Безпечний безпарольний вхід в облікові записи Microsoft за допомогою ключів безпеки та Windows Hello

Примітка редактора від 26.11.2018
Запис було відредаговано з урахуванням актуальних відомостей про доступність безпарольного входу.

Вітаю!

У мене сьогодні чудові новини. Ми щойно активували можливість безпечного входу в облікові записи Microsoft без використання імен користувачів і паролів, тільки за допомогою пристроїв із підтримкою стандарту FIDO2! Цей стандарт дає змогу застосовувати такі пристрої для входу в онлайн-служби на смартфонах, планшетах і ПК. Поки що функція доступна лише в США, але протягом наступних кількох тижнів нею зможуть користуватися клієнти в усьому світі.

Безпарольний вхід дуже простий, безпечний, і його підтримує більшість пристроїв. Ми впевнені, що цей спосіб автентифікації стане революційним у роботі з персональними та корпоративними пристроями. Щомісяця понад 800 мільйонів людей використовують свої облікові записи Microsoft, щоб працювати й розважатися за допомогою Outlook, Office, OneDrive, Bing, Skype та Xbox Live: створювати контент, віддалено ділитися ним, спілкуватися з колегами та друзями з усього світу. І тепер робити це стало простіше й набагато безпечніше.

Відсьогодні для входу в обліковий запис Microsoft можна використовувати браузер Microsoft Edge і пристрій FIDO2 або функцію Windows Hello.

Подивіться коротке відео, де показано, як це робити:

Певний час тому корпорація Майкрософт поставила за мету позбутися паролів для входу в облікові записи, щоб захистити дані наших користувачів від зловмисників. Як учасник організації Fast Identity Online (FIDO) Alliance і Консорціуму World Wide Web ми разом із нашими компаніями-колегами активно працювали над розробкою відкритих стандартів автентифікації нового покоління. І я дуже радий повідомити, що корпорація Майкрософт стала першою компанією з рейтингу Fortune 500, яка почала підтримувати безпарольну автентифікацію за допомогою специфікацій WebAuthn і FIDO2, а Microsoft Edge тепер підтримує найбільше автентифікаторів порівняно з усіма іншими популярними браузерами.

Якщо вам цікаво, як усе це працює та як почати використовувати безпарольний вхід, читайте далі.

Як почати роботу?

Ось як увійти в обліковий запис Microsoft за допомогою ключа безпеки FIDO2:

  1. Інсталюйте оновлення Windows 10 за жовтень 2018 р. (якщо ви цього ще не зробили).
  2. Запустіть браузер Microsoft Edge, відкрийте в ньому сторінку облікового запису Microsoft і ввійдіть за допомогою імені користувача та пароля.
  3. Натисніть Безпека > Додаткові параметри безпеки. У розділі Windows Hello та ключі безпеки ви побачите інструкції з налаштування ключа безпеки (такий ключ із підтримкою стандарту FIDO2* можна придбати в одного з наших партнерів, наприклад Yubico або Feitian Technologies).
  4. Під час наступного входу натисніть Додаткові параметри > Використати ключ безпеки або ж просто введіть своє ім’я користувача, і вам буде запропоновано ввійти за допомогою ключа безпеки.

Нагадую, ось як увійти в обліковий запис Microsoft за допомогою Windows Hello:

  1. Інсталюйте оновлення Windows 10 за жовтень 2018 р.
  2. Налаштуйте Windows Hello (якщо ви цього ще не зробили).
  3. Коли ви наступний раз входитимете через Microsoft Edge, натисніть Додаткові параметри > Використати Windows Hello або ж просто введіть своє ім’я користувача, і вам буде запропоновано ввійти за допомогою Windows Hello або ключа безпеки.

Більше деталей про налаштування цих функцій наведено в нашій докладній довідковій статті.

* У специфікації FIDO2 є кілька додаткових функцій, які ми вважаємо вкрай важливими для захисту облікових записів. Тому для входу можна використовувати лише ключі, які підтримують ці функції. Щоб дізнатися більше, прочитайте статтю “Що таке ключ безпеки, сумісний із Microsoft?”.

