Varen vpis v Microsoftov račun brez gesla in z uporabo varnostnega ključa ali funkcije Windows Hello

Opomba urednika 26. 11. 2018:
Ta objava je bila posodobljena in zdaj vključuje informacije o razpoložljivosti vpisa brez gesla..

Pozdravljeni vsi skupaj,

danes imam odlične novice! Ravnokar smo vključili možnost varnega vpisa v Microsoftov račun s pomočjo standardizirane združljive naprave FIDO2 – brez uporabniškega imena in gesla! FIDO2 uporabnikom omogoča, da izkoristijo standardizirane naprave za preprosto preverjanje pristnosti spletnih storitev – tako v prenosnih kot tudi v namiznih okoljih. Možnost je odslej na voljo v ZDA, drugod po svetu pa jo bomo predstavili v prihodnjih tednih.

Kombinacija preproste uporabe, varnosti in izdatne podpore industrije bo preoblikovala dom in sodobno delovno okolje. Vsak mesec več kot 800 milijonov ljudi z Microsoftovim računom za delo in igro ustvarja, se povezuje in daje v skupno rabo od kjer koli v Outlook, Office, OneDrive, Bing, Skype in Xbox Live. Zdaj lahko vsi izkoristijo to preprosto uporabniško izkušnjo in znatno izboljšajo varnost.

Od danes naprej se lahko prek brskalnika Microsoft Edge z napravo FIDO2 ali funkcijo Windows Hello vpišete v svoj Microsoftov račun.

Kratek videoposnetek prikazuje, kako to deluje:

Pri Microsoftu si prizadevajo za ukinitev uporabniških gesel in pomoč ljudem pri zaščiti njihovih podatkov in računov pred grožnjami. Kot člani industrijskega konzorcija Fast Identity Online (FIDO) Alliance in mednarodnega inštituta World Wide Web Consortium (W3C) sodelujemo skupaj z drugimi, da bi razvili odprte standarde za naslednjo generacijo preverjanja pristnosti. Z veseljem z vami delimo novico, da je Microsoft prvo podjetje Fortune 500, ki podpira preverjanje pristnosti brez uporabniškega gesla in s pomočjo specifikacij WebAuthn ter FIDO2, v primerjavi z drugimi večjimi brskalniki pa Microsoft Edge podpira najširši obseg preverjanj pristnosti.

Če želite izvedeti več o tem, kako sistem deluje in kako začeti, berite naprej.

Uvod

Kako se vpišete v Microsoftov račun s pomočjo varnostnega ključa FIDO2:

1. Če tega še niste storili, posodobite sistem na različico Windows 10, oktober 2018.
2. Pojdite na stran Microsoftovega računa v brskalniku Microsoft Edge in se vpišite v svoj račun, kakor običajno.
3. Izberite Varnost > Več možnosti za varnost. V razdelku Windows Hello in varnostni ključi boste videli navodila za nastavitev varnostnega ključa. (Varnostni ključ lahko kupite od enega izmed naših partnerjev, vključno s partnerjema Yubico in Feitian Technologies, ki podpirajo standard FIDO2.*)
4. Pri naslednjem vpisu lahko kliknete Več možnosti > Uporabi varnostni ključ ali vnesete svoje uporabniško ime. Nato boste pozvani, da za vpis uporabite varnostni ključ.

Za osvežitev spomina navajam postopek vpisa v Microsoftov račun s funkcijo Windows Hello:

1. Prepričajte se, da je vaš sistem posodobljen na različico Windows 10, oktober 2018.
2. Če tega še niste storili, morate nastaviti funkcijo Windows Hello. Če imate funkcijo Windows Hello že nastavljeno, lahko nadaljujete.
3. Pri naslednjem vpisu v brskalniku Microsoft Edge lahko kliknete Več možnosti > Uporabi Windows Hello ali varnostni ključ ali vnesete svoje uporabniško ime. Nato boste pozvani, da za vpis uporabite Windows Hello ali varnostni ključ.

Če potrebujete dodatno pomoč, si oglejte naš podroben članek pomoči o tem, kako nastaviti vse potrebno.

