Metody ověřování v Microsoft Entra ID – heslové klíče (FIDO2)

Phishingové útoky na dálku jsou na vzestupu. Cílem těchto útoků je ukrást nebo předávat doklady identity, jako jsou hesla, kódy SMS nebo jednorázové heslo e-mailu, bez fyzického přístupu k zařízení uživatele. Útočníci často používají techniky sociálního inženýrství, získávání přihlašovacích údajů nebo snižování úrovně zabezpečení k obejití silnější ochrany, jako jsou klíče pro přístup nebo bezpečnostní klíče. Díky nástrojům pro útoky řízenými AI se tyto hrozby stávají sofistikovanějšími a škálovatelnými.

Přístupové klíče pomáhají zabránit vzdálenému phishingu nahrazením zneužitelných metod, jako jsou hesla, SMS a e-mailové kódy. Založeny na standardech FIDO (Fast Identity Online), přihlašovací klíče používají kryptografii veřejného klíče vázanou na původ, zajišťují, že přihlašovací údaje nelze přehrát ani sdílet s nebezpečnými aktéry.

Postaveny na interoperabilních standardech FIDO (Fast Identity Online) vyvinutých odborníky na zabezpečení v oboru. Používají kryptografii veřejného klíče vázaného na původ a vyžadují interakci místního uživatele. Tyto charakteristiky dohromady činí přístupové hesla téměř nemožné zneužít.

Privátní klíč je uložený na vašem zařízení a veřejný klíč se uloží s aplikací nebo webem, ke kterému se přihlašujete. K přihlášení jsou potřeba oba jedinečné klíče. Tato kombinace páru klíčů je jedinečná, takže klíč funguje jenom na webu nebo v aplikaci, pro kterou jste ji vytvořili.

Každý pokus o přihlášení vyžaduje, abyste byli přítomni a odemkli přístupový klíč na zařízení, které používáte pro přihlášení. Někdo vás nemůže oklamat, abyste se přihlásili na jiném zařízení, které řídí.

Kromě silnějšího zabezpečení nabízejí přístupové klíče (FIDO2) bezproblémové přihlašování tím, že eliminují hesla, snižují výzvy a umožňují rychlé a zabezpečené ověřování na všech zařízeních. Můžete je použít k přihlášení k Microsoft Entra ID nebo k zařízením s hybridním připojením Windows 11 a získat jednotné přihlašování ke cloudovým a místním prostředkům.

Co jsou přístupové klíče?

Klíče jsou přihlašovací údaje odolné proti útokům phishing, které poskytují silné ověřování a můžou sloužit jako metoda vícefaktorového ověřování (MFA) v kombinaci s biometrickými údaji zařízení nebo PIN kódem. Poskytují také odolnost proti zosobnění ověřovatele, což zajišťuje, že autentizátor uvolní tajné kódy pouze straně Relying Party (RP), u které byl klíč zaregistrován, a ne útočníkovi, který se vydává za RP. Přístupové klíče (FIDO2) se řídí standardy FIDO2 pomocí protokolu WebAuthn pro prohlížeče a CTAP pro komunikaci s ověřovacím programem.

Následující proces se používá, když se uživatel přihlásí k Microsoft Entra ID pomocí klíče (FIDO2):

  1. Uživatel zahájí přihlášení k Microsoft Entra ID.
  2. Uživatel vybere klíč:
    • Totéž zařízení (uloženo na zařízení)
    • Napříč zařízeními (prostřednictvím kódu QR) nebo klíč zabezpečení FIDO2
  3. Microsoft Entra ID pošle autentizátoru výzvu (nonce).
  4. Autentizátor lokalizuje dvojici klíčů pomocí hashovaného ID RP a ID přihlašovacích údajů.
  5. Uživatel provede biometrické gesto nebo gesto PIN k odemknutí privátního klíče.
  6. Autentizátor podepíše výzvu privátním klíčem a vrátí podpis.
  7. Microsoft Entra ID ověří podpis pomocí veřejného klíče a vydá token.

