Přeskočit na hlavní obsah
Microsoft 365
Přihlásit k odběru

Bezpečné přihlášení účtem Microsoft bez hesla pomocí klíče zabezpečení nebo Windows Hello

Vedle

Poznámka redakce, 26. 11. 2018:
Tento příspěvek jsme aktualizovali o informace o dostupnosti přihlášení bez hesla.

Všechny vás zdravím,

a musím říct, že dnešní článek píšu s velkým nadšením. Právě jsme totiž zapnuli možnost bezpečně se přihlásit účtem Microsoft s pomocí zařízení kompatibilního se standardem FIDO2 – není tak nutné žádné uživatelské jméno ani heslo. Protokol FIDO2 uživatelům umožňuje snadné ověření v online službách v mobilním i desktopovém prostředí pomocí zařízení založených na standardech. Tato možnost je momentálně dostupná ve Spojených státech a v nejbližších několika týdnech ji zpřístupníme globálně.

Spojení snadného používání, zabezpečení a široké podpory v rámci oboru přinese přelomové možnosti v domácnostech i na moderních pracovištích. Každý měsíc použije přes 800 milionů lidí v práci nebo ve volném čase účet Microsoft. Pomáhá jim při vytváření obsahu, připojování nebo sdílení odkudkoli ve službách Outlook, Office, OneDrive, Bing, Skype a Xbox Live. Ti všichni teď můžou využít přehledné uživatelské prostředí a výrazné vylepšení zabezpečení.

Ode dneška se můžete k účtu Microsoft v prohlížeči Microsoft Edge přihlásit pomocí zařízení FIDO2 nebo funkce Windows Hello.

Podívejte se v tomto krátkém videu, jak to funguje:

Cílem Microsoftu je zbavit se hesel, ovšem bez kompromisů v ochraně dat a účtů před hrozbami. Jako člen organizací Fast Identity Online (FIDO) Alliance a World Wide Web Consortium (W3C) spolupracujeme s dalšími subjekty na vývoji otevřených standardů pro ověřování nové generace. S radostí vás můžu informovat, že Microsoft je první společností z žebříčku Fortune 500, která podporuje ověřování bez hesla pomocí specifikací WebAuthn a FIDO2. Microsoft Edge navíc oproti ostatním důležitým prohlížečům podporuje nejširší škálu ověřovacích dat.

Pokud vás zajímají další podrobnosti o tom, jak novinka funguje a jak s ní začít pracovat, čtěte dál.

Začínáme

Přihlášení k účtu Microsoft Account pomocí klíče zabezpečení FIDO2:

  1. Pokud jste to ještě neudělali, nainstalujte aktualizaci Windows 10 z října 2018.
  2. Přejděte v prohlížeči Microsoft Edge na stránku účtu Microsoft a přihlaste se jako obvykle.
  3. Vyberte Zabezpečení > Další možnosti zabezpečení. V části Windows Hello a klíče zabezpečení najdete pokyny k nastavení klíče zabezpečení. (Klíč zabezpečení můžete zakoupit od některého z našich partnerů, kteří podporují standard FIDO2, mimo jiné od společností Yubico a Feitian Technologies.*)
  4. Při příštím přihlášení pak můžete kliknout na Další možnosti > Použít klíč zabezpečení, případně zadat své uživatelské jméno. Poté se zobrazí výzva k přihlášení pomocí klíče zabezpečení.

Připomínáme také postup, jak se přihlásit účtem Microsoft pomocí Windows Hello:

  1. Ověřte si, že máte nainstalovanou aktualizaci Windows 10 z října 2018.
  2. Pokud jste to ještě neudělali, bude potřeba nastavit Windows Hello. Jestli jste Windows Hello už nastavili, máte všechno potřebné připraveno.
  3. Při příštím přihlášení v prohlížeči Microsoft Edge pak můžete kliknout na Další možnosti > Použít Windows Hello nebo klíč zabezpečení, případně zadat své uživatelské jméno. Poté se zobrazí výzva k přihlášení pomocí Windows Hello nebo klíče zabezpečení.

