Platformní FIDO2 autentizátory

Platformní FIDO2 autentizátor je softwarová implementace FIDO2 autentizátoru která je součástí operačního systému a nevyžaduje dodatečný hardware.

Microsoft Windows

Operační systém Windows od verze 10 (1903) implementuje platformní FIDO2 autentizátor. Pro jeho použití je nutné v rámci Windows Hello nastavit PIN a příp. biometriku (otisk prstu nebo sken obličeje).

Autentizátor podporuje jen tzv. “discoverable” klíče uložené v operačním systému, nejčastěji na TPM čipu.

V současné době neexistuje standardní nástroj na správu takto vytvořených klíčů.

Apple iOS

Operační systém iOS obsahoval platformní autentizátor od verze 14, ve verzi 16 byla implementace zcela přepracována a nazvána “passkeys”.

Autentizátor podporuje jen tzv. “discoverable” klíče uložené v operačním systému, resp. v Secure Enclave. Klíče jsou zálohovány na iCloud a sdíleny na všech zařízeních uživatele.

Klíče může uživatel zobrazit a příp. smazat přímo na zařízení (od verze 16).

Apple macOS

Operační systém macOS obsahoval platformní autentizátor od verze Big Sur, ve verzi Ventura ale byla implementace zcela přepracována a nazvána “passkeys”.

Autentizátor podporuje jen tzv. “discoverable” klíče uložené v operačním systému, resp. v Secure Enclave. Klíče jsou zálohovány na iCloud a sdíleny na všech zařízeních uživatele.

Klíče může uživatel zobrazit a příp. smazat přímo na zařízení (od verze Ventura).

Google Android

Operační systém Android obsahuje platformní autentizátor od verze 7.

Autentizátor podporuje jen tzv. “non-discoverable” klíče které jsou uloženy v zašifrované podobě na webovém aplikačním serveru (ne přímo na zařízení). Podpora systému obdobnému tzv. “passkeys” která je součástí ekosystému Apple je přislíbena do budoucna.

Při splnění následujících podmínek je autentizátor možné použít ve spojení s operačním systémem Windows:

• na počítači je používán prohlížeč Chrome s přihlášeným Google účtem a zapnutou synchronizací

• na zařízení s Androidem je použit stejný Google účet jako na počítači

• na počítači i na zařízení s Androidem je dostupné Bluetooth - to zde neslouží pro komunikaci ale jen pro potvrzení fyzické blízkosti počítače a zařízení s Androidem

Nezáleží přitom na tom kde byl autentizátor původně zaregistrován - autentizátor zaregistrovaný v Chrome na Windows může být použit přímo v zařízení s Androidem a obráceně.

Přenosné autentizátory

Na trhu je k dispozici široká nabídka certifikovaných hardwarových autentizátorů lišících se cenou, zpracováním a funkcemi.

Autentizátory s podporou NFC je možné použít spolu s mobilními zařízeními (Android, iOS).

Operační systém Android v tuto chvíli nepodporuje protokol CTAP2 potřebný pro podporu přenosných FIDO2 autentizátorů a komunikuje s nimi starším protokolem CTAP1 ze standardu U2F. Starší protokol narozdíl od nové verze nepodporuje mnoho funkcí (např. chybí podpora PIN) a není proto možné použít přenosný autentizátor spolu s operačním Android pro tzv. “passwordless” přihlášení bez hesla.

V následující tabulce je výběr dostupných autentizátorů: