รักษาความปลอดภัยการลงชื่อเข้าใช้บัญชี Microsoft ของคุณแบบไม่ใช้รหัสผ่านด้วยคีย์รักษาความปลอดภัยหรือ Windows Hello
หมายเหตุจากบรรณาธิการ 26/11/2018:
โพสต์นี้ได้รับการอัปเดตให้มีข้อมูลเกี่ยวกับความพร้อมใช้งานของการลงชื่อเข้าใช้แบบไม่ใช้รหัสผ่าน
สวัสดี ทุกคน
ผมรู้สึกตื่นเต้นจริงๆ ที่ได้แจ้งข่าวสารของวันนี้! เราเพิ่งจะเปิดใช้ความสามารถในการลงชื่อเข้าใช้บัญชี Microsoft อย่างปลอดภัยด้วยอุปกรณ์ที่รองรับ FIDO2 ตามมาตรฐาน โดยไม่ต้องใช้ชื่อผู้ใช้หรือรหัสผ่าน! FIDO2 ช่วยให้ผู้ใช้สามารถใช้ประโยชน์จากอุปกรณ์ตามมาตรฐานเพื่อรับรองความถูกต้องบริการออนไลน์อย่างง่ายดาย ทั้งในอุปกรณ์เคลื่อนที่และเดสก์ท็อป ความสามารถนี้พร้อมใช้งานแล้วในสหรัฐอเมริกาและจะปล่อยให้ใช้งานทั่วโลกในอีกไม่กี่สัปดาห์นี้
การผสมสผานของความใช้งานง่าย ความปลอดภัย และการสนับสนุนอุตสาหกรรมอย่างกว้างขวางจะกลายเป็นการเปลี่ยนแปลงครั้งใหญ่ที่บ้านและในสถานที่ทำงานล้ำสมัย ทุกเดือน ผู้ใช้มากกว่า 800 ล้านคนใช้บัญชี Microsoft เพื่อสร้าง เชื่อมต่อ และแชร์จากทุกที่ไปยัง Outlook, Office, OneDrive, Bing, Skype และ Xbox Live ไม่ว่าจะเป็นการทำงานหรือการเล่น และในตอนนี้ พวกเขาสามารถรับสิทธิประโยชน์ทั้งหมดจากประสบการณ์ของผู้ใช้และการรักษาความปลอดภัยที่ผ่านการปรับปรุงได้แล้ว
ตั้งแต่วันนี้ คุณจะสามารถใช้อุปกรณ์ FIDO2 หรือ Windows Hello เพื่อลงชื่อเข้าใช้บัญชี Microsoft โดยใช้เบราว์เซอร์ Microsoft Edge ได้
ดูวิดีโอแสดงวิธีการทำงานนี้:
Microsoft มีภารกิจในการกำจัดรหัสผ่านและช่วยเหลือผู้คนในการปกป้องข้อมูลและบัญชีของพวกเขาจากภัยคุกคาม ในฐานะสมาชิกของ Fast Identity Online (FIDO) Alliance และ World Wide Web Consortium (W3C) เราได้ร่วมงานกับผู้อื่นเพื่อพัฒนามาตรฐานแบบเปิดสำหรับการรับรองความถูกต้องของรุ่นถัดไป ผมดีใจที่ได้แจ้งว่า Microsoft เป็นบริษัท Fortune 500 รายแรกที่ให้การสนับสนุนการรับรองความถูกต้องแบบไม่ใช้รหัสผ่านโดยใช้ข้อมูลจำเพาะ WebAuthn และ FIDO2 และ Microsoft Edge ยังสนับสนุนรูปแบบรับรองความถูกต้องที่กว้างขวางที่สุดเมื่อเทียบกับเบราว์เซอร์หลักอื่นๆ
ถ้าคุณต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับวิธีการทำงานและวิธีการเริ่มต้นใช้งาน กรุณาอ่านต่อ
เริ่มต้นใช้งาน
เมื่อต้องการลงชื่อเข้าใช้บัญชี Microsoft โดยใช้คีย์รักษาความปลอดภัย FIDO2:
- คุณจะต้องมีการอัปเดต Windows 10 ประจำเดือนตุลาคม 2018