Pokud potřebujete další pomoc, přečtěte si podrobný článek nápovědy s pokyny k nastavení.

*Specifikace FIDO2 obsahuje několik volitelných funkcí, které jsou podle nás zásadní pro zabezpečení, používáme proto pouze klíče, které tyto funkce implementovaly. Další informace najdete v článku What is a Microsoft-compatible security key? (Co je klíč zabezpečení kompatibilní s produkty Microsoft?).

Jak to funguje?

Do našich služeb jsme implementovali specifikace WebAuthn a FIDO2 CTAP2, které tento typ ověření umožní.

Standard FIDO2 nechrání přihlašovací údaje uživatele heslem, ale šifrováním pomocí veřejných a privátních klíčů. Když si vytvoříte a zaregistrujete přihlašovací údaje FIDO2, vygeneruje zařízení (tj. váš počítač nebo zařízení FIDO2) privátní a veřejný klíč. Privátní klíč se bezpečně uloží v zařízení a dá se použít výhradně po odemknutí pomocí místního gesta, například biometricky nebo kódem PIN. Zdůrazněme, že vaše biometrické údaje ani PIN nikdy neopustí zařízení. Současně s uložením privátního klíče se do systému účtů Microsoft v cloudu odešle veřejný klíč a zaregistruje se ve vašem uživatelském účtu.

Když se později budete přihlašovat, systém účtů Microsoft poskytne vašemu počítači nebo zařízení FIDO2 hodnotu Nonce. Počítač nebo zařízení pak hodnotu Nonce podepíše pomocí privátního klíče. Podepsaná hodnota Nonce se spolu s metadaty pošle zpět do systému účtů Microsoft, kde se ověří pomocí veřejného klíče. Podepsaná metadata podle požadavků specifikací WebAuthn a FIDO2 poskytují různé informace, například zda byl uživatel přítomen, a ověří přihlášení místním gestem. Právě díky těmto vlastnostem je ověřování pomocí Windows Hello a zařízení FIDO2 odolné proti phishingovým podvodům nebo snadnému odcizení malwarem.

Jak se tato funkce ve Windows Hello a zařízeních FIDO2 implementuje? Podle možností konkrétního zařízení s Windows 10 budete mít k dispozici integrovanou bezpečnou enklávu, které se říká zabezpečovací hardware TPM, případně softwarový klíč TPM. Na platformě TPM se ukládá privátní klíč, jehož odemknutí vyžaduje rozpoznání vašeho obličeje nebo otisku prstu, případně PIN. Zařízení FIDO2 je podobně jako klíč zabezpečení malé externí zařízení s vlastní integrovanou bezpečnou enklávou, kde je uložený privátní klíč, který se dá odemknout jen biometricky nebo kódem PIN. Obě možnosti nabízejí dvoufaktorové ověření v jednom kroku: k úspěšnému přihlášení je nutné jak registrované zařízení, tak biometrický údaj nebo PIN.

Tento článek na našem blogu Identity Standards rozebírá veškeré technické detaily související s implementací.

Co chystáme dál

Omezit používání hesel nebo se jich dokonce zbavit úplně je jednou z našich priorit, proto v tomto směru chystáme spoustu skvělých novinek. Momentálně pracujeme na stejném prostředí pro přihlášení z prohlížeče pomocí klíčů zabezpečení pro pracovní a školní účty v Azure Active Directory. Firemním zákazníkům tuto možnost zpřístupníme ve verzi Preview počátkem příštího roku. Budou tak moct povolit svým zaměstnancům, aby si nastavili pro svůj účet vlastní klíče zabezpečení k přihlášení do Windows 10 a do cloudu.

Věříme, že s tím, jak bude standardy WebAuthn a FIDO2 podporovat stále více prohlížečů a platforem, bude přihlášení bez hesla – aktuálně dostupné v prohlížeči Microsoft Edge a ve Windows – možné všude.

Sledujte další novinky, s kterými přijdeme už začátkem nového roku!

S přátelským pozdravem
Alex Simons (@Twitter: @Alex_A_Simons)
Viceprezident pro řízení programů
Divize Microsoft Identity

Související příspěvky