Sử dụng khóa bảo mật hoặc Windows Hello để đăng nhập an toàn vào tài khoản Microsoft mà không cần đến mật khẩu
Ghi chú của biên tập viên vào 26/11/2018:
Bài đăng này đã được cập nhật để bao gồm thông tin về tính sẵn có của tính năng đăng nhập không cần mật khẩu.
Xin chào quý vị và các bạn,
Tôi rất vui mừng được chia sẻ tin tức ngày hôm nay! Chúng tôi vừa kích hoạt tính năng đăng nhập an toàn cho tài khoản Microsoft bằng thiết bị tương thích FIDO2 dựa trên tiêu chuẩn—mà không cần đến tên người dùng hoặc mật khẩu! FIDO2 cho phép người dùng tận dụng các thiết bị dựa trên tiêu chuẩn để dễ dàng xác thực các dịch vụ trực tuyến—trong cả môi trường di động và máy tính. Tính năng hiện đã sẵn có tại Hoa Kỳ và sẽ được ra mắt trên phạm vi toàn cầu trong vài tuần tới.
Sự kết hợp giữa tính dễ sử dụng, bảo mật và hỗ trợ ngành rộng lớn này sẽ tạo nên sự chuyển đổi không chỉ tại nhà mà còn cả tại nơi làm việc hiện đại. Mỗi tháng, có hơn 800 triệu người sử dụng tài khoản Microsoft nhằm tạo, kết nối và chia sẻ từ mọi nơi tới Outlook, Office, OneDrive, Bing, Skype và Xbox Live để làm việc và giải trí. Và giờ đây, tất cả những người dùng đó đều có thể hưởng lợi từ trải nghiệm người dùng đơn giản và bảo mật được cải thiện đáng kể này.
Bắt đầu từ hôm nay, bạn có thể sử dụng thiết bị FIDO2 hoặc Windows Hello để đăng nhập vào tài khoản Microsoft của mình qua trình duyệt Microsoft Edge.
Hãy xem video nhanh sau đây để nắm rõ quy trình hoạt động:
Mục tiêu của Microsoft là loại bỏ mật khẩu và giúp mọi người bảo vệ dữ liệu và tài khoản khỏi các mối đe dọa. Là thành viên của Liên minh Fast Identity Online (FIDO) và World Wide Web Consortium (W3C), chúng tôi đã làm việc với các bên để phát triển các tiêu chuẩn mở cho thế hệ xác thực tiếp theo. Tôi rất vui mừng được chia sẻ rằng Microsoft là công ty Fortune 500 đầu tiên hỗ trợ tính năng xác thực không cần mật khẩu bằng cách sử dụng thông số kỹ thuật WebAuthn và FIDO2 trong khi Microsoft Edge hỗ trợ nhiều trình xác thực nhất so với các trình duyệt phổ biến khác.
Nếu bạn muốn biết thêm chi tiết về cách thức hoạt động và cách thức bắt đầu, hãy tiếp tục đọc bài viết này.
Bắt đầu
Để đăng nhập vào tài khoản Microsoft bằng khóa bảo mật FIDO2:
- Nếu bạn chưa đăng nhập, hãy đảm bảo rằng bạn đã cập nhật lên bản Windows 10 Tháng Mười 2018.
- Truy nhập trang tài khoản Microsoft trên Microsoft Edge và đăng nhập như bình thường.
- Chọn Bảo mật > Xem thêm tùy chọn bảo mật và trong Windows Hello và khóa bảo mật, bạn sẽ thấy hướng dẫn thiết lập khóa bảo mật. (Bạn có thể mua khóa bảo mật từ một trong các đối tác của chúng tôi, bao gồm Yubico và Feitian Technologies, các đối tác hỗ trợ tiêu chuẩn FIDO2.*)
- Vào lần đăng nhập tiếp theo, bạn có thể bấm vào Xem thêm tùy chọn > Sử dụng khóa bảo mật hoặc nhập tên người dùng của bạn. Ngay lập tức, bạn sẽ nhận được yêu cầu sử dụng khóa bảo mật để đăng nhập.
Và chúng tôi xin nhắc bạn cách đăng nhập vào tài khoản Microsoft bằng Windows Hello:
- Hãy đảm bảo bạn đã cập nhật lên bản Windows 10 Tháng Mười 2018.
- Nếu chưa thực hiện, bạn sẽ cần thiết lập Windows Hello. Nếu bạn đã thiết lập Windows Hello, bạn đã sẵn sàng!
- Vào lần đăng nhập tiếp theo trên Microsoft Edge, bạn có thể bấm vào Xem thêm tùy chọn > Sử dụng Windows Hello hoặc khóa bảo mật hay nhập tên người dùng của bạn. Ngay lập tức, bạn sẽ nhận được yêu cầu sử dụng Windows Hello hoặc khóa bảo mật để đăng nhập.
Nếu bạn cần thêm trợ giúp, hãy xem bài viết trợ giúp chi tiết của chúng tôi về cách thiết lập.