- ไปที่ หน้าบัญชี Microsoft บน Microsoft Edge และลงชื่อเข้าใช้ตามปกติ
- เลือก การรักษาความปลอดภัย > ตัวเลือกการรักษาความปลอดภัยเพิ่มเติม จากนั้น ภายใต้ Windows Hello และคีย์รักษาความปลอดภัย คุณจะเห็นคำแนะนำสำหรับการตั้งค่าคีย์รักษาความปลอดภัย (คุณสามารถซื้อคีย์รักษาความปลอดภัยได้จากหนึ่งในคู่ค้าของเรา ซึ่งได้แก่ Yubico และ Feitian Technologies ที่สนับสนุนมาตรฐาน FIDO2*)
- ครั้งถัดไปที่คุณลงชื่อเข้าใช้ คุณสามารถคลิก ตัวเลือกเพิ่มเติม > ใช้คีย์รักษาความปลอดภัย หรือพิมพ์ชื่อผู้ใช้ของคุณ ในขั้นตอนนี้ ระบบจะขอให้คุณใช้คีย์รักษาความปลอดภัยเพื่อลงชื่อเข้าใช้
และต่อไปนี้คือวิธีการลงชื่อเข้าใช้บัญชี Microsoft ของคุณด้วย Windows Hello:
- ตรวจสอบให้แน่ใจว่าคุณมีการอัปเดต Windows 10 ประจำเดือนตุลาคม 2018 แล้ว
- คุณจะต้องตั้งค่า Windows Hello ถ้าคุณยังไม่ได้ทำ ถ้าคุณตั้งค่า Windows Hello ไว้เรียบร้อยแล้ว คุณก็พร้อมแล้ว!
- ครั้งถัดไปที่คุณลงชื่อเข้าใช้บน Microsoft Edge คุณสามารถคลิก ตัวเลือกเพิ่มเติม > ใช้ Windows Hello หรือคีย์รักษาความปลอดภัย หรือพิมพ์ชื่อผู้ใช้ของคุณ ในขั้นตอนนี้ ระบบจะขอให้คุณใช้ Windows Hello หรือคีย์รักษาความปลอดภัยเพื่อลงชื่อเข้าใช้
ถ้าคุณต้องการความช่วยเหลือเพิ่มเติม กรุณาดูบทความช่วยเหลือโดยละเอียดเกี่ยวกับวิธีการตั้งค่า
*มีฟีเจอร์เสริมสำหรับข้อมูลจำเพาะ FIDO2 ที่เราเชื่อว่าเป็นรากฐานของการรักษาความปลอดภัย ดังนั้น จึงมีเพียงคีย์ที่ใช้ฟีเจอร์เหล่านั้นเท่านั้นที่ใช้งานได้ อ่าน คีย์รักษาความปลอดภัยที่เข้ากับ Microsoft ได้คืออะไร เพื่อเรียนรู้เพิ่มเติม
มีวิธีการทำงานอย่างไร
เราได้ปรับใช้ข้อมูลจำเพาะ WebAuthn และ FIDO2 CTAP2 กับบริการของเราเพื่อให้ใช้งานได้จริง
FIDO2 ปกป้องข้อมูลประจำตัวของผู้ใช้โดยใช้การเข้ารหัสลับคีย์สาธารณะ/ส่วนบุคคล ต่างจากรหัสผ่าน เมื่อคุณสร้างหรือลงทะเบียนข้อมูลประจำตัว FIDO2 อุปกรณ์ (พีซีหรืออุปกรณ์ FIDO2) จะสร้างคีย์สาธารณะและส่วนบุคคลบนอุปกรณ์ คีย์ส่วนบุคคลจะถูกจัดเก็บไว้อย่างปลอดภัยบนอุปกรณ์และสามารถใช้ได้หลังจากปลดล็อกโดยใช้ท่าทาง อย่างเช่น ข้อมูลชีวมิติหรือ PIN เท่านั้น โปรดทราบว่าข้อมูลชีวมิติหรือ PIN จะไม่ถูกส่งออกจากอุปกรณ์ของคุณ ในขณะที่คีย์ส่วนบุคคลจัดเก็บอยู่ คีย์สาธารณะจะถูกส่งไปยังระบบบัญชี Microsoft ใน Cloud และลงทะเบียนกับบัญชีผู้ใช้ของคุณ
