Metode autentikasi dalam Microsoft Entra ID - kunci sandi (FIDO2)

Serangan pengelabuan jarak jauh sedang meningkat. Serangan ini bertujuan untuk mencuri atau menyampaikan bukti identitas—seperti kata sandi, kode SMS, atau kode akses satu kali email—tanpa akses fisik ke perangkat pengguna. Penyerang sering menggunakan teknik rekayasa sosial, panen kredensial, atau menurunkan tingkat teknik untuk melewati perlindungan yang lebih kuat seperti kunci sandi atau kunci keamanan. Dengan toolkit serangan berbasis AI, ancaman ini menjadi lebih canggih dan dapat diskalakan.

Kunci akses membantu mencegah serangan phishing jarak jauh dengan mengganti metode yang mudah di-phishing seperti kata sandi, SMS, dan kode verifikasi email. Dibangun berdasarkan standar FIDO (Fast Identity Online), kode akses menggunakan kriptografi kunci publik yang terikat asal, memastikan kredensial tidak dapat diputar ulang atau dibagikan dengan aktor jahat.

Dibangun berdasarkan standar FIDO (Fast Identity Online) yang dapat dioperasikan yang dikembangkan oleh pakar keamanan industri. Mereka menggunakan kriptografi kunci publik yang terikat asal dan memerlukan interaksi pengguna lokal. Secara keseluruhan, karakteristik ini membuat kunci akses hampir tidak mungkin untuk diphishing.

Kunci privat disimpan di perangkat Anda dan kunci publik disimpan dengan aplikasi atau situs web yang Anda masuki. Kedua kunci unik diperlukan untuk masuk. Kombinasi pasangan kunci ini unik, sehingga kode akses Anda hanya berfungsi di situs web atau aplikasi tempat Anda membuatnya.

Setiap upaya masuk mengharuskan Anda hadir untuk membuka kata sandi pada perangkat yang Anda gunakan untuk masuk. Seseorang tidak dapat mengelabui Anda untuk masuk di perangkat lain yang mereka kontrol.

Selain keamanan yang lebih kuat, passkeys (FIDO2) menawarkan pengalaman masuk tanpa gesekan dengan menghilangkan kata sandi, mengurangi prompt, dan mengaktifkan autentikasi yang cepat dan aman di seluruh perangkat. Anda dapat menggunakannya untuk masuk ke Microsoft Entra ID atau perangkat Windows 11 yang terhubung melalui hybrid Microsoft Entra, dan mendapatkan fitur single-sign on ke sumber daya cloud dan di tempat.

Apa itu kode akses?

Kode akses adalah kredensial tahan phishing yang memberikan autentikasi yang kuat dan dapat berfungsi sebagai metode autentikasi multifaktor (MFA) ketika dikombinasikan dengan biometrik perangkat atau PIN. Mereka juga memberikan ketahanan terhadap peniruan verifier, yang memastikan autentikator hanya mengungkapkan rahasia ke Pihak Yang Mengandalkan (RP) yang terdaftar bersama dan bukan kepada penyerang yang menyamar sebagai RP. Passkeys (FIDO2) mengikuti standar FIDO2, menggunakan WebAuthn untuk browser dan CTAP untuk komunikasi pengautentikasi.

Proses berikut digunakan saat pengguna masuk ke Microsoft Entra ID dengan kode akses (FIDO2):

1. Pengguna memulai masuk ke Microsoft Entra ID.
2. Pengguna memilih kode akses:
   • Perangkat yang sama (disimpan di perangkat)
   • Lintas perangkat (melalui kode QR) atau kunci keamanan FIDO2
3. Microsoft Entra ID mengirimkan tantangan (nonce) ke pengautentikasi.
4. Pengautentikasi menemukan pasangan kunci menggunakan ID RP dan ID kredensial yang di-hash.
5. Pengguna melakukan gerakan biometrik atau PIN untuk membuka kunci privat.
6. Pengautentikasi menandatangani tantangan dengan kunci privat dan mengembalikan tanda tangan.
7. Microsoft Entra ID memverifikasi tanda tangan menggunakan kunci umum dan mengeluarkan token.