Typy přístupových klíčů

  • Klíče vázané na zařízení: Privátní klíč se vytvoří a uloží na jednom fyzickém zařízení a nikdy ho neopustí. Příklady:
    • Microsoft Authenticator
    • Klíče zabezpečení FIDO2
  • Synchronizované klíče: Privátní klíč je vytvořen modulem hardwarového zabezpečení (HSM) a zašifrován na místním zařízení. Tento šifrovaný klíč se pak synchronizuje a uloží ve zprostředkovateli cloudového klíče. Další zařízení ověřená pomocí zprostředkovatele klíče pak můžou použít klíč. To se může lišit v závislosti na poskytovateli. Synchronizované klíče nepodporují ověření identity. Příklady:

Synchronizované klíče nabízejí bezproblémové a pohodlné uživatelské prostředí, kde uživatelé můžou k ověření použít nativní mechanismus odemknutí zařízení, jako je obličej, otisk prstu nebo PIN kód. Na základě učení ze stovek milionů uživatelů Microsoft účtů, které se zaregistrovaly a používají synchronizované klíče, jsme se naučili:

  • 99% z uživatelů úspěšně zaregistruje synchronizované přístupové klíče
  • Synchronizované klíče jsou 14krát rychlejší ve srovnání s kombinací hesla a tradičního vícefaktorového ověřování: 3 sekundy místo 69 sekund
  • Uživatelé jsou 3x úspěšnější přihlášení pomocí synchronizovaného klíče než starší metody ověřování (95% vs 30%)
  • Synchronizované klíče v Microsoft Entra ID přinášejí jednoduchost vícefaktorového ověřování ve velkém měřítku pro všechny podnikové uživatele. Jedná se o pohodlnou a nízkonákladovou alternativu k tradičním možnostem vícefaktorového ověřování, jako jsou sms a ověřovací aplikace.

Další informace o tom, jak nasadit klíče ve vaší organizaci, najdete v tématu Jak povolit synchronizované klíče.

Ověření identity ověřuje pravost poskytovatele klíče nebo zařízení během registrace. Při vynucení:

  • Poskytuje kryptograficky ověřitelnou identitu zařízení prostřednictvím služby FIDO Metadata Service (MDS). Při vynucení attestace můžou závislé strany ověřit model authenticátoru a aplikovat zásady pro certifikovaná zařízení.
  • Neotestované klíče, včetně synchronizovaných klíčů a neotestovaných klíčů vázaných na zařízení, neposkytují provenience zařízení.

V Microsoft Entra ID:

  • Ověření identity je možné vynutit na úrovni profilu přístupového klíče.
  • Pokud je povolená ověření identity, jsou povoleny pouze klíče vázané na zařízení; synchronizované klíče jsou vyloučené.

Zvolte správnou možnost přístupového klíče

Klíče zabezpečení FIDO2 se doporučují pro vysoce regulovaná odvětví nebo uživatele se zvýšenými oprávněními. Poskytují silné zabezpečení, ale můžou zvýšit náklady na vybavení, školení a podporu helpdesku – zejména v případě, že uživatelé ztratí své fyzické klíče a potřebují obnovení účtu. Přístupové klíče v aplikaci Microsoft Authenticator představují další možnost pro tyto skupiny uživatelů.

Pro většinu uživatelů, kteří nejsou v prostředích s vysokou mírou regulace nebo nemají přístup k citlivým systémům, nabízejí synchronizované klíče pohodlnou a levnou alternativu k tradičnímu vícefaktorovému ověřování. Apple a Google implementovali pokročilou ochranu pro klíče uložené v jejich cloudech.

Bez ohledu na typ – vázané na zařízení nebo synchronizované – představují přístupové klíče významný posun v zabezpečení oproti metodám MFA, které mohou být napadeny phishingem.

Další podrobnosti najdete v tématu Začít s nasazením vícefaktorovým ověřováním odolným proti phishingu v Microsoft Entra ID.

Související obsah

  • Last updated on