Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Удаленные фишинговые атаки нарастают. Эти атаки нацелены на кражу или ретрансляцию доказательств идентификации, таких как пароли, коды SMS или одноразовые секретные коды электронной почты без физического доступа к устройству пользователя. Злоумышленники часто используют социальные инженерии, сбор учетных данных или методы понижения уровня для обхода более надежных средств защиты, таких как ключи доступа или ключи безопасности. Благодаря наборам средств на основе искусственного интеллекта эти угрозы становятся более сложными и масштабируемыми.
Секретные ключи помогают предотвратить удаленный фишинг путем замены фишинговых методов, таких как пароли, SMS и коды электронной почты. Созданные на основе стандартов FIDO (Fast Identity Online), секретные ключи используют криптографию шифрования с привязкой к источнику открытого ключа, гарантируя, что учетные данные не могут воспроизводиться или предоставляться злоумышленникам.
Основан на интероперабельных стандартах FIDO (Fast Identity Online), разработанных отраслевыми экспертами по безопасности. Они используют криптографию с открытым ключом, привязанным к источнику, и требуют локального взаимодействия с пользователем. Вместе эти характеристики делают ключи доступа практически неуязвимыми для фишинга.
Закрытый ключ хранится на устройстве, а открытый ключ хранится с приложением или веб-сайтом, в который вы входите. Для входа требуются оба уникальных ключа. Эта комбинация пар ключей уникальна, поэтому ключ доступа работает только на веб-сайте или в созданном приложении.
Для каждой попытки входа требуется ваше физическое присутствие, чтобы разблокировать ключ доступа на устройстве, которое используется для входа. Кто-то не может обмануть вас войти на другое устройство, которое они контролируют.
Помимо более надежной безопасности, секретные ключи (FIDO2) обеспечивают беспрепятственный вход, устраняя пароли, уменьшая количество запросов и обеспечивая быструю и безопасную проверку подлинности на разных устройствах. Вы можете использовать их для входа в Microsoft Entra ID или гибридные устройства Windows 11, присоединенные к Microsoft Entra, и получения единого входа в систему для облачных и локальных ресурсов.
Что такое ключи доступа?
Секретные ключи — это фишинговые учетные данные, которые обеспечивают надежную проверку подлинности и могут служить методом многофакторной проверки подлинности (MFA) при сочетании с биометрическими данными устройства или ПИН-кодом. Они также обеспечивают устойчивость к подделке проверяющего, что гарантирует, что аутентификатор освобождает секреты только для той проверяющей стороны (RP), с которой был зарегистрирован ключ доступа, а не злоумышленнику, который выдает себя за эту RP. Секретные ключи (FIDO2) соответствуют стандартам FIDO2, используя WebAuthn для браузеров и CTAP для проверки подлинности.
Следующий процесс используется при входе пользователя в Microsoft Entra ID с помощью ключа доступа (FIDO2):
- Пользователь инициирует вход в Microsoft Entra ID.
- Пользователь выбирает секретный ключ:
- То же самое устройство (сохраненное на устройстве)
- Кросс-устройство (с использованием QR-кода) или ключ безопасности FIDO2
- Microsoft Entra ID отправляет вызов (nonce) в средство проверки подлинности.
- Средство проверки подлинности находит пару ключей с помощью хэшированного идентификатора RP и идентификатора учетных данных.
- Пользователь выполняет биометрический или ПИН-жест для разблокировки закрытого ключа.
- Средство проверки подлинности подписывает вызов с закрытым ключом и возвращает подпись.
- Microsoft Entra ID проверяет подпись с помощью открытого ключа и выдает маркер.
Типы секретных ключей
-
Ключи доступа, привязанные к устройству: закрытый ключ создается и хранится на одном физическом устройстве и никогда не покидает его. Примеры:
- Microsoft Authenticator
- Ключи безопасности FIDO2
- Синхронизированные секретные ключи: закрытый ключ создается аппаратным модулем безопасности (HSM) и шифруется на локальном устройстве. Затем этот зашифрованный ключ синхронизируется и хранится в поставщике доступа облака. Другие устройства, прошедшие проверку подлинности с помощью поставщика секретных ключей, могут использовать ключ доступа. Это может отличаться в зависимости от поставщика. Синхронизированные ключи доступа не поддерживают аттестацию. Примеры:
Синхронизированные секретные ключи обеспечивают простой и удобный пользовательский интерфейс, где пользователи могут использовать собственный механизм разблокировки устройства, например лицо, отпечатки пальцев или ПИН-код для проверки подлинности. На основе изучения сотен миллионов пользователей потребителей учетных записей Microsoft, зарегистрированных и использующих синхронизированные секретные ключи, мы узнали:
- 99% пользователей успешно регистрируют синхронизированные ключи доступа
- Синхронизированные пасс-коды в 14 раз быстрее по сравнению с паролем и традиционным методом двухфакторной аутентификации (MFA): 3 секунды, а не 69.
- Пользователи имеют более 3x успешный вход с синхронизированным секретным ключом, чем устаревшие методы проверки подлинности (95% и 30%)
- Синхронизированные ключи доступа в Microsoft Entra ID позволяют упростить многофакторную проверку подлинности для всех корпоративных пользователей. Это удобная и недорогая альтернатива традиционным вариантам MFA, таким как СМС и приложения-аутентификаторы.
Дополнительные сведения о развертывании ключей доступа в вашей организации см. в разделе «Как включить синхронизированные ключи доступа».
Удостоверение проверяет подлинность поставщика ключей доступа или устройства во время регистрации. При применении:
- Он предоставляет криптографически проверяемое удостоверение устройства через службу метаданных FIDO (MDS). При применении аттестации проверяющие стороны могут проверить модель аутентификатора и применить решения политики для сертифицированных устройств.
- Неподтверждённые ключи доступа, включая синхронизированные ключи доступа и неподтверждённые ключи доступа с привязкой к устройству, не предоставляют происхождения устройства.
В Microsoft Entra ID:
- Аттестация может быть применена на уровне профиля пароля.
- Если аттестация включена, разрешены только ключи доступа, привязанные к устройству; синхронизированные секретные ключи исключаются.
Выберите правильный параметр ключа доступа
Ключи безопасности FIDO2 рекомендуются для строго регулируемых отраслей или пользователей с повышенными привилегиями. Они обеспечивают надежную безопасность, но могут увеличить затраты на оборудование, обучение и поддержку службы поддержки, особенно если пользователи теряют свои физические ключи и нуждаются в восстановлении учетной записи. Секретные ключи в приложении Microsoft Authenticator — это еще один вариант для этих групп пользователей.
Для большинства пользователей, находящихся вне строго регулируемых сред или не имеющих доступа к конфиденциальным системам, синхронизированные ключи доступа предлагают удобную и недорогую альтернативу традиционной многофакторной аутентификации. Apple и Google реализовали расширенную защиту для секретных ключей, хранящихся в своих облаках.
Независимо от типа — привязанных к устройству или синхронизированных ключей— секретные ключи представляют собой значительное обновление безопасности по сравнению с фишинговыми методами MFA.
Для получения дополнительных сведений см. раздел Начало работы с развертыванием MFA, устойчивого к фишинговым атакам, в Microsoft Entra ID.
Связанный контент
- Включение ключей доступа (FIDO2) в Microsoft Entra ID
- Включить профили ключей доступа в Microsoft Entra ID
- Включить синхронизированные ключи в Microsoft Entra ID
- Ключи доступа в приложении Authenticator
- Требования к аттестации