳戶、裝置和檔案的未經授權存取權。

通行金鑰是使用公開金鑰密碼加密所建立的 FIDO2 登入認證。密碼的有效取代方式,可提升網路安全性,同時讓使用者比傳統方法更方便使用者來登入支援的 Web 應用程式和網站。

FIDO2 無密碼驗證仰賴密碼加密演算法來產生一對私密和公開通行金鑰,這是數學上相關的長隨機 數字。金鑰組可用來直接在使用者的裝置上執行使用者驗證,無論是桌面電腦、膝上型電腦、行動電話或安全性密鑰。通行金鑰可以結合至單一使用者裝置,或透過雲端服務在使用者的多個裝置上自動同步。

FIDO2 驗證如何運作?

FIDO2 無密碼驗證通常使用通行金鑰做為帳戶驗證的第一個主要因素。也就是說,當使用者向 FIDO2 支援的線上服務註冊時,註冊以執行驗證的用戶端裝置會產生僅適用於該 Web App 或網站的金鑰組。

公開金鑰已加密並與服務共用,但私密金鑰會安全地保留在使用者的裝置上。然後,每次使用者嘗試登入服務時,服務會向用戶端呈現獨特的挑戰。用戶端會啟用通行金鑰裝置,以私密金鑰簽署要求並傳回它。這會使程式以密碼加密方式保護,避免網路釣魚。

FIDO2 驗證器的類型

裝置必須先確認要求存取權的使用者不是未經授權的使用者或惡意程式碼類型,裝置才能產生一組唯一的 FIDO2 通行金鑰。它會使用驗證器執行此動作,驗證器是可接受 PIN、生物特徵辨識或其他使用者手勢的裝置。

FIDO 驗證器有兩種類型:

漫遊 (或跨平台) 驗證器

這些驗證器是可攜式硬體裝置,與使用者的用戶端裝置不同。漫遊驗證器包括安全性密鑰、智慧型手機、平板電腦、穿戴式裝置,以及其他透過 USB 通訊協定或近距離無線通訊 (NFC) 和藍牙無線技術與用戶端裝置連接的裝置。使用者會以各種方式驗證其身分識別,例如插入 FIDO 鍵並按下按鈕,或在智慧型手機上提供生物特徵辨識 (例如指紋)。 漫遊驗證器也稱為跨平台驗證器,因為它們可讓使用者隨時隨地在多個電腦上進行驗證。

平台 (或繫結) 驗證器

這些驗證器內嵌在使用者的用戶端裝置中,無論是桌面電腦、膝上型電腦、平板電腦或智慧型手機。由保護通行金鑰的生物特徵辨識功能和硬體晶片所組成,平台驗證器會要求使用者使用其用戶端裝置來登入 FIDO 支援的服務,然後透過相同的裝置進行驗證,通常是使用生物特徵辨識或 PIN。

使用生物特徵辨識資料的平台驗證器範例包括 Microsoft Windows Hello、Apple Touch ID 和臉部標識碼,以及 Android 指紋。

如何註冊並登入 FIDO2 支援的服務:

若要利用 FIDO2 驗證提供的增強安全性,請遵循下列基本步驟:

如何註冊 FIDO2 支援的服務:

  • 步驟 1:向服務註冊時,系統會提示您選擇支援的 FIDO 驗證器方法。

  • 步驟 2:使用驗證器支援的簡單手勢啟用 FIDO 驗證器,無論是輸入 PIN、觸碰指紋讀取器,或插入 FIDO2 安全性金鑰。

  • 步驟 3:啟用驗證器後,您的裝置將會產生對您的裝置、帳戶和服務特有的私密金鑰組。

  • 步驟 4:您的本機裝置會安全地儲存私密金鑰,以及任何與驗證方法相關的機密資訊,例如您的生物特徵辨識資料。公開金鑰會經過加密,並連同隨機產生的認證識別碼一起向服務登錄,並儲存在驗證器伺服器上。

如何登入 FIDO2 支援的服務:

  • 步驟 1:服務會進行密碼加密挑戰以確認您的目前狀態。

  • 步驟 2:當系統提示時,執行帳戶註冊期間所使用的相同驗證器手勢。以手勢確認您的目前狀態後,您的裝置就會使用儲存在您裝置上的私密金鑰來簽署挑戰。

  • 步驟 3:您的裝置會將已簽署的查證傳送回服務,以安全登入的公開金鑰進行驗證。

  • 步驟 4:完成後,您即已登入。

FIDO2 驗證的好處是什麼?