*V specifikaciji FIDO2 je na voljo še nekaj izbirnih funkcij, za katere menimo, da so ključnega pomena za varnost, zato bodo delovali le ključi, ki imajo omenjene funkcije že uvedene. Preberite Kaj je varnostni ključ, ki je združljiv s storitvami Microsoft? za dodatne informacije.

Kako deluje?

Skrivoma smo v svoje storitve uvedli specifikaciji WebAuthn in FIDO2 CTAP2, da je vizija postala resničnost.

V nasprotju z gesli FIDO2 varuje uporabniške poverilnice s pomočjo šifriranja z javnim/zasebnim ključem. Ko ustvarite in registrirate poverilnico FIDO2, naprava (vaš osebni računalnik ali druga naprava FIDO2) ustvari zasebni ali javni šifrirni ključ v napravi. Zasebni ključ je v napravi varno shranjen in ga je mogoče uporabiti le, če ste ga prej odklenili z lokalno potezo, na primer s pomočjo biometrije ali PIN-a. Vedite, da podatki o biometriji ali PIN-u nikoli ne zapustijo naprave. Istočasno, ko shranite zasebni šifrirni ključ, Microsoftov sistem računov v oblaku prejme javni šifrirni ključ, ki se registrira z vašim uporabniškim računom.

Ko se pozneje zopet vpišete, Microsoftov sistem računov posreduje žeton za vaš osebni računalnik ali napravo FIDO2. Vaš osebni računalnik ali druga naprava nato z zasebnim šifrirnim ključem podpiše žeton. Podpisani žeton in metapodatki so nato poslani nazaj v Microsoftov sistem računov, kjer se opravi preverjanje pristnosti z javnim šifrirnim ključem. Podpisani metapodatki, kakor to določajo specifikacije WebAuthn in FIDO2, zagotavljajo informacije, kot je na primer ta, ali je bil uporabnik prisoten, in preverijo pristnost prek lokalne poteze. Te lastnosti pri preverjanju pristnosti v napravah z Windows Hello ali FIDO2 preprečujejo lažno predstavljanje in otežujejo krajo podatkov s pomočjo zlonamerne programske opreme.

Kako te lastnosti uporabljajo naprave z Windows Hello in FIDO2? Glede na to, s katerimi zmogljivostmi se ponaša vaša naprava s sistemom Windows 10, imate lahko vgrajeno varno enklavo, znano kot modul zaupanja TPM za strojno opremo, ali pa TPM za programsko opremo. TPM shrani zasebni šifrirni ključ. Odklenete ga lahko z biometrično prepoznavo obraza, prstnim odtisom ali PIN-om. Naprava FIDO2 je podobno kot varnostni ključ majhna zunanja naprava z lastno vgrajeno varno enklavo, ki shrani zasebni šifrirni ključ in za odklepanje zahteva biometrično prepoznavo ali PIN. Obe možnosti ponujata dvojno preverjanje pristnosti v enem koraku, pri čemer je za uspešen vpis zahtevana tako registrirana naprava kot tudi biometrična prepoznava ali PIN.

Oglejte si ta članek v našem spletnem dnevniku o standardih za identiteto, ki opisuje vse tehnične podrobnosti v zvezi z uvedbo.

Kaj sledi

Kmalu bo na voljo še kopica drugih odličnih novosti, ki jih predstavljamo v okviru prizadevanj za zmanjšanje in celo odpravo uporabe gesel. Trenutno oblikujemo enako vpisno izkušnjo iz brskalnika z varnostnimi ključi za službene in šolske račune v storitvi Azure Active Directory. Predogled novosti za stranke iz velikih podjetij bo na voljo v začetku prihodnjega leta, ko bodo lahko svojim zaposlenim omogočile, da si sami nastavijo varnostne ključe za vpis v svoje račune v sistemu Windows 10 in v oblaku.

Ker vse več brskalnikov in platform podpira standarda WebAuthn in FIDO2, upamo, da bo izkušnja brez uporabe gesel – ki je danes že na voljo v brskalniku Microsoft Edge in sistemu Windows – kmalu na voljo povsod!

Več podrobnosti bo na voljo v začetku prihodnjega leta.

Lep pozdrav,
Alex Simons (@Twitter: @Alex_A_Simons)
Korporacijski podpredsednik programskega upravljanja
Microsoftov oddelek za upravljanje identitet