Metody ověřování v Microsoft Entra ID – ověřovací klíče (FIDO2)

Phishingové útoky na dálku jsou na vzestupu. Cílem těchto útoků je ukrást nebo předávat doklady identity, jako jsou hesla, kódy SMS nebo jednorázové heslo e-mailu, bez fyzického přístupu k zařízení uživatele. Útočníci často používají techniky sociálního inženýrství, získávání přihlašovacích údajů nebo snižování úrovně zabezpečení k obejití silnější ochrany, jako jsou klíče pro přístup nebo bezpečnostní klíče. Díky nástrojům pro útoky řízenými AI se tyto hrozby stávají sofistikovanějšími a škálovatelnými.

Přístupové klíče pomáhají zabránit vzdálenému phishingu nahrazením zneužitelných metod, jako jsou hesla, SMS a e-mailové kódy. Založeny na standardech FIDO (Fast Identity Online), přihlašovací klíče používají kryptografii veřejného klíče vázanou na původ, zajišťují, že přihlašovací údaje nelze přehrát ani sdílet s nebezpečnými aktéry. Kromě silnějšího zabezpečení nabízejí přístupové klíče (FIDO2) bezproblémové přihlašování tím, že eliminují hesla, snižují výzvy a umožňují rychlé a zabezpečené ověřování na všech zařízeních.

Přístupové klíče (FIDO2) se dají použít také k přihlášení k Microsoft Entra ID nebo zařízením s Windows 11 připojenými k hybridnímu prostředí Microsoft Entra a získat jednotné přihlášení ke cloudovým a místním prostředkům.

Co jsou klíče?

Klíče jsou přihlašovací údaje odolné proti útokům phishing, které poskytují silné ověřování a můžou sloužit jako metoda vícefaktorového ověřování (MFA) v kombinaci s biometrickými údaji zařízení nebo PIN kódem. Poskytují také odolnost proti zosobnění ověřovatele, což zajišťuje, že autentizátor uvolní tajné kódy pouze straně Relying Party (RP), u které byl klíč zaregistrován, a ne útočníkovi, který se vydává za RP. Přístupové klíče (FIDO2) se řídí standardy FIDO2 pomocí protokolu WebAuthn pro prohlížeče a CTAP pro komunikaci s ověřovacím programem.

Následující proces se používá, když se uživatel přihlásí k ID Microsoft Entra pomocí klíče (FIDO2):

1. Uživatel zahájí přihlášení k MICROSOFT Entra ID.
2. Uživatel vybere klíč:
   • Totéž zařízení (uloženo na zařízení)
   • Napříč zařízeními (prostřednictvím kódu QR) nebo klíč zabezpečení FIDO2
3. Microsoft Entra ID odešle autentizátoru výzvu (nonce).
4. Autentizátor lokalizuje dvojici klíčů pomocí hashovaného ID RP a ID přihlašovacích údajů.
5. Uživatel provede biometrické gesto nebo gesto PIN k odemknutí privátního klíče.
6. Autentizátor podepíše výzvu privátním klíčem a vrátí podpis.
7. ID Microsoft Entra ověřuje podpis pomocí veřejného klíče a vydává token.

Typy přístupových klíčů

• Klíče vázané na zařízení: Privátní klíč se vytvoří a uloží na jednom fyzickém zařízení a nikdy ho neopustí. Příklady:
  • Microsoft Authenticator
  • Klíče zabezpečení FIDO2
• Synchronizované klíče: Privátní klíč je uložený v cloudu poskytovatele klíče a synchronizuje se mezi zařízeními přihlášenými ke stejnému účtu zprostředkovatele klíče. Synchronizované klíče nepodporují ověření identity. Příklady:
  • Klíčová zkratka Apple iCloudu
  • Správce hesel Google

Synchronizované klíče nabízejí bezproblémové a pohodlné uživatelské prostředí, kde uživatelé můžou k ověření použít nativní mechanismus odemknutí zařízení, jako je obličej, otisk prstu nebo PIN kód. Na základě učení ze stovek milionů uživatelů účtů Microsoft, kteří se zaregistrovali a používají synchronizované klíče, jsme se naučili:

• 99% z uživatelů úspěšně zaregistruje synchronizované přístupové klíče
• Synchronizované klíče jsou 14krát rychlejší ve srovnání s kombinací hesla a tradičního vícefaktorového ověřování: 3 sekundy místo 69 sekund
• Uživatelé jsou 3x úspěšnější přihlášení pomocí synchronizovaného klíče než starší metody ověřování (95% vs 30%)
• Synchronizované klíče v Microsoft Entra ID přinášejí jednoduchost vícefaktorového ověřování ve velkém měřítku pro všechny podnikové uživatele. Jedná se o pohodlnou a nízkonákladovou alternativu k tradičním možnostem vícefaktorového ověřování, jako jsou sms a ověřovací aplikace.

Další informace o tom, jak nasadit klíče ve vaší organizaci, najdete v tématu Jak povolit synchronizované klíče.

Ověření identity ověřuje pravost poskytovatele klíče nebo zařízení během registrace. Při vynucení:

• Poskytuje kryptograficky ověřitelnou identitu zařízení prostřednictvím služby FIDO Metadata Service (MDS). Při vynucení attestace můžou závislé strany ověřit model authenticátoru a aplikovat zásady pro certifikovaná zařízení.
• Neotestované klíče, včetně synchronizovaných klíčů a neotestovaných klíčů vázaných na zařízení, neposkytují provenience zařízení.

V Microsoft Entra ID:

• Ověření identity je možné vynutit na úrovni profilu přístupového klíče.
• Pokud je povolená ověření identity, jsou povoleny pouze klíče vázané na zařízení; synchronizované klíče jsou vyloučené.

Zvolte správnou možnost přístupového klíče

Klíče zabezpečení FIDO2 se doporučují pro vysoce regulovaná odvětví nebo uživatele se zvýšenými oprávněními. Poskytují silné zabezpečení, ale můžou zvýšit náklady na vybavení, školení a podporu helpdesku – zejména v případě, že uživatelé ztratí své fyzické klíče a potřebují obnovení účtu. Klíče pro přístup v aplikaci Microsoft Authenticator jsou další možností pro tyto skupiny uživatelů.

Pro většinu uživatelů, kteří nejsou v prostředích s vysokou mírou regulace nebo nemají přístup k citlivým systémům, nabízejí synchronizované klíče pohodlnou a levnou alternativu k tradičnímu vícefaktorovému ověřování. Apple a Google implementovali pokročilou ochranu pro klíče uložené v jejich cloudech.

Bez ohledu na typ – vázané na zařízení nebo synchronizované – představují přístupové klíče významný posun v zabezpečení oproti metodám MFA, které mohou být napadeny phishingem.

Další podrobnosti najdete v tématu Začínáme s nasazením vícefaktorového ověřování odolného proti útokům phishing v Microsoft Entra ID.

Související obsah

• Povolení přístupových klíčů (FIDO2) v MICROSOFT Entra ID
• Povolení profilů přístupového klíče v ID Microsoft Entra
• Povolení synchronizovaných přístupových klíčů v MICROSOFT Entra ID
• Klíče v aplikaci Authenticator
• Požadavky na ověření identity