FIDO2 無密碼驗證的益處包括更高的安全性和隱私權、方便使用者的體驗,以及改良的擴充性。FIDO2 也會降低與存取管理相關的工作負載和成本。

增加安全性

FIDO2 無密碼驗證會依賴唯一的通行金鑰,大幅提升登入安全性。透過 FIDO2,駭客無法透過網路釣魚勒索軟體和其他常見的網路活動,輕鬆取得此敏感資訊的存取權。生物特徵辨識和 FIDO2 金鑰也可協助消除傳統多重要素驗證方法的弱點,例如透過文字訊息傳送一次密碼 (OAP)。

增強使用者隱私權

FIDO 驗證可安全地在使用者裝置上,儲存私人密碼加密密鑰和生物特徵辨識資料,以加強使用者隱私權。此外,由於此驗證方法會產生唯一的金鑰組,因此有助於防止服務提供者跨網站追蹤使用者。此外,為了因應消費者對於生物特徵辨識資料可能濫用的疑慮,政府正制定隱私權法,防止組織銷售或共用生物特徵辨識資訊。

提升使用便利性

使用 FIDO 驗證,個人可以使用 FIDO2 金鑰、驗證器應用程式,或內嵌在裝置中的指紋讀取器或相機,快速且輕鬆地驗證其身分識別。雖然使用者必須執行第二個或甚至第三個安全性步驟 (例如,當身分識別驗證需要一種以上生物特徵辨識時),他們自行省下建立、記憶、管理及重設密碼所關聯的時間和麻煩。

改善擴充性

FIDO2 是開放、無授權的標準,可讓企業和其他組織在全球擴展無密碼驗證方法。有了 FIDO2,他們就可以為所有員工、客戶和合作夥伴提供安全、簡化的登入體驗,無論他們選擇的瀏覽器和平台。

簡化存取管理

IT 小組不再需要部署和管理密碼政策與基礎結構、降低成本,並使他們得以專注於較高價值的活動。此外,技術支援人員之間的生產力也會增加,因為他們不需要支持密碼型要求,例如重設密碼。

什麼是 WebAuthn 和 CTAP2?

FIDO2 規格集有兩個元件:Web 驗證 (WebAuthn) 和客戶端對驗證器通訊協定 2 (CTAP2)。 主要元件 WebAuthn 是在相容的網頁瀏覽器和平台中執行的 JavaScript API,讓已註冊的裝置可以 執行 FIDO2 驗證。World Wide Web Consortium (W3C) 是 World Wide Web 的國際標準組織,與 FIDO 聯盟合作開發了 WebAuthn。WebAuthn 在 2019 年成為正式 W3C Web 標準。

第二個元件 CTAP2 是由 FIDO 聯盟開發,可讓漫遊驗證器 (例如 FIDO2 安全性密鑰與行動裝置) 與 FIDO2 支援的瀏覽器和平台通訊。

什麼是 FIDO U2F 和 FIDO UAF?

FIDO2 從 FIDO 1.0 進化,這是 2014 年聯盟發行的第一個 FIDO 驗證規格。這些原始規格包括 FIDO Universal Second Factor (FIDO U2F) 通訊協定和 FIDO 通用驗證架構 (FIDO UAF) 通訊協定。

FIDO U2F 和 FIDO UAF 都是多重要素驗證的形式,需要兩個或三個證據 (或因素) 來驗證使用者。這些因素可能是只有使用者知道的東西 (例如密碼或 PIN)、指紋 (例如 FIDO 金鑰或行動裝置上的驗證器應用程式),或是 (例如生物特徵辨識)。

深入了解這些規格:

FIDO U2F

FIDO U2F 使用雙因素驗證 (2FA) 強化密碼型授權標準,以兩項證據驗證使用者。FIDO U2F 通訊協定要求個人提供有效的使用者名稱和密碼組合做為第一個因素,然後使用 USB、NFC 或藍牙裝置做為第二個因素,一般是按下按鈕或在時間敏感的 OTP 中按下按鍵來驗證。

FIDO U2F 是 CTAP 1 的後繼項目,也是 CTAP2 的前置任務,可讓個人除了使用 FIDO 金鑰做為第二因素裝置之外,使用行動裝置。

FIDO UAF

FIDO UAF 有助於多重要素無密碼驗證。它要求個人使用已註冊 FIDO 的用戶端裝置登入 (透過指紋或臉部掃描等生物特徵辨識檢查或 PIN 來確認使用者的存在) 作為第一個因素。接著,裝置會產生唯一的金鑰組做為第二個因素。網站或應用程式也可使用第三個因素,例如生物特徵辨識或使用者的地理位置。

