Bezpieczne logowanie na konto Microsoft bez użycia hasła za pomocą klucza zabezpieczeń lub funkcji Windows Hello

Przypisek redaktora 2018-11-26:
Ten wpis został zaktualizowany w celu uwzględnienia informacji dotyczących dostępności funkcji logowania bez hasła.

Witajcie,

Bardzo mi miło, że mogę podzielić się z Wami dzisiejszymi nowinami. Właśnie włączyliśmy możliwość bezpiecznego logowania się do konta Microsoft za pomocą opartego na standardach urządzenia zgodnego z protokołem FIDO2 — bez konieczności podawania nazwy użytkownika czy hasła. Dzięki wykorzystaniu protokołu FIDO2 użytkownicy mogą używać urządzeń opartych na standardach w celu łatwego uwierzytelniania się w usługach online zarówno w środowiskach mobilnych, jak i komputerowych. Ta możliwość jest aktualnie dostępna na terenie Stanów Zjednoczonych, ale będzie wdrażana globalnie w ciągu kilku następnych tygodni.

Taka kombinacja łatwości użycia, bezpieczeństwa i powszechnej obsługi w branży stanie się przełomowa zarówno dla użytkowników domowych, jak i w nowoczesnych środowiskach pracy. Każdego miesiąca ponad 800 milionów osób korzysta z kont Microsoft, aby łączyć się oraz tworzyć i udostępniać zawartość w programie Outlook, pakiecie Office, usługach OneDrive, Bing, Skype i Xbox Live zarówno w celach służbowych, jak i prywatnych. Wszystkie te osoby mogą teraz korzystać z prostego środowiska użytkownika zapewniającego znacznie większe bezpieczeństwo.

Od dzisiaj możesz korzystać z urządzeń FIDO2 lub funkcji Windows Hello w celu zalogowania się do swojego konta Microsoft za pomocą przeglądarki Microsoft Edge.

Obejrzyj ten krótki film wideo wyjaśniający, jak to działa:

Misją firmy Microsoft było wyeliminowanie haseł oraz ułatwienie użytkownikom zabezpieczenia swoich danych i kont przed zagrożeniami. Będąc członkiem konsorcjów Fast Identity Online (FIDO) Alliance i World Wide Web Consortium (W3C), firma Microsoft razem z innymi podmiotami opracowywała otwarte standardy uwierzytelniania następnej generacji. Miło mi ogłosić, że Microsoft jako pierwsza firma z listy Fortune 500 obsługuje uwierzytelnianie bez haseł, korzystając ze specyfikacji WebAuthn i FIDO2, a przeglądarka Microsoft Edge obsługuje największą liczbę wystawców uwierzytelnienia w porównaniu z innymi większymi przeglądarkami.

W dalszej części tego artykułu opisano, jak to działa oraz jak zacząć korzystać z tej możliwości.

Rozpoczynanie

Aby zalogować się do konta Microsoft za pomocą klucza zabezpieczeń FIDO2, wykonaj następujące czynności:

1. Jeśli jeszcze tego nie zrobiono, zaktualizuj system Windows 10 do wersji z października 2018 r.
2. Przejdź na stronę konta Microsoft w przeglądarce Microsoft Edge i zaloguj się w zwykły sposób.
3. Wybierz pozycję Zabezpieczenia > Więcej opcji zabezpieczeń i w obszarze Funkcja Windows Hello i klucze zabezpieczeń zobaczysz instrukcje konfigurowania klucza zabezpieczeń. Klucz zabezpieczeń możesz kupić u jednego z naszych partnerów, na przykład Yubico lub Feitian Technologies, którzy obsługują standard FIDO2.*
4. Podczas następnego logowania możesz kliknąć pozycję Więcej opcji > Użyj klucza zabezpieczeń lub wpisać swoją nazwę użytkownika. Na tym etapie zostanie wyświetlona prośba o użycie klucza zabezpieczeń w celu zalogowania się.

Jako przypomnienie poniżej opisano procedurę logowania się do konta Microsoft z użyciem funkcji Windows Hello:

1. Upewnij się, że masz system Windows 10 zaktualizowany do wersji z października 2018 r.
2. Jeśli jeszcze tego nie zrobiono, należy skonfigurować funkcję Windows Hello. Po skonfigurowaniu funkcji Windows Hello możesz kontynuować.
3. Podczas następnego logowania w przeglądarce Microsoft Edge możesz kliknąć pozycję Więcej opcji > Użyj funkcji Windows Hello lub klucza zabezpieczeń bądź wpisać swoją nazwę użytkownika. Na tym etapie zostanie wyświetlona prośba o użycie funkcji Windows Hello lub klucza zabezpieczeń w celu zalogowania się.

Jeśli potrzebujesz więcej pomocy, zapoznaj się z naszym szczegółowym artykułem pomocy zawierającym informacje dotyczące konfigurowania tych funkcji.

