Advania logo
    Kontakta oss
    Gå tillbaka

    FIDO2

    Vad är FIDO2?

    FIDO2 är en öppen autentiseringsstandard som gör det möjligt att logga in utan lösenord. Standarden har utvecklats av FIDO Alliance i samarbete med W3C och bygger på två huvudkomponenter: WebAuthn (Web Authentication API) och CTAP (Client to Authenticator Protocol). Tillsammans möjliggör de att användare kan autentisera sig med en fysisk säkerhetsnyckel, biometri eller en enhetsbunden passkey – helt utan att behöva ange ett lösenord.
    FIDO2 är designat för att eliminera de säkerhetsrisker som följer med traditionella lösenord, exempelvis nätfiske, credential stuffing och man-in-the-middle-attacker. Autentiseringen sker lokalt på användarens enhet och den privata nyckeln lämnar aldrig enheten, vilket innebär att det inte finns något delat hemlighetspar som kan stjälas från en server.


    Hur fungerar FIDO2 i praktiken?

    När en användare registrerar sig med FIDO2 skapas ett kryptografiskt nyckelpar. Den privata nyckeln lagras säkert på användarens enhet eller säkerhetsnyckel, medan den publika nyckeln registreras hos tjänsten. Vid inloggning skickar tjänsten en kryptografisk utmaning som enheten signerar med den privata nyckeln. Tjänsten verifierar signaturen med den publika nyckeln – utan att något lösenord överförs.
    Autentiseringen kan ske via USB-baserade säkerhetsnycklar (exempelvis YubiKey), NFC-nycklar, inbyggd biometri som Windows Hello eller Touch ID, eller via plattformsbundna passkeys i operativsystemet.


    Fördelar med FIDO2 för organisationer

    FIDO2 ger flera konkreta fördelar för verksamheter som vill stärka sin identitets- och åtkomstsäkerhet:
    • Eliminerar nätfiskerisker. Eftersom autentiseringen är bunden till en specifik domän och enhet kan inte inloggningsuppgifter fångas upp via falska webbsidor.
    • Minskar lösenordsrelaterade incidenter. Inga lösenord innebär inga läckta, svaga eller återanvända lösenord. Helpdesk-ärenden kopplade till lösenordsåterställning minskar drastiskt.
    • Förbättrar användarupplevelsen. Inloggning med en knapptryckning eller fingeravtryck är snabbare och enklare än att ange komplexa lösenord och engångskoder.
    • Stödjer Zero Trust-strategier. FIDO2 passar väl in i en Zero Trust-arkitektur där varje åtkomstbegäran verifieras kryptografiskt.
    • Uppfyller regulatoriska krav. FIDO2 kan bidra till efterlevnad av NIS2, DORA och andra ramverk som ställer krav på stark autentisering.


    FIDO2, passkeys och MFA – hur hänger det ihop?

    FIDO2 är den underliggande standarden, medan passkeys är den användarcentrerade implementeringen som bygger på FIDO2-tekniken. Passkeys synkroniseras ofta mellan enheter via molntjänster som Apple iCloud Keychain, Google Password Manager eller Microsoft-konton – vilket gör dem mer lättillgängliga för slutanvändare.
    Traditionell MFA kräver något du vet (lösenord) plus något du har (engångskod). FIDO2 ersätter detta med en starkare modell: något du har (säkerhetsnyckel eller enhet) kombinerat med något du är (biometri) eller en lokal PIN. Resultatet är en autentisering som är både säkrare och smidigare än traditionell tvåfaktorsautentisering.


    Implementera FIDO2 i Microsoft-miljöer

    För organisationer som arbetar i Microsofts ekosystem finns starkt stöd för FIDO2. Azure AD (numera Microsoft Entra ID) har inbyggt stöd för FIDO2-säkerhetsnycklar som inloggningsmetod. Windows Hello for Business fungerar som en plattformsbunden FIDO2-autentisering och kan rullas ut via Intune. Genom att aktivera FIDO2 i Entra ID:s autentiseringsmetoder kan organisationer stegvis fasa ut lösenord och gå mot en helt lösenordsfri miljö.

     

    Vanliga frågor om FIDO2

    Vad är skillnaden mellan FIDO2 och FIDO U2F?

    FIDO U2F (Universal 2nd Factor) var den första generationens standard och fungerar enbart som en andra faktor vid inloggning – du behöver fortfarande ett lösenord. FIDO2 är vidareutvecklingen som möjliggör helt lösenordsfri autentisering. Med FIDO2 kan en säkerhetsnyckel eller biometrisk verifiering ersätta lösenordet helt, inte bara komplettera det.

    Behöver man en fysisk säkerhetsnyckel för FIDO2?

    Inte nödvändigtvis. FIDO2 stödjer både externa säkerhetsnycklar (som YubiKey eller Feitian) och plattformsinbyggda autentiserare. Det innebär att du kan använda fingeravtrycksläsare, ansiktsigenkänning (Windows Hello) eller enhetens TPM-chip som FIDO2-autentiserare – utan att behöva en separat fysisk nyckel.

    Hur påverkar FIDO2 helpdesk och IT-support?

    Organisationer som implementerar FIDO2 ser ofta en betydande minskning av lösenordsrelaterade supportärenden. Eftersom användare inte längre behöver komma ihåg eller byta lösenord elimineras problem som glömda lösenord, kontolåsningar och lösenordsåterställningar – vilket kan utgöra upp till 40 procent av alla helpdesk-ärenden.

    Vilka tjänster och applikationer stödjer FIDO2?

    De flesta moderna plattformar har stöd för FIDO2, inklusive Microsoft 365, Azure AD, Google Workspace och många identitetsleverantörer (IdP). Webbläsare som Chrome, Edge, Firefox och Safari stödjer WebAuthn-standarden som är en del av FIDO2. Stödet växer kontinuerligt och allt fler SaaS-tjänster och företagsapplikationer lägger till FIDO2-kompatibilitet.

    Är FIDO2 resistent mot nätfiske?

    Ja, FIDO2 är designat för att vara nätfiskeresistent. Autentiseringen är kryptografiskt bunden till den specifika webbplatsens domän, vilket innebär att inloggningsuppgifterna inte kan luras av en falsk webbplats. Även om en användare klickar på en nätfiskelänk kan angriparen inte återanvända autentiseringssvaret eftersom det är domänspecifikt.

    Andra relevanta ord i samma kategori