遠端網路釣魚攻擊正在增加。 這些攻擊旨在竊取或轉發身份證明——例如密碼、簡訊碼或電子郵件一次性密碼——而無需實體存取使用者裝置。 攻擊者常利用社交工程、憑證收集或降級技術,繞過更強的防護措施,如通行金鑰或安全金鑰。 隨著 AI 驅動的攻擊工具包,這些威脅變得更複雜且具擴展性。
通行金鑰透過取代密碼、簡訊和電子郵件代碼等可釣魚方式,有助於防止遠端網路釣魚。 通行金鑰基於 FIDO(快速身份線上)標準,使用來源綁定的公開金鑰密碼學,確保憑證無法被重播或與惡意者共享。 除了更強的安全性外,通行金鑰(FIDO2)透過消除密碼、減少提示,並支援跨裝置快速且安全的認證,提供無阻礙的登入體驗。
通行金鑰(FIDO2)也可用於登入 Microsoft Entra ID 或 Microsoft Entra 混合加入的 Windows 11 裝置,並取得雲端及本地資源的單點登入。
什麼是通行金鑰?
通行金鑰是抗釣魚的憑證,能提供 強力認證 ,結合裝置生物識別或密碼後,可作為 多重身份驗證(MFA) 方法。 它們同時提供驗證者冒充抗性,確保驗證器只會將密碼註冊的信賴方(Relieing Party,RP)釋放秘密,而非冒充該 RP 的攻擊者。 通行金鑰(FIDO2)遵循 FIDO2 標準,瀏覽器使用 WebAuthn 與驗證器通訊 CTAP。
當使用者使用通行金鑰(FIDO2)登入 Microsoft Entra ID,會使用以程:
- 使用者會啟動對 Microsoft Entra ID 的登入。
- 使用者選擇通行金鑰:
- 同一個裝置(儲存在裝置上)
- 跨裝置(透過 QR 碼)或 FIDO2 安全金鑰
- Microsoft Entra ID 會向認證器發送一個挑戰(nonce)。
- 認證器會利用雜湊後的 RP ID 和憑證 ID 來定位金鑰對。
- 使用者需執行生物辨識或 PIN 手勢以解鎖私鑰。
- 驗證器會用私鑰簽署挑戰並回傳簽名。
- Microsoft Entra ID 會用公開金鑰驗證簽名並發出一個令牌。
通行金鑰的類型
-
裝置綁定通行金鑰:私鑰建立並儲存在單一實體裝置上,且不會離開該裝置。 例子:
- Microsoft Authenticator
- FIDO2 安全性金鑰
-
同步通行金鑰:私鑰儲存在通行金鑰提供者的雲端,並在登入同一通行金鑰提供者帳號的裝置間同步。 同步通行金鑰不支援認證。 例子:
- Apple iCloud 鑰匙圈
- Google 密碼管理器
同步通行金鑰提供無縫且便利的使用者體驗,使用者可使用裝置原生解鎖機制如臉部、指紋或密碼來驗證。 根據數億註冊並使用同步通行金鑰的 Microsoft 帳號消費者的經驗,我們了解到:
- 有 99 位% 用戶成功註冊同步通行金鑰
- 同步通行金鑰比 密碼和傳統多重驗證組合快 14 倍:3 秒而非 69 秒
- 使用者使用同步通行金鑰登入的成功率是傳統認證方法的三倍(95% 對 30%)。
- Microsoft Entra ID 中的同步通行金鑰為所有企業用戶帶來大規模的 MFA 簡便性。 它們是傳統多重驗證選項(如簡訊和驗證器應用程式)的方便且低成本的替代方案。
欲了解更多如何在組織中部署通行金鑰的資訊,請參閱 如何啟用同步通行金鑰。
認證 是在註冊時驗證通行金鑰提供者或裝置的真實性。 執行時:
- 它透過 FIDO 元資料服務(MDS)提供可加密驗證的裝置身份。 當認證被強制執行時,依賴方可以驗證認證器模型,並為認證裝置套用政策決策。
- 未經驗證的通行金鑰,包括同步通行金鑰和未經驗證的裝置綁定通行金鑰,無法提供裝置來源。
在 Microsoft Entra ID 中:
- 認證可在 通行金鑰設定檔 層級強制執行。
- 若啟用認證,則僅允許裝置綁定通行金鑰;不包含同步通行金鑰。
選擇正確的通行金鑰選項
FIDO2 安全金鑰建議高度監管的產業或擁有較高權限的使用者使用。 它們提供強大的安全性,但可能會增加設備、訓練和客服支援的成本——尤其當使用者遺失實體金鑰並需要帳號恢復時。 Microsoft Authenticator 應用程式中的通行金鑰是這些使用者群組的另一種選項。
對於大多數使用者——即在高度管制環境外或無法接觸敏感系統的人——同步通行金鑰 提供了一種方便且低成本的傳統多重驗證替代方案。 蘋果和谷歌已對雲端儲存的通行金鑰實施了進階保護措施。
無論通行金鑰類型為裝置綁定還是同步,皆為可釣魚多重驗證(MFA)的重大安全升級。
更多細節請參閱「 開始在 Microsoft Entra ID 中部署防釣魚多重驗證」。