Beskyt logon uden adgangskode for din Microsoft-konto med en sikkerhedsnøgle eller Windows Hello

Ved

20. november 2018

Redaktørens bemærkning 26-11-2018:
Dette opslag blev opdateret med de nyeste oplysninger om tilgængeligheden af logon uden adgangskode.

Hej folkens.

Jeg er utrolig begejstret over at kunne dele dagens nyheder med jer! Vi har lige gjort det muligt for dig at logge på med din Microsoft-konto sikkert med en standardbaseret FIDO2-kompatibel enhed – brugernavn og adgangskode er ikke påkrævet! FIDO2 giver brugere mulighed for at udnytte standardbaserede enheder til nemt at godkende onlinetjenester – i både mobil- og skrivebordsmiljøer. Dette er nu tilgængeligt i USA og rulles ud globalt hen over de næste par uger.

Denne kombination af brugervenlighed, sikkerhed og udbredt industriunderstøttelse vil være transformerende både derhjemme og på den moderne arbejdsplads. Hver måned bruger mere end 800 millioner personer en Microsoft-konto til at oprette, forbinde og dele med Outlook, Office, OneDrive, Bing, Skype og Xbox Live til arbejds- og fritidsformål, uanset hvor de befinder sig. Og nu kan de alle drage fordel af denne enkle brugeroplevelse og stærkt forbedrede sikkerhed.

Fra og med i dag kan du bruge en FIDO2-enhed eller Windows Hello til at logge på din Microsoft-konto på Microsoft Edge-browseren.

Se denne hurtige video, der viser, hvordan det fungerer:

Microsoft har været på en mission om at eliminere adgangskoder og hjælpe folk med at beskytte deres data og konti mod trusler. Som et medlem af FIDO-alliancen (Fast Identity Online) og W3C (World Wide Web Consortium) har vi samarbejdet med andre om at udvikle åbne standarder til den næste generation af godkendelse. Jeg er glad for at kunne meddele, at Microsoft er det første Fortune 500-firma, der understøtter godkendelse uden adgangskode med specifikationerne WebAuthn og FIDO2. I forhold til andre større browsere understøtter Microsoft Edge også det største udvalg af godkendere.

Hvis du vil have flere oplysninger om, hvordan det fungerer, og hvordan du kommer i gang, skal du læse videre.

Kom i gang

Sådan logger du på din Microsoft-konto med en FIDO2-sikkerhedsnøgle:

Sørg for, at du opdaterer til Windows 10 fra oktober 2018, hvis du ikke allerede har gjort det.
Gå til Microsoft-kontosiden på Microsoft Edge, og log på som du normalt ville gøre det.
Vælg Sikkerhed> Flere sikkerhedsindstillinger, og under Windows Hello og sikkerhedsnøgler får du vist vejledningen til konfiguration af en sikkerhedsnøgle. Du kan købe en sikkerhedsnøgle fra en af vores partnere, herunder Yubico og Feitian Technologies, der understøtter FIDO2-standarden.*
Næste gang du logger på, kan du enten klikke på Flere indstillinger > Brug en sikkerhedsnøgle eller indtaste dit brugernavn. På dette tidspunkt bliver du spurgt, om du vil bruge en sikkerhedsnøgle til at logge på.

Og som påmindelse vises her, hvordan du logger på din Microsoft-konto med Windows Hello:

Sørg for, at du har opdateret til Windows 10 fra oktober 2018.
Hvis du ikke har gjort det allerede, skal du konfigurere Windows Hello. Hvis du har konfigureret Windows Hello, er du klar!
Næste gang du logger på Microsoft Edge, kan du enten klikke på Flere indstillinger > Brug Windows Hello eller en sikkerhedsnøgle eller indtaste dit brugernavn. På dette tidspunkt bliver du spurgt, om du vil bruge Windows Hello eller en sikkerhedsnøgle til at logge på.

Hvis du har brug for mere hjælp, kan du læse vores detaljerede hjælpeartikel om, hvordan du udfører konfigurationen.

* Der er et par valgfrie funktioner i FIDO2-specifikationen, som efter vores mening er afgørende i forhold til sikkerhed. Det er derfor kun nøgler, der har implementeret disse funktioner, der fungerer. Læs Hvad er en Microsoft-kompatibel sikkerhedsnøgle? for at få mere at vide.

Hvordan fungerer det?

Bag scenen har vi implementeret specifikationerne WebAuthn og FIDO CTAP2 i vores tjenester for at gøre dette til virkelighed.