Jenis kode akses

• Kode akses yang terikat dengan perangkat: Kunci privat dibuat dan disimpan pada satu perangkat fisik dan tidak pernah keluar dari perangkat tersebut. Contoh:
  • Microsoft Authenticator
  • Kunci keamanan Fido2
• Kode akses yang disinkronkan: Kunci privat dibuat oleh modul keamanan perangkat keras (HSM) dan dienkripsi pada perangkat lokal. Kunci terenkripsi ini kemudian disinkronkan dan disimpan di penyedia kode akses cloud. Perangkat lain yang diautentikasi dengan penyedia kode akses kemudian dapat menggunakan kode akses. Ini mungkin berbeda tergantung pada penyedia. Kode akses yang disinkronkan tidak mendukung pengesahan. Contoh:
  • Rantai Kunci Apple iCloud
  • Pengelola Kata Sandi Google

Kode akses yang disinkronkan menawarkan pengalaman pengguna yang mulus dan nyaman di mana pengguna dapat menggunakan mekanisme buka kunci asli perangkat seperti wajah, sidik jari, atau PIN untuk mengautentikasi. Berdasarkan pembelajaran dari ratusan juta pengguna konsumen akun Microsoft yang telah mendaftar dan menggunakan kode akses yang disinkronkan, kami telah mempelajari:

• 99% pengguna berhasil mendaftarkan kode akses yang disinkronkan
• Kode akses yang disinkronkan 14x lebih cepat dibandingkan dengan kata sandi dan kombinasi MFA tradisional: 3 detik alih-alih 69 detik
• Pengguna adalah 3x lebih berhasil masuk dengan kode akses yang disinkronkan daripada metode autentikasi warisan (95% vs 30%)
• Kode akses yang disinkronkan di Microsoft Entra ID membawa kesederhanaan MFA dalam skala besar untuk semua pengguna perusahaan. Ini adalah alternatif yang nyaman dan murah untuk opsi MFA tradisional seperti aplikasi SMS dan pengautentikasi.

Untuk informasi selengkapnya tentang cara menyebarkan kode akses di organisasi Anda, lihat Cara mengaktifkan kode akses yang disinkronkan.

Pengesahan memverifikasi keaslian penyedia kode akses atau perangkat selama pendaftaran. Ketika diberlakukan:

• Ini menyediakan identitas perangkat yang dapat diverifikasi secara kriptografis melalui FIDO Metadata Service (MDS). Ketika pengesahan diberlakukan, pihak yang mengandalkan dapat memvalidasi model pengautentikasi dan menerapkan keputusan kebijakan untuk perangkat bersertifikat.
• Kunci akses yang tidak terverifikasi, termasuk kunci akses yang disinkronkan dan kunci akses terikat perangkat yang tidak terverifikasi, tidak memberikan informasi asal perangkat.

Dalam Microsoft Entra ID:

• Pengesahan dapat diberlakukan di tingkat profil kode akses .
• Jika pengesahan diaktifkan, hanya kode akses terikat perangkat yang diizinkan; kode akses yang disinkronkan dikecualikan.

Pilih opsi kode akses yang tepat

Kunci keamanan FIDO2 direkomendasikan untuk industri atau pengguna yang sangat diatur dengan hak istimewa yang ditingkatkan. Mereka memberikan keamanan yang kuat, tetapi dapat meningkatkan biaya untuk peralatan, pelatihan, dan dukungan helpdesk—terutama ketika pengguna kehilangan kunci fisik mereka dan membutuhkan pemulihan akun. Kode akses di aplikasi Microsoft Authenticator adalah opsi lain untuk grup pengguna ini.

Bagi sebagian besar pengguna—mereka yang berada di luar lingkungan yang sangat teregulasi atau tanpa akses ke sistem sensitif—kode akses yang disinkronkan menawarkan alternatif yang nyaman dengan biaya rendah untuk MFA tradisional. Apple dan Google telah menerapkan perlindungan lanjutan untuk kode akses yang disimpan di cloud mereka.

Terlepas dari jenisnya—terikat perangkat atau disinkronkan—passkey mewakili peningkatan keamanan yang signifikan dibandingkan dengan metode MFA yang rentan terhadap phishing.

Untuk detail selengkapnya, lihat Mulai dengan penyebaran MFA tahan phishing di Microsoft Entra ID.

Konten terkait

• Aktifkan kunci sandi (FIDO2) di Microsoft Entra ID
• Aktifkan profil kunci sandi di Microsoft Entra ID
• Aksinkronkan kunci sandi yang dapat disinkronkan di Microsoft Entra ID
• Kode akses di Aplikasi Authenticator
• Persyaratan pengesahan