*Chúng tôi tin rằng có một số tính năng tùy chọn trong thông số FIDO2 rất quan trọng cho việc bảo mật, vì vậy, chỉ các khóa đã triển khai những tính năng đó mới có thể hoạt động. Đọc mục Khóa bảo mật tương thích với Microsoft là gì? để tìm hiểu thêm.
Cách thức hoạt động?
Về mặt nền tảng, chúng tôi đã triển khai các thông số kỹ thuật WebAuthn và FIDO2 CTAP2 vào dịch vụ để biến điều này thành hiện thực.
Không giống như mật khẩu, FIDO2 bảo vệ thông tin xác thực của người dùng bằng cách mật mã hóa khóa công khai/riêng tư. Khi bạn tạo và đăng ký thông tin xác thực FIDO2, thiết bị (PC hoặc thiết bị FIDO2) sẽ tạo nên một khóa riêng tư và khóa công khai trên thiết bị. Khóa riêng tư được lưu trữ an toàn trên thiết bị và chỉ có thể được sử dụng sau khi đã mở khóa bằng thao tác cục bộ như sinh trắc học hoặc mã PIN. Hãy lưu ý rằng thông tin sinh trắc học hoặc mã PIN của bạn không bao giờ rời khỏi thiết bị. Trong khi khóa riêng tư được lưu trữ, khóa công khai được gửi đến hệ thống tài khoản Microsoft trên đám mây và được đăng ký với tài khoản người dùng của bạn.
Khi bạn đăng nhập sau này, hệ thống tài khoản Microsoft sẽ cung cấp một số ngẫu nhiên cho PC hoặc thiết bị FIDO2 của bạn. PC hoặc thiết bị của bạn sau đó sẽ sử dụng khóa riêng tư để ký số ngẫu nhiên. Số ngẫu nhiên và siêu dữ liệu đã ký sẽ được gửi lại cho hệ thống tài khoản Microsoft và được xác minh bằng khóa công khai. Siêu dữ liệu đã ký theo chỉ định của thông số kỹ thuật WebAuthn và FIDO2 sẽ cung cấp thông tin, như liệu người dùng có mặt hay không và xác minh hoạt động xác thực thông qua thao tác cục bộ. Đây là những thuộc tính giúp việc xác thực với thiết bị FIDO2 và Windows Hello không hề “dễ bị lừa đảo” hoặc dễ bị đánh cắp bởi phần mềm độc hại.
Các thiết bị FIDO2 và Windows Hello áp dụng hoạt động này như thế nào? Dựa trên chức năng của thiết bị chạy Windows 10, bạn sẽ có một khu bảo mật tích hợp, được gọi là mô-đun nền tảng đáng tin cậy (TPM) phần cứng hoặc TPM phần mềm. TPM lưu trữ khóa riêng tư, yêu cầu bạn sử dụng khuôn mặt, dấu vân tay hoặc mã PIN để mở khóa. Tương tự, thiết bị FIDO2, giống như khóa bảo mật, là một thiết bị ngoại vi nhỏ có khu bảo mật tích hợp riêng, lưu trữ khóa riêng tư và yêu cầu thông tin sinh trắc học hoặc mã PIN để mở khóa. Cả hai tùy chọn đều cung cấp quy trình xác thực hai yếu tố trong một bước, đòi hỏi thiết bị đã được đăng ký và thông tin sinh trắc học hoặc mã PIN để đăng nhập thành công.
Hãy xem bài viết này trên blog Tiêu chuẩn danh tính của chúng tôi, trong đó đi sâu vào tất cả chi tiết kỹ thuật xung quanh việc triển khai.
Tính năng sắp ra mắt
Chúng tôi sắp cho ra mắt nhiều điều tuyệt vời như một phần trong nỗ lực giảm thiểu và thậm chí loại bỏ việc sử dụng mật khẩu. Hiện chúng tôi đang xây dựng trải nghiệm đăng nhập tương tự từ trình duyệt bằng khóa bảo mật cho tài khoản cơ quan và trường học trong Azure Active Directory. Khách hàng doanh nghiệp có thể xem trước tính năng vào đầu năm tới, khi đó, họ có thể cho phép nhân viên thiết lập khóa bảo mật riêng để đăng nhập vào tài khoản Windows 10 và đám mây.
Ngoài ra, khi nhiều trình duyệt và nền tảng bắt đầu hỗ trợ các tiêu chuẩn WebAuthn và FIDO2, chúng tôi rất mong trải nghiệm không cần mật khẩu—hiện đã có sẵn trên Microsoft Edge và Windows từ hôm nay—sẽ sẵn có ở mọi nơi!
Hãy theo dõi để biết thêm chi tiết vào đầu năm tới!
Trân trọng,
Alex Simons (@Twitter: @Alex_A_Simons)
Phó Chủ tịch Quản lý chương trình
Bộ phận Danh tính Microsoft