Autentiseringsmetoder i Microsoft Entra-ID – nyckelnycklar (FIDO2)

Fjärrfiskeattacker ökar. Dessa attacker syftar till att stjäla eller vidarebefordra identitetsbevis – till exempel lösenord, SMS-koder eller engångslösenord för e-post – utan fysisk åtkomst till användarens enhet. Angripare använder ofta tekniker för social teknik, autentiseringsuppgifter eller nedgradering för att kringgå starkare skydd som nyckelnycklar eller säkerhetsnycklar. Med AI-drivna attackverktyg blir dessa hot mer avancerade och skalbara.

Nycklar hjälper till att förhindra fjärrfiske genom att ersätta nätfiskemetoder som lösenord, SMS och e-postkoder. Nyckelnycklar bygger på FIDO-standarder (Fast Identity Online) och använder kryptografi med ursprungsbunden offentlig nyckel, vilket säkerställer att autentiseringsuppgifter inte kan spelas upp eller delas med skadliga aktörer. Förutom starkare säkerhet erbjuder nyckelnycklar (FIDO2) en friktionsfri inloggningsupplevelse genom att eliminera lösenord, minska antalet frågor och aktivera snabb och säker autentisering mellan enheter.

Lösenord (FIDO2) kan också användas för att logga in på Microsoft Entra-ID eller Microsoft Entra-hybridanslutna Windows 11-enheter och få enkel inloggning till molnresurser och lokala resurser.

Vad är nycklar?

Nycklar är nätfiskeresistenta autentiseringsuppgifter som ger stark autentisering och kan fungera som en MFA-metod (multifaktorautentisering) i kombination med enhetens biometri eller PIN-kod. De tillhandahåller också personifieringsmotstånd för verifierare, vilket säkerställer att en autentisering endast släpper hemligheter till den förlitande parten (RP) som nyckeln registrerades med och inte en angripare som låtsas vara den RP. Nycklar (FIDO2) följer FIDO2-standarder med hjälp av WebAuthn för webbläsare och CTAP för autentiseringskommunikation.

Följande process används när en användare loggar in på Microsoft Entra-ID med en nyckel (FIDO2):

1. Användaren initierar inloggning till Microsoft Entra-ID.
2. Användaren väljer en nyckel:
   • Samma enhet (lagras på enheten)
   • Flera enheter (via QR-kod) eller en FIDO2-säkerhetsnyckel
3. Microsoft Entra-ID skickar en utmaning (nonce) till autentiseringen.
4. Autentiseringen letar upp nyckelparet med hash-RP-ID och autentiserings-ID.
5. Användaren utför en biometrisk eller PIN-gest för att låsa upp den privata nyckeln.
6. Autentiseringen signerar utmaningen med den privata nyckeln och returnerar signaturen.
7. Microsoft Entra-ID verifierar signaturen med hjälp av den offentliga nyckeln och utfärdar en token.

Typer av nyckel

• Enhetsbundna nycklar: Den privata nyckeln skapas och lagras på en enda fysisk enhet och lämnar den aldrig. Examples:
  • Microsoft Authenticator
  • FIDO2-säkerhetsnycklar
• Synkroniserade nycklar: Den privata nyckeln lagras i en nyckelleverantörs moln och synkroniseras mellan enheter som är inloggade på samma nyckelleverantörskonto. Synkroniserade nyckelnycklar stöder inte attestering. Examples:
  • Apple iCloud-nyckelring
  • Google Password Manager

Synkroniserade nycklar ger en smidig och bekväm användarupplevelse där användarna kan använda en enhets inbyggda upplåsningsmekanism som ansiktsigenkänning, fingeravtryck eller PIN-kod för att autentisera. Baserat på lärdomarna från hundratals miljoner konsumentanvändare av Microsoft-konton som har registrerat och använder synkroniserade nyckelnycklar har vi lärt oss:

• 99% användare registrerar synkroniserade nycklar
• Synkroniserade nycklar är 14 gånger snabbare jämfört med lösenord och en traditionell MFA-kombination: 3 sekunder i stället för 69 sekunder
• Användare är 3 gånger mer framgångsrika med inloggning med synkroniserad nyckel än äldre autentiseringsmetoder (95% jämfört med 30%)
• Synkroniserade nyckelnycklar i Microsoft Entra-ID gör MFA enklare i stor skala för alla företagsanvändare. De är ett bekvämt och billigt alternativ till traditionella MFA-alternativ som SMS- och autentiseringsappar.

Mer information om hur du distribuerar nyckelnycklar i din organisation finns i Så här aktiverar du synkroniserade nyckelnycklar.

Attesteringen verifierar nyckelleverantörens eller enhetens äkthet under registreringen. Vid framtvingande:

• Den tillhandahåller kryptografiskt verifierbar enhetsidentitet via FIDO Metadata Service (MDS). När attesteringen tillämpas kan förlitande parter verifiera autentiseringsmodellen och tillämpa principbeslut för certifierade enheter.
• Otestade nyckelnycklar, inklusive synkroniserade nyckelnycklar och otestade enhetsbundna nyckelnycklar, tillhandahåller inte enhetens proveniens.

I Microsoft Entra-ID:

• Attestering kan framtvingas på nyckelprofilnivå .
• Om attestering är aktiverat tillåts endast enhetsbundna nyckelnycklar. synkroniserade nyckelnycklar undantas.

Välj rätt nyckelalternativ

FIDO2-säkerhetsnycklar rekommenderas för strikt reglerade branscher eller användare med utökade privilegier. De ger stark säkerhet, men kan öka kostnaderna för utrustning, utbildning och support – särskilt när användarna förlorar sina fysiska nycklar och behöver kontoåterställning. Nyckelnycklar i Microsoft Authenticator-appen är ett annat alternativ för dessa användargrupper.

För de flesta användare – de utanför strikt reglerade miljöer eller utan åtkomst till känsliga system – erbjuder synkroniserade nyckelnycklar ett bekvämt och billigt alternativ till traditionell MFA. Apple och Google har implementerat avancerade skydd för nyckelnycklar som lagras i deras moln.

Oavsett typ – enhetsbundna eller synkroniserade – representerar nyckelnycklar en betydande säkerhetsuppgradering över nätbara MFA-metoder.

Mer information finns i Komma igång med nätfiskeresistent MFA-distribution i Microsoft Entra-ID.

Relaterat innehåll

• Aktivera lösenord (FIDO2) i Microsoft Entra-ID
• Aktivera nyckelprofiler i Microsoft Entra-ID
• Aktivera synkroniserade nycklar i Microsoft Entra-ID
• Nyckelnycklar i Authenticator-appen
• Attesteringskrav