Преминаване към основното съдържание
Microsoft 365
Абониране

Защитено влизане без парола във вашия акаунт в Microsoft с помощта на ключ за защита или Windows Hello

От

Бележка на редактора, 26.11.2018 г.:
Тази публикация е актуализирана, за да бъде включена информация за възможността за влизане без парола.

Здравейте, хора,

Толкова се вълнувам да споделя днешните новини! Току-що включихме възможността за безопасно влизане във вашия акаунт в Microsoft с помощта на устройство, базирано на стандартите и съвместимо с FIDO2 – без да се изисква потребителско име или парола! FIDO2 позволява на потребителите да използват възможностите на устройства, базирани на стандартите, за лесно удостоверяване за онлайн услуги – както в мобилна, така и в настолна среда. Това вече се предлага в Съединените щати и ще бъде разпространено по целия свят през следващите няколко седмици.

Тази комбинация от простота на работа, защита и широка поддръжка на отрасъла се очертава да стане промяната както у дома, така и на модерното работно място. Всеки месец, над 800 милиона души използват акаунт в Microsoft, за да творят, да се свързват и да споделят отвсякъде с помощта на Outlook, Office, OneDrive, Bing, Skype и Xbox Live за работа и игра. А сега всички могат да се радват на този прост начин на работа и значително подобрена защита.

Считано от днес, можете да използвате FIDO2 устройство или Windows Hello, за да влезете в своя акаунт в Microsoft с помощта на браузъра Microsoft Edge.

Вижте този кратък видеоклип, който показва как става това:

Microsoft имаше мисията да премахне паролите и да помогне на хората да защитят от заплахи своите данни и акаунти. Като членове на Съюза FIDO (Fast Identity Online – бързо онлайн удостоверяване на самоличността) и на World Wide Web Consortium (W3C), ние работим с останалите върху разработване на отворени стандарти за удостоверяване от следващо поколение. Радвам се да споделя с вас, че Microsoft е първата фирма от Fortune 500, която поддържа удостоверяването без парола с помощта на спецификациите WebAuthn и FIDO2, а Microsoft Edge поддържа най-широкия спектър от средства за удостоверяване в сравнение с другите основни браузъри.

Ако искате да научите повече подробности как работи това и как да започнете, продължете да четете.

Първи стъпки

За да влезете в своя акаунт в Microsoft с помощта на ключ за защита FIDO2:

  1. Ако още не сте го направили, погрижете се да направите актуализация до Windows 10 от октомври 2018 г.
  2. Отидете на страницата за акаунти в Microsoft на Microsoft Edge и влезте по обичайния начин.
  3. Изберете Защита > Още опции за защита и под Windows Hello и ключове за защита ще видите инструкции за настройка на ключ за защита. (Можете да закупите ключ за защита от някой от нашите партньори, сред които Yubico и Feitian Technologies, които поддържат стандарта FIDO2.*)
  4. Следващия път, когато влизате, можете да щракнете върху Още опции > Използване на ключ за защита или да въведете потребителското си име. В този момент ще бъдете помолени да използвате ключ за защита, за да влезете.

А като напомняне, ето как да влезете в своя акаунт в Microsoft с помощта на Windows Hello:

  1. Погрижете се да направите актуализацията до Windows 10 октомври 2018 г.
  2. Ако още не сте го направили, трябва да инсталирате Windows Hello. Ако настройката на Windows Hello е извършена, може да продължите!
  3. Следващия път, когато влизате в Microsoft Edge, можете да щракнете върху Още опции > Използване на Windows Hello или на ключ за защита или да въведете потребителското си име. В този момент ще бъдете помолени да използвате Windows Hello или ключ за защита, за да влезете.

Ако имате нужда от още помощ, вижте нашата подробна помощна статия как да извършите настройката.

*Има няколко незадължителни функции в спецификацията FIDO2, които смятаме, че са важни за защитата, но те ще работят само с ключове, в които тези функции са реализирани. За да научите повече, прочетете Какво представлява ключ за защита, съвместим с Microsoft?.

Как действа?

Реализирахме едновременно спецификациите WebAuthn и FIDO2 CTAP2 в нашите услуги, за да ги превърнем в реалност.

За разлика от паролите, FIDO2 защитава идентификационните данни на потребителите чрез шифроване с публичен/личен ключ. Когато създавате и регистрирате идентификационни данни, отговарящи на FIDO2, устройството (вашият компютър или устройството FIDO2) генерира личен и публичен ключ на това устройство. Личният ключ се съхранява защитен на устройството и може да бъде използван само след като бъде отключен с помощта на локален жест – например разпознаване с биометрично устройство или ПИН. Обърнете внимание, че вашите биометрични данни или ПИН никога не напускат устройството. Докато личният ключ се съхранява, публичният ключ се изпраща до системата за акаунти на Microsoft в облака и се регистрира с вашия потребителски акаунт.

Когато влизате след това, системата за акаунти на Microsoft предоставя еднократен случаен код на вашия компютър или FIDO2 устройство. След това вашият компютър или устройство използва личния ключ, за да подпише еднократния случаен код. Подписаният еднократен случаен код и метаданните се изпращат обратно на системата за акаунти на Microsoft, където се проверяват с помощта на публичния ключ. Подписаните метаданни, както е посочено в спецификациите WebAuthn и FIDO2, предоставят информация – например дали потребителят е присъствал – и проверява удостоверяването чрез локален жест. Именно тези свойства правят удостоверяването чрез Windows Hello и FIDO2 устройства „непробиваемо“ или недопускащо лесна кражба от злонамерен софтуер.

Как е реализирано това в Windows Hello и FIDO2 устройствата? В зависимост от възможностите на вашето устройство с Windows 10, ще имате вградена защитена територия, наречена или хардуерен модул за надеждна платформа (ТРМ – Trusted Platform Module), или софтуерен TPM. ТРМ съхранява личния ключ, който изисква вашето лице, пръстов отпечатък или ПИН код, за да отключите системата. По същия начин FIDO2 устройство, използвано като ключ за защита, е малко външно устройство със своя собствена вградена защитена територия, което съхранява личния ключ и изисква биометрично разпознаване или ПИН код, за да отключите системата. И двете опции предлагат двуфакторно удостоверяване в една стъпка, което изисква както регистрирано устройство, така и биометрично разпознаване или ПИН код, за да влезете успешно.

Вижте тази статия в нашия блог за стандарти за удостоверяване на самоличността, която разглежда всички технически подробности, свързани с реализацията.

Какво следва

Имаме множество страхотни неща, които предстои да се появят в резултат на част от нашите усилия за намаляване и дори за премахване на използването на пароли. В момента подготвяме същия начин на влизане от браузър с ключове за защита на служебни и учебни акаунти в Azure Active Directory. Корпоративните клиенти ще могат предварително да прегледат тази възможност в началото на следващата година, когато ще могат да дадат възможност на своите служители да настроят свои собствени ключове за защита на техния акаунт за влизане в Windows 10 и в облака.

По-нататък, с разширяването на поддръжката на стандартите WebAuthn и FIDO2 от все повече браузъри и платформи, работата без пароли – предлагана днес на Microsoft Edge и Windows – надяваме се, ще започне да се предлага навсякъде!

Очаквайте повече подробности в началото на следващата година!

С уважение,
Алекс Саймънс (@Twitter: @Alex_A_Simons)
корпоративен вицепрезидент по управление на програми
Отдел по удостоверяване на самоличността на Microsoft

Сродни публикации