Як це працює?

Щоб наші служби почали підтримувати безпарольний вхід, ми інтегрували в них специфікації WebAuthn і FIDO2 CTAP2.

На відміну від паролів, FIDO2 захищає облікові дані користувачів за допомогою шифрування з відкритим і закритим ключем. Коли ви реєструєте облікові дані FIDO2, пристрій (ваш ПК чи пристрій FIDO2) генерує відкритий і закритий ключі. Закритий ключ безпечно зберігається на пристрої. Щоб використати цей ключ, його потрібно спершу розблокувати на пристрої за допомогою біометричних даних або PIN-коду, які нікуди з цього пристрою не передаються. Тим часом відкритий ключ надсилається до хмарної системи облікових записів Microsoft і реєструється у вашому обліковому записі.

Таким чином, щоразу, коли ви входите в обліковий запис, система Microsoft надсилає на ваш ПК чи пристрій FIDO2 одноразовий ідентифікатор. За допомогою закритого ключа пристрій підписує цей ідентифікатор й надсилає його разом із метаданими назад до системи облікових записів Microsoft, яка перевіряє ідентифікатор, використовуючи відкритий ключ. Підписані метадані відповідно до специфікацій WebAuthn і FIDO2 надають інформацію про те, чи був присутній користувач тощо, і підтверджують автентифікацію за допомогою операції на пристрої. Завдяки цьому вхід із використанням Windows Hello та пристроїв FIDO2 повністю захищає від фішингу та зловмисних програм, які перехоплюють облікові дані.

Як працюють функція Windows Hello та пристрої FIDO2? Залежно від можливостей вашого пристрою Windows 10, на ньому може використовуватись або апаратний, або програмний довірений платформовий модуль (TPM), у якому зберігається закритий ключ. Цей ключ можна розблокувати тільки за допомогою вашого обличчя, відбитку пальця чи PIN-коду. Пристрій FIDO2 виконує ті самі функції, що й ключ безпеки. Це невеликий зовнішній пристрій із власним безпечним модулем для зберігання закритого ключа. Для розблокування останнього так само потрібні біометричні дані чи PIN-код. Обидва варіанти забезпечують двофакторну автентифікацію в один крок, оскільки для входу необхідний як зареєстрований пристрій, так і введення біометричних даних або PIN-коду.

Усі технічні деталі читайте в цій статті з нашого блоґу “Стандарти ідентичності”.

Що далі?

Ми прагнемо зменшити використання паролів, а в перспективі й узагалі їх позбутися. Тож у нас заплановано багато покращень у цьому напрямку. Наразі ми працюємо над аналогічною функцією входу через браузер за допомогою ключів безпеки для робочих і навчальних облікових записів в Azure Active Directory. Корпоративні клієнти зможуть випробувати її підготовчу версію вже на початку наступного року (для цього їхні адміністратори повинні будуть дозволити співробітникам налаштовувати для своїх облікових записів власні ключі безпеки та використовувати їх для входу в хмару та Windows 10).

І це ще не все! Зараз дедалі більше браузерів і платформ починають підтримувати стандарти WebAuthn і FIDO2, тож ми сподіваємося, що незабаром безпарольний вхід, який зараз доступний лише для Microsoft Edge і Windows, можна буде використовувати в усіх програмах.

Залишайтеся з нами та чекайте на новини на початку наступного року!

З найщирішими побажаннями,
Алекс Сімонс (@Twitter: @Alex_A_Simons),
корпоративний віце-президент із питань керування програмами,
відділення технологій ідентифікації, корпорація Майкрософт


Зверніть увагу: функції та можливості, описані в цих дописах у блозі, можуть відрізнятися залежно від країни. Щоб дізнатися більше про певний продукт для вашої країни, відвідайте сторінку Microsoft 365, Office 365, Windows 10 або Enterprise Mobility + Security.
Вміст, наведений за посиланнями з цих дописів, може бути недоступний вашою мовою.