Методы проверки подлинности в идентификаторе Microsoft Entra — секретные ключи (FIDO2)

Удаленные фишинговые атаки нарастают. Эти атаки нацелены на кражу или ретрансляцию доказательств идентификации, таких как пароли, коды SMS или одноразовые секретные коды электронной почты без физического доступа к устройству пользователя. Злоумышленники часто используют социальные инженерии, сбор учетных данных или методы понижения уровня для обхода более надежных средств защиты, таких как ключи доступа или ключи безопасности. Благодаря наборам средств на основе искусственного интеллекта эти угрозы становятся более сложными и масштабируемыми.

Секретные ключи помогают предотвратить удаленный фишинг путем замены фишинговых методов, таких как пароли, SMS и коды электронной почты. Созданные на основе стандартов FIDO (Fast Identity Online), секретные ключи используют криптографию шифрования с привязкой к источнику открытого ключа, гарантируя, что учетные данные не могут воспроизводиться или предоставляться злоумышленникам. Помимо более надежной безопасности, секретные ключи (FIDO2) обеспечивают бесплотный вход, устраняя пароли, уменьшая запросы и обеспечивая быструю безопасную проверку подлинности на разных устройствах.

Ключи доступа (FIDO2) также можно использовать для входа в идентификатор Microsoft Entra или гибридные устройства Windows 11, присоединенные к Microsoft Entra, и получить единый вход в облачные и локальные ресурсы.

Что такое секретные ключи?

Секретные ключи — это фишинговые учетные данные, которые обеспечивают надежную проверку подлинности и могут служить методом многофакторной проверки подлинности (MFA) при сочетании с биометрическими данными устройства или ПИН-кодом. Они также обеспечивают сопротивление олицетворения проверяющего, что гарантирует, что аутентификатор освобождает только секреты для проверяющей стороны (RP), ключ доступа зарегистрирован в и не злоумышленник, притворяющийся этим RP. Секретные ключи (FIDO2) соответствуют стандартам FIDO2, используя WebAuthn для браузеров и CTAP для проверки подлинности.

Следующий процесс используется при входе пользователя в идентификатор Microsoft Entra с помощью ключа доступа (FIDO2):

1. Пользователь инициирует вход в идентификатор Microsoft Entra.
2. Пользователь выбирает секретный ключ:
   • То же самое устройство (сохраненное на устройстве)
   • Перекрестное устройство (через QR-код) или ключ безопасности FIDO2
3. Идентификатор Microsoft Entra отправляет вызов (nonce) в средство проверки подлинности.
4. Средство проверки подлинности находит пару ключей с помощью хэшированного идентификатора RP и идентификатора учетных данных.
5. Пользователь выполняет биометрический или ПИН-жест для разблокировки закрытого ключа.
6. Средство проверки подлинности подписывает вызов с закрытым ключом и возвращает подпись.
7. Идентификатор Microsoft Entra проверяет подпись с помощью открытого ключа и выдает маркер.

Типы секретных ключей

• Ключи доступа, привязанные к устройству: закрытый ключ создается и хранится на одном физическом устройстве и никогда не покидает его. Примеры:
  • Microsoft Authenticator
  • Ключи безопасности FIDO2
• Синхронизированные секретные ключи: закрытый ключ хранится в облаке поставщика доступа и синхронизируется на разных устройствах, вошедшего в ту же учетную запись поставщика доступа. Синхронизированные ключи доступа не поддерживают аттестацию. Примеры:
  • Цепочка ключей Apple iCloud
  • Google Password Manager

Синхронизированные секретные ключи обеспечивают простой и удобный пользовательский интерфейс, где пользователи могут использовать собственный механизм разблокировки устройства, например лицо, отпечатки пальцев или ПИН-код для проверки подлинности. На основе обучения сотен миллионов пользователей потребителей учетных записей Майкрософт, зарегистрированных и использующих синхронизированные секретные ключи, мы узнали:

• 99% пользователей успешно регистрируют синхронизированные ключи доступа
• Синхронизированные секретные ключи быстрее по сравнению с паролем и традиционным сочетанием MFA: 3 секунды вместо 69 секунд
• Пользователи имеют более 3x успешный вход с синхронизированным секретным ключом, чем устаревшие методы проверки подлинности (95% и 30%)
• Синхронизированные ключи доступа в идентификаторе Microsoft Entra позволяют упростить MFA для всех корпоративных пользователей. Это удобная и низкая стоимость, альтернатива традиционным вариантам MFA, таким как приложения SMS и authenticator.

Дополнительные сведения о развертывании секретных ключей в организации см. в статье "Включение синхронизированных ключей доступа".

Аттестация проверяет подлинность поставщика доступа или устройства во время регистрации. При применении:

• Он предоставляет криптографически проверяемое удостоверение устройства через службу метаданных FIDO (MDS). При применении аттестации проверяющие стороны могут проверить модель аутентификатора и применить решения политики для сертифицированных устройств.
• Автоматические ключи доступа, включая синхронизированные секретные ключи и неподтестные ключи доступа с привязкой к устройству, не предоставляют прованса устройства.

В идентификаторе Microsoft Entra:

• Аттестация может быть применена на уровне профиля секретного ключа .
• Если аттестация включена, разрешены только ключи доступа, привязанные к устройству; синхронизированные секретные ключи исключаются.

Выбор правильного параметра passkey

Ключи безопасности FIDO2 рекомендуются для строго регулируемых отраслей или пользователей с повышенными привилегиями. Они обеспечивают надежную безопасность, но могут увеличить затраты на оборудование, обучение и поддержку службы поддержки, особенно если пользователи теряют свои физические ключи и нуждаются в восстановлении учетной записи. Секретные ключи в приложении Microsoft Authenticator — это еще один вариант для этих групп пользователей.

Для большинства пользователей , которые находятся вне строго регулируемых сред или без доступа к конфиденциальным системам, синхронизированные ключи доступа предлагают удобную, низкую стоимость традиционной MFA. Apple и Google реализовали расширенную защиту для секретных ключей, хранящихся в своих облаках.

Независимо от типа — привязанных к устройству или синхронизированных ключей— секретные ключи представляют собой значительное обновление безопасности по сравнению с фишинговыми методами MFA.

Дополнительные сведения см. в статье "Начало работы с фишинговым развертыванием MFA" в идентификаторе Microsoft Entra ID.

Связанный контент

• Включение секретных ключей (FIDO2) в идентификаторе Microsoft Entra
• Включение профилей доступа в идентификаторе Microsoft Entra
• Включение синхронизированных секретных ключей в идентификаторе Microsoft Entra
• Ключи доступа в приложении Authenticator
• Требования к аттестации