FIDO UAF 是 FIDO2 無密碼驗證的前身。

如何實作 FIDO2

在網站和應用程式上執行 FIDO2 標準需要您的組織擁有現代化硬體和軟體。幸好,所有主要的網頁平台 (包括 Microsoft Windows、Apple iOS 和 MacOS 和 Android 系統) 以及所有主要的網頁瀏覽器 (包括 Microsoft Edge、Google Chrome、Apple Safari 和 Mozilla Firefox) 都支援 FIDO2。您的身分識別與存取管理 (IAM) 解決方案也必須支援 FIDO2 驗證。

一般而言,在新的或現有的網站或應用程式中執行 FIDO2 驗證需要下列重要步驟:

  1. 定義使用者登入體驗和驗證方法,並設定存取控制策略。
  2. 使用適當的 FIDO 通訊協定規格,建立新或修改現有的登入和登入頁面。
  3. 設定 FIDO 伺服器以驗證 FIDO 註冊和驗證要求。FIDO 伺服器可以是獨立伺服器、與 Web 或應用程式伺服器整合,或提供為 IAM 模組。
  4. 建置新的或修改現有的驗證工作流程。

FIDO2 和生物特徵辨識驗證

生物特徵辨識驗證會使用人員獨特的生物或行為特性,以確認個人是他們宣稱的人。生物特徵辨識資料會收集並轉換成生物特徵辨識範本,這些範本只能使用秘密演演算法來存取。當個別使用者嘗試進行登入時,系統會重新捕捉資訊、轉換資訊,並將其與儲存的生物特徵辨識技術進行比較。

生物特徵辨識驗證的範例包括:

生物

  • 指紋掃描
  • Retina 掃描
  • 語音辨識
  • DNA 比對
  • 掃描掃描

行為

  • 觸控螢幕使用
  • 輸入速度
  • 鍵盤快速鍵
  • 滑鼠活動

生物特徵辨識驗證在現今的混合式數位工作場所中已成為現實。員工喜歡這讓他們能靈活地在任何地方快速、安全地進行身份驗證。像這樣的企業會大幅縮減攻擊面,減輕可能以資料與系統為目標的網路犯罪。

但是生物特徵辨識驗證並不能完全防止駭客。例如,不良的執行者可以使用其他人的生物特徵辨識資料 (例如相片或指紋指紋) 來冒充該個人。或者,他們可以結合多個指紋掃描來建立主要掃描,讓他們可以存取數個使用者帳戶。

生物特徵辨識驗證還有其他缺點。例如,某些臉部識別系統對女性和有色人種具有先天偏差。此外,有些組織選擇將生物特徵辨識資料儲存在資料庫伺服器上,而不是在使用者裝置上,因此引發有關安全性和隱私權的問題。不過,多重要素生物特徵辨識驗證仍是目前最安全的其中一項方法,可驗證使用者身分識別。

FIDO2 驗證範例

身分識別驗證的安全性與安全性需求,在組織內部和組織中有所不同。以下是不同產業中的組織執行 FIDO2 驗證的常見方式。

銀行、金融服務和保險

為了保護機密業務和客戶資料,在公司辦公室工作的員工通常會使用公司提供的桌面電腦或膝上型計算機與平台驗證器。公司政策禁止他們使用這些裝置供個人使用。現場分公司和通話中心員工經常使用共用裝置,並使用漫遊驗證器驗證其身分。

航空和航空公司

這些產業中的組織也必須容納在不同設定中工作且擁有不同責任的個人。主管、人力資源和其他辦公室員工通常會使用專用的桌面電腦和膝上型電腦,並使用平台或漫遊驗證器進行驗證。機場登機口工作人員、飛機維修人員和機組人員經常使用個人智慧型手機上的硬體安全性密鑰或驗證器應用程式,在共用的平板電腦或工作站上進行驗證。

製造業

為了確保製造設施的物理安全性,獲授權的員工和其他個人會使用漫遊驗證器 (例如啟用 FIDO2 的智慧卡和 FIDO2 密鑰) 或具有平台驗證器的已註冊個人智慧型手機來解除鎖定門。此外,產品設計小組通常會使用專用的桌面電腦或膝上型電腦與平台驗證器,來存取包含專屬資訊的線上設計系統。