เมื่อคุณลงชื่อเข้าใช้ในภายหลัง ระบบบัญชี Microsoft จะแจ้งพีซีหรืออุปกรณ์ FIDO2 ของคุณ จากนั้น พีซีหรืออุปกรณ์จะใช้คีย์ส่วนบุคคลเพื่อลงชื่อการแจ้งดังกล่าว การแจ้งที่ลงชื่อแล้วและเมตาดาต้าจะถูกส่งกลับไปยังระบบบัญชี Microsoft ซึ่งจะถูกตรวจสอบโดยใช้คีย์สาธารณะ เมตาดาต้าที่ลงชื่อแล้วตามที่ระบุโดยข้อมูลจำเพาะ WebAuthn และ FIDO2 จะแสดงข้อมูล เช่น ผู้ใช้กำลังใช้งานอยู่หรือไม่ และตรวจสอบการรับรองความถูกต้องผ่านท่าทาง คุณสมบัติเหล่านี้ทำให้การรับรองความถูกต้องด้วย Windows Hello และอุปกรณ์ FIDO2 ไม่สามารถถูก “ฟิชชิ่ง” หรือถูกมัลแวร์ขโมยข้อมูลได้ง่ายๆ
Windows Hello และอุปกรณ์ FIDO2 ปรับใช้คุณสมบัตินี้อย่างไร คุณอาจมีพื้นที่รักษาความปลอดภัยในตัว ที่เรียกว่าโมดูลแพลตฟอร์มที่เชื่อถือ (TPM) ของฮาร์ดแวร์หรือ TPM ของซอฟต์แวร์ตามความสามารถของอุปกรณ์ Windows 10 ของคุณ TPM จะจัดเก็บคีย์ส่วนบุคคล ซึ่งจะต้องใช้ใบหน้า ลายนิ้วมือ หรือ PIN ในการปลดล็อก ในทำนองเดียวกัน อุปกรณ์ FIDO2 จะเหมือนกับคีย์รักษาความปลอดภัย ซึ่งเป็นอุปกรณ์ภายนอกที่มีพื้นที่รักษาความปลอดภัยในตัวที่จะจัดเก็บคีย์ส่วนบุคคลและจำเป็นต้องใช้ข้อมูลชีวมิติหรือ PIN ในการปลดล็อก ทั้งสองทางเลือกมีการรับรองความถูกต้องแบบสองปัจจัยในขั้นตอนเดียว ซึ่งจำเป็นต้องใช้อุปกรณ์ที่ลงทะเบียนแล้วและข้อมูลชีวมิติหรือ PIN เพื่อลงชื่อเข้าใช้ให้สำเร็จ
ดูบทความบนบล็อกมาตรฐานข้อมูลประจำตัวนี้ ที่อธิบายรายละเอียดด้านเทคนิคทั้งหมดเกี่ยวกับการปรับใช้
มีอะไรอีก
เรากำลังมุ่งมั่นทำงานอย่างหนักในการปล่อยสิ่งที่ยอดเยี่ยมอีกมากมายเพื่อลดและแม้แต่กำจัดการใช้รหัสผ่าน เรากำลังสร้างประสบการณ์การลงชื่อเข้าใช้แบบเดียวกันจากเบราว์เซอร์ที่มีคีย์รักษาความปลอดภัยสำหรับบัญชีของที่ทำงานหรือโรงเรียนใน Azure Active Directory ลูกค้าระดับองค์กรจะสามารถดูตัวอย่างในช่วงต้นปีถัดไป โดยพวกเขาจะสามารถอนุญาตให้พนักงานตั้งคีย์รักษาความปลอดภัยสำหรับบัญชีของพวกเขาเองเพื่อลงชื่อเข้าใช้ Windows 10 และ Cloud
นอกจากนี้ เนื่องจากเบราว์เซอร์และแพลตฟอร์มอื่นๆ อีกมากมายได้เริ่มให้การสนับสนุนมาตรฐาน WebAuthn และ FIDO2 ซึ่งเป็นประสบการณ์แบบไม่ใช้รหัสผ่านที่พร้อมใช้งานบน Microsoft Edge และ Windows แล้ววันนี้ เราจึงหวังว่าความสามารถนี้จะพร้อมใช้งานทุกที่!
คอยติดตามรายละเอียดเพิ่มเติมในช่วงต้นปีถัดไป!
ด้วยความเคารพ
Alex Simons (@Twitter: @Alex_A_Simons)
CVP ของฝ่ายจัดการโปรแกรม
แผนกข้อมูลประจำตัวของ Microsoft