I modsætning til adgangskoder beskytter FIDO2 brugeroplysninger med offentlig/privat nøglekryptering. Når du opretter og registrerer FIDO2-brugeroplysninger, genererer enheden (din pc eller FIDO2-enheden) en privat og offentlig nøgle på enheden. Den private nøgle lagres sikkert på enheden og kan kun bruges, når den er blevet låst op med en lokal handling, som f.eks. en biometrisk handling eller adgangskode. Bemærk, at den biometriske handling og adgangskoden aldrig forlader enheden. Samtidig med at den private nøgle lagres, sendes den offentlige nøgle til Microsoft-kontosystemet i skyen og registreres med din brugerkonto.

Når du senere logger på, leverer Microsoft-kontosystemet en nonce til din pc eller FIDO2-enhed. Din pc eller enhed bruger derefter den private nøgle til at underskrive noncen. Den underskrevne nonce og metadataene sendes tilbage til Microsoft-kontosystemet, hvor den godkendes med den offentlige nøgle. De underskrevne metadata, der specificeres af WebAuthn- og FIDO2-specifikationerne, giver oplysninger, som f.eks. om brugeren var til stede, og bekræfter godkendelsen via den lokale handling. Det er disse egenskaber, der gør godkendelse med Windows Hello og FIDO2-enheder modstandsdygtig over for phishing eller malware.

Hvordan implementerer Windows Hello og FIDO2-enheder dette? Baseret på funktionerne på din Windows 10-enhed vil du enten have en indbygget sikkerhedsenklave, der kaldes en hardware-TPM (Trusted Platform Module) eller en software-TPM. TPM’en lagrer den private nøgle, hvilket kræver enten dit ansigt, fingeraftryk eller din adgangskode for at låse den op. En FIDO2-enhed er på samme måde som en sikkerhedsnøgle en lille ekstern enhed med dens egen indbyggede sikkerhedsenklave, der lagrer den private nøgle og kræver en biometrisk handling eller en adgangskode for at låse den op. Begge indstillinger tilbyder tofaktorgodkendelse i et enkelt trin, da der kræves både en registreret enhed og en biometrisk handling eller en adgangskode for at logge på.

Se denne artikel på vores blog om identitetsstandarder, der går i dybden med alle de tekniske detaljer omkring implementering.

Og hvad så nu?

Vi har masser af store ting, der udkommer som del af vores bestræbelser på at reducere og endda eliminere brugen af adgangskoder. Vi bygger i øjeblikket den samme logonoplevelse fra en browser med sikkerhedsnøgler til arbejds- og skolekonti i Azure Active Directory. Enterprise-kunder får mulighed for at bruge en prøveversion med dette tidligt næste år, hvor de har mulighed for at lade medarbejdere konfigurere deres egne sikkerhedsnøgler for kontoen, som de bruger til at logge på Windows 10 og skyen.

Efterhånden som flere browsere og platforme begynder at understøtte WebAuthn- og FIDO2-standarderne vil den adgangskodeløse oplevelse – i dag tilgængelig på Microsoft Edge og Windows – forhåbentligt blive tilgængelig overalt!

Flere oplysninger er på vej tidligt næste år!

Med venlige hilsner
Alex Simons (@Twitter: @Alex_A_Simons)
CVP for programstyring
Microsoft Identity Division

Relaterede indlæg

18. september 2019

Hvorfor banker går over til en moderne tilgang til cybersikkerhed – Zero Trust-modellen
25. juni 2019

Personlig boks i OneDrive giver øget sikkerhed til dine vigtigste filer, og OneDrive får flere lagerløsninger
16. oktober 2018

Gartner Peer Insights udnævnte i 2018 Microsoft som kundernes foretrukne valg, når det gælder adgangsstyring
25. juni 2018

Vision + eksekvering: Microsoft kåret som leder igen i Gartner MQ inden for adgangsstyring

Kom i gang

Hvordan fungerer det?

Og hvad så nu?

Relaterede indlæg

Hvorfor banker går over til en moderne tilgang til cybersikkerhed – Zero Trust-modellen

Personlig boks i OneDrive giver øget sikkerhed til dine vigtigste filer, og OneDrive får flere lagerløsninger

Gartner Peer Insights udnævnte i 2018 Microsoft som kundernes foretrukne valg, når det gælder adgangsstyring

Vision + eksekvering: Microsoft kåret som leder igen i Gartner MQ inden for adgangsstyring