緊急服務

政府機構和其他緊急服務提供者不一定能夠使用指紋或虹膜掃描,來驗證參數和其他第一個回應者。通常,這些人員在需要快速存取線上服務的同時,戴手套或眼球保護裝置。在這些情況下,會改為透過語音辨識系統來識別它們。您也可以使用智慧型手機掃描耳罩圖形的新興技術。

使用 FIDO2 建立安心的安全性

無密碼驗證很快就會成為 IAM 的最佳作法。採用 FIDO2,即表示您使用的是受信任的標準,以確保使用者就是他們所說的使用者。

若要開始使用 FIDO2,請仔細評估身分識別驗證的特定組織和產業需求。然後,使用 Microsoft Entra ID (先前稱為 Azure Active Directory) 簡化 FIDO2 實作。Microsoft Entra ID 中的無密碼方法精靈可簡化 Windows Hello 企業版、Microsoft Authenticator 應用程式與 FIDO2 安全性金鑰的管理。

深入了解 Microsoft 安全性

Microsoft Entra ID (先前稱為 Azure Active Directory)

使用增強式驗證和風險型自適性存取保護資源和資料的存取。

深入了解

Microsoft Entra 身分控管

自動化應用程式與服務的存取,提高生產力並增強安全性。

深入了解

Microsoft Entra 驗證識別碼

使用開放式標準解決方案,自信地發出並驗證工作場所和其他認證。

深入了解

Microsoft Entra 工作負載 ID

將雲端資源的條件式存取權授予應用程式和服務,以降低風險。所有項目都在一處。

深入了解

常見問題集

  • FIDO2 代表 (Fast IDentity Online 2),這是 FIDO Alliance 發行的最新開放驗證標準。由 Microsoft 和其他技術、商業及政府組織所組成,聯盟致力於消除在 World Wide Web 上使用密碼。

    FIDO2 規格包含 Web 驗證 (WebAuthn),Web API 可讓線上服務與 FIDO2 平台驗證器通訊 (例如內嵌在網頁瀏覽器和平台中的指紋和臉部識別技術)。WebAuthn 是由 World Wide Web Consortium (W3C) 與 FIDO Alliance 合作開發,是正式的 W3C 標準。

    FIDO2 也包含由聯盟開發的用戶端對驗證器通訊協定 2 (CTAP2)。CTAP2 透過 USB、BLE 或 NFC 將漫遊驗證器 (例如外部 FIDO2 安全性金鑰與行動裝置) 連接到 FIDO2 用戶端裝置。

  • FIDO2 是行動和桌面環境中多重要素無密碼驗證的開放、無授權標準。FIDO2 可透過使用公開金鑰密碼加密 (而非密碼) 來驗證使用者身分識別,避免嘗試透過網路釣魚、惡意程式碼和其他密碼型攻擊竊取使用者認證的網路犯罪。

  • FIDO2 驗證的益處包括更高的安全性和隱私權、方便使用者的體驗,以及改良的擴充性。FIDO2 也會減少與管理使用者名稱和密碼相關的工作負載和成本,以簡化 IT 小組和技術支援人員的存取權限。

  • FIDO2 金鑰也稱為 FIDO2 安全性金鑰,是雙因素和多重要素驗證所需的實體硬體裝置。做為漫遊 FIDO 驗證器,它會使用 USB、NFC 或藍牙來連接到 FIDO2 用戶端裝置,讓使用者在多個電腦上進行驗證,不論是在辦公室、家中或其他設定。

    用戶端裝置會要求使用者使用 FIDO2 鍵來做出手勢 (例如觸碰指紋讀取器、按下按鈕或輸入 PIN),以驗證使用者的身分識別。FIDO2 按鍵包括外掛程式按鍵、智慧型手機、平板電腦、穿戴式裝置及其他裝置。

  • 組織會根據獨特的安全性、安全性和產業需求來部署 FIDO2 驗證方法。

    例如,銀行與研究導向的製造商通常會要求以辦公室為基礎的員工和其他員工,使用公司提供的、僅供企業使用的桌面電腦和膝上型電腦與平台驗證器。人員經常在移動狀態的組織 (例如航空公司和緊急回應小組) 通常會存取共用的平板電腦或工作站,然後使用智慧型手機上的安全性密鑰或驗證器應用程式進行驗證。

關注 Microsoft 安全性