Pereiti prie pagrindinio turinio
Microsoft 365
Prenumeruoti

Apsaugokite prisijungimą prie savo „Microsoft“ paskyros nenaudojant slaptažodžio naudodami saugos raktą arba „Windows Hello“

Pagal

2018-11-26 redaktoriaus pastabos:
šis įrašas atnaujintas siekiant įtraukti informaciją apie prisijungimo nenaudojant slaptažodžio pasiekiamumą.

Sveiki.

Su džiaugsmu noriu pasidalyti šiandienos naujienomis! Neseniai įjungėme funkciją saugiai prisijungti prie „Microsoft“ paskyros naudojant standartinį su FIDO2 suderinamą įrenginį be jokio vartotojo vardo ir slaptažodžio! FIDO2 leidžia vartotojams naudotis standartiniais įrenginiais, kad galėtų lengvai autentifikuotis naudodami internetines paslaugas tiek mobiliųjų įrenginių, tiek darbalaukio aplinkoje. Nuo šiol ši funkcija pasiekiama Jungtinėse Amerikos Valstijose ir per ateinančias kelias savaites bus pradėta taikyti visame pasaulyje.

Toks paprasto naudojimo, saugos ir pramoninio palaikymo derinys bus visa transformuojantis tiek dirbant namuose, tiek modernioje darbo vietoje. Kiekvieną mėnesį tiek darbiniais, tiek pramogų tikslais daugiau nei 800 milijonų žmonių naudoja „Microsoft“ paskyrą norėdami kurti, prisijungti ir bendrinti iš bet kur naudodami šias programas: „Outlook“, „Office“, „OneDrive“, „Bing“, „Skype“ ir „Xbox Live“. Nuo šiol visi galime pasinaudoti paprastų vartotojo funkcijų ir pagerėjusios saugos teikiamais pranašumais.

Nuo šiandien norėdami prisijungti prie „Microsoft“ paskyros per „Microsoft Edge“ naršyklę, galite naudoti FIDO2 įrenginį arba „Windows Hello“.

Peržiūrėkite šį trumpą vaizdo įrašą, kuriame rodoma, kaip tai veikia:

„Microsoft“ misija buvo pašalinti slaptažodžius ir padėti žmonėms apsaugoti savo duomenis ir paskyras nuo grėsmių. Būdami „Fast Identity Online“ (FIDO) asociacijos ir „World Wide Web Consortium“ (W3C) nariais, bendradarbiavome siekdami sukurti atvirus naujos kartos autentifikavimo standartus. Malonu pranešti, kad „Microsoft“ yra pirmoji „Fortune 500“ įmonė, palaikanti autentifikavimą nenaudojant slaptažodžio pagal „WebAuthn“ ir FIDO2 specifikacijas, o „Microsoft Edge“ palaiko daugiausia norinčiųjų autentifikuotis palyginti su kitomis pagrindinėmis naršyklėmis.

Norėdami sužinoti daugiau informacijos, kaip tai veikia ir kaip pradėti, skaitykite toliau.

Darbo pradžia

Jei norite prisijungti per „Microsoft“ paskyrą naudodami FIDO2 saugos raktą:

  1. Jei to dar nepadarėte, nepamirškite atnaujinti į „Windows 10“ 2018 m. spalio mėnesio versiją.
  2. „Microsoft Edge“ eikite į „Microsoft“ paskyros puslapį ir prisijunkite įprastu būdu.
  3. Pasirinkite Sauga > Daugiau saugos parinkčių ir dalyje „Windows Hello“ ir saugos raktai matysite nurodymus, kaip nustatyti saugos raktą. (Galite įsigyti saugos raktą iš vieno iš mūsų partnerių, įskaitant „Yubico“ ir „Feitian Technologies“, kurie palaiko FIDO2 standartą.*)
  4. Kitą kartą prisijungę, galite spustelėti Daugiau parinkčių > Naudoti saugos raktą arba įvesti savo vartotojo vardą. Šioje vietoje būsite paraginti įvesti saugos raktą, kad galėtumėte prisijungti.

Kaip priminimas – štai kaip galite prisijungti per savo „Microsoft“ paskyrą naudodami „Windows Hello“:

  1. Įsitikinkite, kad atnaujinote į „Windows 10“ 2018 m. spalio mėnesio versiją.
  2. Jei to dar nepadarėte, turite nustatyti „Windows Hello“. Jei turite „Windows Hello“ sąranką, esate pasirengę pradėti!
  3. Kitą kartą prisijungę „Microsoft Edge“, galite spustelėti Daugiau parinkčių > Naudoti „Windows Hello“ arba saugos raktą arba įvesti savo vartotojo vardą. Šioje vietoje būsite paraginti naudoti „Windows Hello“ arba saugos raktą, kad galėtumėte prisijungti.