*Specyfikacja FIDO2 zawiera kilka opcjonalnych funkcji, które naszym zdaniem mają fundamentalne znaczenie w kwestii zabezpieczeń, dlatego będą działać tylko te klucze, w których zaimplementowano te funkcje. Aby uzyskać więcej informacji, przeczytaj artykuł What is a Microsoft-compatible security key? (Co to jest klucz zabezpieczeń obsługiwany przez firmę Microsoft?).

Jak to działa?

Aby wprowadzić te innowacje, w naszych usługach zaimplementowaliśmy specyfikacje WebAuthn i FIDO2 CTAP2.

W przeciwieństwie do haseł protokół FIDO2 chroni poświadczenia użytkowników za pomocą szyfrowania z użyciem kluczy publicznych/prywatnych. Podczas tworzenia i rejestrowania poświadczenia FIDO2 urządzenie (Twój komputer lub urządzenie FIDO2) generuje klucz prywatny i publiczny. Klucz prywatny jest bezpiecznie przechowywany na urządzeniu i może być używany tylko po odblokowaniu przy użyciu lokalnego gestu, na przykład danych biometrycznych lub kodu PIN. Należy pamiętać, że Twoje dane biometryczne lub kod PIN nigdy nie są udostępniane poza urządzenie. W czasie zapisywania klucza prywatnego klucz publiczny jest wysyłany do systemu obsługi kont Microsoft w chmurze i rejestrowany razem z Twoim kontem użytkownika.

Podczas późniejszego logowania użytkownika system obsługi kont Microsoft udostępnia komputerowi lub urządzeniu FIDO2 identyfikator jednorazowy. Następnie komputer lub urządzenie podpisuje ten identyfikator jednorazowy za pomocą klucza prywatnego. Podpisany identyfikator jednorazowy oraz metadane są wysyłane z powrotem do systemu obsługi kont Microsoft, gdzie są one weryfikowane za pomocą klucza publicznego. Zgodnie ze specyfikacjami WebAuthn i FIDO2 podpisane metadane zawierają pewne informacje, na przykład dane o obecności użytkownika, i weryfikują uwierzytelnianie za pomocą lokalnego gestu. Dzięki tym właściwościom proces uwierzytelniania obsługiwany przez funkcję Windows Hello i urządzenia FIDO2 nie jest narażony na wyłudzanie informacji, a związane z nim informacje nie mogą być łatwo wykradzione przez złośliwe oprogramowanie.

Jak funkcja Windows Hello i urządzenia FIDO2 implementują ten mechanizm? W zależności od możliwości urządzenia z systemem Windows 10 będziesz mieć do dyspozycji wbudowaną bezpieczną enklawę w postaci sprzętowego lub programowego modułu TPM (Trusted Platform Module). Moduł TPM przechowuje klucz prywatny, do którego odblokowania jest wymagany wizerunek twarzy, odcisk palca lub kod PIN. Urządzenie FIDO2 (podobnie jak klucz zabezpieczeń) to małe zewnętrzne urządzenie z własną wbudowaną bezpieczną enklawą, która przechowuje klucz prywatny i wymaga do jego odblokowania danych biometrycznych lub kodu PIN. Oba rozwiązania oferują uwierzytelnianie dwuskładnikowe obsługiwane w jednym kroku i do przeprowadzenia pomyślnego logowania wymagają zarówno zarejestrowanego urządzenia, jak i danych biometrycznych lub kodu PIN.

Zapoznaj się z tym artykułem na naszym blogu dotyczącym standardów tożsamości, aby poznać szczegóły techniczne związane z implementacją tego mechanizmu.

Co dalej

Planujemy wprowadzenie wielu rozwiązań prowadzących do zmniejszenia liczby przypadków, w których wymagane będzie stosowanie haseł, a nawet ich całkowitego wyeliminowania. Aktualnie pracujemy nad zaimplementowaniem tego samego środowiska logowania w przeglądarce z użyciem kluczy zabezpieczeń dla kont służbowych, uczelnianych i szkolnych obsługiwanych przez usługę Azure Active Directory. Klienci korporacyjni będą mogli zapoznać się z tym mechanizmem na początku przyszłego roku. Będą oni mogli zezwolić swoim pracownikom na skonfigurowanie własnych kluczy zabezpieczeń dla kont używanych do logowania się w systemie Windows 10 i w chmurze.

Mamy nadzieję, że w miarę rozszerzania obsługi standardów WebAuthn i FIDO2 w innych przeglądarkach środowisko bez haseł, które jest na razie dostępne w przeglądarce Microsoft Edge w systemie Windows, będzie dostępne na każdym urządzeniu.

Na początku przyszłego roku pojawi się więcej informacji!

Pozdrawiam,
Alex Simons (@Twitter: @Alex_A_Simons)
Kierownik działu zarządzania programami
Microsoft Identity Division