远程网络钓鱼攻击正在上升。 这些攻击旨在窃取或中继身份证明(例如密码、短信代码或电子邮件一次性密码),而无需对用户设备进行物理访问。 攻击者通常使用社交工程、凭据收获或降级技术来绕过更强大的保护,例如密钥或安全密钥。 借助 AI 驱动的攻击工具包,这些威胁变得越来越复杂且可缩放。
Passkeys 通过替换密码、短信和电子邮件验证码等可钓鱼的方法,帮助防止远程钓鱼。 基于 FIDO(Fast Identity Online)标准,密码使用源绑定公钥加密,确保无法与恶意参与者重播或共享凭据。 除了增强安全性之外,通行密钥(FIDO2)还通过消除密码、减少提示以及快速安全地进行跨设备认证,提供无摩擦的登录体验。
Passkeys (FIDO2) 还可用于登录到 Microsoft Entra ID 或 Microsoft Entra 混合联接的 Windows 11 设备,并获取云和本地资源的单一登录。
什么是密钥?
密码是防钓鱼凭据,可提供 强身份验证 ,可与设备生物识别或 PIN 结合使用时充当 多重身份验证(MFA) 方法。 他们还提供验证方冒充抵抗,这确保验证器仅向当时注册密钥的信赖方(RP)发布机密,而不是发布给假装成该 RP 的攻击者。 Passkeys (FIDO2) 遵循 FIDO2 标准,将 WebAuthn 用于浏览器,将 CTAP 用于验证器通信。
当用户使用密钥(FIDO2)登录到 Microsoft Entra ID 时,将使用以下过程:
- 用户启动Microsoft Entra ID 的登录。
- 用户选择一个密钥:
- 同一设备(存储在设备上)
- 跨设备(通过 QR 码)或 FIDO2 安全密钥
- Microsoft Entra ID 向验证器发送一个挑战(nonce)。
- 验证器使用哈希的 RP ID 和凭据 ID 查找密钥对。
- 用户执行生物识别或 PIN 手势来解锁私钥。
- 验证器使用私钥对质询进行签名并返回签名。
- Microsoft Entra ID 使用公钥验证签名并颁发令牌。
密码类型
-
设备绑定的密钥:私钥创建并存储在单个物理设备上,永远不会离开它。 例子:
- Microsoft Authenticator
- FIDO2 安全密钥
-
同步的密钥:私钥存储在密钥提供商的云中,并在登录到同一密钥提供程序帐户的设备之间同步。 同步的密钥不支持证明。 例子:
- Apple iCloud 密钥链
- Google 密码管理器
同步的密钥提供无缝便捷的用户体验,用户可以使用设备的本机解锁机制(例如人脸、指纹或 PIN)进行身份验证。 根据数亿已注册并使用同步密钥的Microsoft账户消费用户的经验,我们了解到:
- 99% 用户成功注册同步的密钥
- 与密码和传统的 MFA 组合相比,同步的密钥快 14 倍:3 秒而不是 69 秒
- 与 旧式身份验证方法相比,用户使用同步的密钥成功登录比旧式身份验证方法成功 3 倍(95% 与 30%)
- Microsoft Entra ID 中同步的密钥为所有企业用户带来大规模 MFA 的简单性。 它们是传统 MFA 选项(如短信和验证器应用)的便捷低成本替代方法。
有关如何在组织中部署密钥的详细信息,请参阅 如何启用同步的密钥。
证明 会在注册期间验证密钥提供程序或设备的真实性。 强制实施时:
- 它通过 FIDO 元数据服务(MDS)提供加密可验证的设备标识。 强制执行证明后,信赖方可以验证验证器模型,并为认证设备应用策略决策。
- 未认证的密钥(包括已同步的密钥和未认证设备绑定的密钥)不提供设备来源信息。
在Microsoft Entra ID 中:
- 可以在 passkey 配置文件 级别实施强制认证。
- 如果启用了证明,则仅允许设备绑定的密钥;已同步的密钥将被排除。
选择正确的密钥选项
对于具有提升权限的受监管行业或用户,建议使用 FIDO2 安全密钥。 它们提供强大的安全性,但可能会增加设备、培训和支持人员支持的成本,尤其是在用户失去物理密钥和需要帐户恢复时。 Microsoft Authenticator 应用中的密钥是这些用户组的另一个选项。
对于大多数用户—那些不在高度监管环境之外或无法访问敏感系统的用户,同步的通行密钥 提供了一种方便、低成本的传统 MFA 替代方法。 Apple 和 Google 已经对其云中存储的密钥实施了高级保护。
无论类型如何(设备绑定或同步),通行密钥比可被钓鱼的多因素认证(MFA)方法提供了显著的安全升级。
有关详细信息,请参阅 Microsoft Entra ID 中的防钓鱼 MFA 部署入门。