Jei reikia daugiau informacijos, peržiūrėkite mūsų išsamios pagalbos straipsnį apie tai, kaip nustatyti.

*FIDO2 specifikacijos turi kelias pasirinktines funkcijas, kurios, mūsų manymu, yra be galo svarbios saugai, todėl veiks tik kodai, kurie įdiegė šias funkcijas. Norėdami daugiau sužinoti, skaitykite Kas yra „Microsoft“ suderinamą saugos raktas? .

Kaip jis veikia?

Į savo paslaugas įdiegėme „WebAuthn“ ir FIDO2 CTAP2 specifikacijas, kad tai pavyktų.

Skirtingai nei naudojant slaptažodžius, FIDO2 apsaugo jūsų kredencialus naudodama viešojo/privačiojo rakto šifravimą. Kai sukuriate ir užregistruojate FIDO2 kredencialą, įrenginys (asmeninis kompiuteris arba FIDO2 įrenginys) sukuria privatųjį ir viešąjį raktą. Privatusis raktas yra saugiai saugomas įrenginyje ir jį galima naudoti tik tada, kai jis atrakinamas naudojant vietinį gestą, pvz., biometrinius duomenis arba PIN. Atkreipkite dėmesį, kad jūsų biometriniai duomenys arba PIN niekada palieka įrenginio. Tuo pačiu metu, kai saugomas privatusis raktas, viešasis raktas yra siunčiamas į „Microsoft“ paskyrų sistemą debesyje ir užregistruojamas jūsų vartotojo paskyroje.

Vėliau jums prisijungus, „Microsoft“ paskyrų sistema suteikia vienkartinį raktą jūsų kompiuteriui arba FIDO2 įrenginiui. Tada jūsų kompiuteris arba įrenginys naudoja privatųjį raktą, kad prijungtų vienkartinį raktą. Patvirtintas vienkartinis raktas ir metaduomenys išsiunčiami atgal į „Microsoft“ paskyrų sistemą, kuris jis tikrinamas naudojant viešąjį raktą. Kaip nurodoma „WebAuthn“ ir FIDO2 specifikacijose patvirtinti metaduomenys pateikia informaciją, pvz., ar vartotojas buvo, ir patvirtina autentifikavimą per vietinį gestą. Dėl šių ypatybių autentifikavimas naudojant „Windows Hello“ ir FIDO2 įrenginius tampa „nesumedžiojamu“ ar lengvai pavagiamu naudojant kenkėjiškas programas.

Kaip tai įdiegiama „Windows Hello“ ir FIDO2 įrenginiuose? Atsižvelgiant į jūsų „Windows 10“ įrenginio galimybes, turėsite integruotą saugų anklavą, dar vadinamą aparatūros patikimos platformos moduliu (TPM), arba programinės įrangos TPM. TPM saugo privatųjį raktą, t. y. norint jį atrakinti reikia jūsų veido, pirštų atspaudų arba PIN kodo. Panašiai kaip apsauginis raktas veikia FIDO2 įrenginys, kuris yra nedidelis išorinis įrenginys su integruotu saugiu anklavu, kuriame saugomas privatusis raktas ir kurio atrakinimui reikia biometrinių duomenų arba PIN. Abi parinktys siūlo dviejų dalių autentifikavimą viename etape, kurio metu ir registruotas įrenginys, ir biometriniai duomenys arba PIN turi sėkmingai prisijungti.

Peržiūrėkite šį straipsnį „Identity Standards“ tinklaraštyje. Jame rasite visą techninę informaciją apie diegimą.

Kas toliau

Turime daugybę puikių idėjų, kaip sumažinti ir net panaikinti slaptažodžių naudojimą. Šiuo metu kuriame prisijungimo iš naršyklės funkcijas su saugos raktais, skirtais darbo ir mokymo įstaigos „Azure Active Directory paskyroms. Verslo klientai galės peržiūrėti šias funkcijas kitų metų pradžioje. Savo darbuotojams galės suteikti galimybę nustatyti savo paskyros saugos raktus, skirtus prisijungti prie „Windows 10“ ir debesies.

Be to, vis daugiau naršyklių ir platformų pradės palaikyti „WebAuthn“ ir FIDO2 standartus (prisijungimo nenaudojant slaptažodžio funkcijas), kurie šiuo metu pasiekiami „Microsoft Edge“ ir „Windows“, todėl, tikėtina, kad tai galėsime naudoti visur ir visada!

Laukite daugiau informacijos kitų metų pradžioje!

Pagarbiai
Alex Simons (@Twitter: @Alex_A_Simons)
Programų valdymo CVP
„Microsoft“ tapatybių valdymo skyrius

Susiję įrašai