Spannende neue Funktionalität: FIDO2 für Windows Credential Provider
Spannende neue Funktionalität: FIDO2 für Windows Credential Provider
OpenOTP Security Suite ist 100% FIDO2-kompatibel. Das bedeutet, dass Sie sich mit FIDO2-fähigen USB-Schlüsseln oder -Geräten bei Ihrem Windows-Computer anmelden können, wie Sie es zuvor mit FIDO U2F-Schlüsseln getan haben.
Was ist FIDO2?
FIDO2 ermöglicht Benutzern die einfache authentifizieren zu den Online-Diensten in mobilen und Desktop-Umgebungen.
FIDO2 ist der Nachfolger der bisherigen Authentifizierungsstandards FIDO UAF und FIDO U2F.
Vorteile der Verwendung von FIDO2 für die Multi-Faktor-Authentifizierung
1. Authentifizierung mehrerer Systeme mit einem Gerät
Sie haben die Möglichkeit, Webanwendungen sowie Desktop-Anmeldungen über Multi-Faktor-Authentifizierung zu sichern.
2. Höhere Sicherheit
FIDO2 bietet eine starke Benutzerauthentifizierung mit einem Schlüsselpaar (privat und öffentlich), das nur mit einem Fingerdruck entsperrt werden kann. Die FIDO-Standards schützen die Benutzer vor Fishing-Angriffen, indem sie die Kryptographie mit den DNS-Namen verknüpfen.
3. Geringe Diskrepanz
Es gibt einen Zähler, der sowohl auf dem FIDO-Schlüssel als auch auf der vertrauenden Seite (WebADM) gespeichert ist. Er wird im FIDO-Schlüssel jedes Mal erhöht, wenn Sie eine Behauptung daraus erhalten, und dieser Wert wird in der Behauptung an WebADM gesendet, das ihn speichert. Dieser neue Wert sollte immer höher sein als der, der bereits in WebADM gespeichert ist, um geklonte/gefälschte Authentifikatoren zu erkennen.
Melden Sie sich mit dem FIDO2-Schlüssel an Ihrem Windows-Computer an 3 Szenarien:
- Wenn Sie sich in Ihrem Active Directory-Netzwerk befinden, können Sie sich mit oder ohne Aktivierung der Multi-Faktor-Authentifizierung mit Ihrem FIDO2-Schlüssel bei Ihrem Active Directory anmelden.
- Wenn Sie sich außerhalb Ihres Netzwerks befinden und mit dem Internet verbunden sind, können Sie sich weiterhin mit Ihrem FIDO2-Schlüssel authentifizieren, der auf dem RCDevs OpenOTP-Server überprüft wird.
- Ohne jegliche Verbindung, der Offline-Modus ermöglicht Ihnen die Verwendung Ihres FIDO2-Schlüssels zur Authentifizierung auf Ihrem Computer. Dieser Modus ist natürlich nicht zwingend erforderlich und Sie können die Dauer festlegen, für die er aktiviert werden soll.
Wie FIDO2 mit dem funktioniert Windows-Anmeldeinformationsanbieter Klient?
Die Offline-Anmeldung funktioniert mit asymmetrischen Schlüsseln, wodurch es unmöglich ist, Informationen mit dem öffentlichen Schlüssel zu entschlüsseln.
Hier ist WebADM die vertrauende Partei. Wenn Sie sich mit konfiguriertem FIDO2 anmelden, sendet WebADM eine Anfrage an den privaten Schlüssel. Der private Schlüssel des Benutzers wird im FIDO2-Authentifikator gespeichert, der durch einen biometrischen Faktor oder eine PIN geschützt ist (die Anwesenheit des Benutzers ist obligatorisch) und zum Signieren von Transaktionen verwendet wird, die von der vertrauenden Partei initiiert werden.
Es repliziert das Baumprotokollierungsszenario, das Sie mit der RCDevs Mobile Push App erlebt haben, auf Ihre Windows-Anmeldung.