Siirry pääsisältöön
Microsoft 365
Tilaa

Suojattu salasanaton kirjautuminen Microsoft-tilille suojausavaimen tai Windows Hellon avulla

Ohi

Toimittajan huomautus 26.11.2018:
Tätä julkaisua on päivitetty sisältämään tietoja salasanattoman kirjautumisen saatavuudesta.

Tervehdys

Olen innoissani voidessani jakaa uusimmat uutiset! Otimme juuri käyttöön mahdollisuuden kirjautua sisään suojatusti Microsoft-tilille standardeihin perustuvaa FIDO2-yhteensopivaa laitetta käyttämällä – käyttäjänimeä tai salasanaa ei tarvita! FIDO2:n avulla käyttäjät voivat standardeihin perustuvia laitteita hyödyntämällä kirjautua verkkopalveluihin helposti – sekä mobiili- että työpöytäympäristöissä. Palvelu on tällä hetkellä saatavana Yhdysvalloissa, maailmanlaajuinen käyttöönotto on lähiviikkoina.

Tämä helppokäyttöisyyden, suojauksen ja toimialan laajan tuen yhdistelmä on mullistava niin kotona kuin modernilla työpaikallakin. Joka kuukausi yli 800 miljoona ihmistä käyttää Microsoft-tiliä luomiseen, yhteyden muodostamiseen ja jakamiseen mistä tahansa Outlookiin, Officeen, OneDriveen, Bingiin, Skypeen ja Xbox Liveen niin työ- kuin vapaa-ajankin asioissa. Nyt kaikki nämä käyttäjät hyötyvät tästä yksinkertaisesta käyttökokemuksesta ja parannetusta suojauksesta.

Tästä päivästä lähtien voit kirjautua sisään Microsoft-tilille FIDO2-laitteella tai Windows Hellon avulla Microsoft Edge -selainta käyttämällä.

Tässä lyhyessä videossa esitellään sen toimintaa:

Microsoft on pyrkinyt poistamaan käytöstä salasanoja ja auttamaan käyttäjiä suojaamaan tietonsa ja tilinsä uhkilta. Fast Identity Online (FIDO) Alliancen ja World Wide Web Consortiumin (W3C) jäsenenä olemme tehneet yhteistyötä muiden toimijoiden kanssa avoimien standardien kehittämiseksi todentamisen uudelle sukupolvelle. Minulla on ilo kertoa, että Microsoft on ensimmäinen Fortune 500 -yritys, joka tukee salasanatonta kirjautumista WebAuthn- ja FIDO2-määrityksiä käyttämällä, ja Microsoft Edge tukee laajinta todentajajoukkoa muihin suuriin selaimiin verrattuna.

Lisätietoja käytöstä ja aloittamisesta saat jatkamalla tämän artikkelin lukemista.

Aloittaminen

Kirjautuminen Microsoft-tilille FIDO2-suojausavaimella:

  1. Varmista, että teet Windows 10:n lokakuun 2018 päivityksen, jos et ole sitä vielä tehnyt.
  2. Siirry Microsoft-tilin sivulle Microsoft Edgessä ja kirjaudu sisään normaalin tapaan.
  3. Valitse SuojausLisää suojausasetuksiaWindows Hello ja suojausavaimet -kohdassa näet ohjeet suojausavaimen määrittämiseen. (Voit ostaa suojausavaimen joltakin kumppaneistamme, kuten Yubicolta tai Feitian Technologiesilta, jotka tukevat FIDO2-standardia.*)
  4. Kun seuraavan kerran kirjaudut sisään, voit valita joko Lisäasetukset > Käytä suojausavainta tai kirjoittaa käyttäjänimesi. Siinä vaiheessa sinua pyydetään käyttämään suojausavainta sisäänkirjautumiseen.

Seuraavassa on muistutuksena ohjeet Microsoft-tilille kirjautumisesta Windows Hellon avulla:

  1. Varmista, että käytössäsi on Windows 10:n lokakuun 2018 päivitys.
  2. Sinun pitää määrittää Windows Hello, jos et ole sitä vielä tehnyt. Kun Windows Hellon määritys on valmis, olet valmis aloittamaan!
  3. Kun seuraavan kerran kirjaudut Microsoft Edgessä, voit valita joko Lisäasetukset > Käytä Windows Helloa tai suojausavainta tai kirjoittaa käyttäjänimesi. Siinä vaiheessa sinua pyydetään käyttämään Windows Helloa tai suojausavainta sisäänkirjautumiseen.

Lisätietoja aloittamisesta on yksityiskohtaisessa ohjeartikkelissamme.

*FIDO2-määrityksessä on muutama valinnainen ominaisuus, jotka ovat mielestämme olennaisia suojauksen kannalta, joten ainoastaan suojausavaimet, joissa nämä ominaisuudet ovat käytössä, toimivat. Lisätietoja on artikkelissa Mikä Microsoft-yhteensopiva suojausavain on?.

Miten se toimii?

Otimme taustalla WebAuthn- ja FIDO2 CTAP2 -määritykset käyttöön palveluissamme tämän kaiken toteuttamiseksi.

Salasanoista poiketen FIDO2 suojaa käyttäjien tunnistetietoja julkisella tai yksityisellä avaimen salauksella. FIDO2-tunnistetiedon luomisen ja rekisteröimisen jälkeen laite (tietokoneesi tai FIDO2-laite) luo yksityisen ja julkisen avaimen laitteeseen. Yksityinen avain tallennetaan laitteeseen suojatusti, ja sitä voidaan käyttää vasta, kun sen lukitus on poistettu paikallisella eleellä, kuten biometrisellä tunnistamisella tai PIN-koodilla. Ota huomioon, että biometrinen tunnistus tai PIN-koodi ei koskaan poistu laitteesta. Samaan aikaan yksityisen avaimen tallentamisen kanssa julkinen avain lähetetään Microsoft-tilin järjestelmään pilvipalveluun ja rekisteröidään käyttäjätilisi kanssa.

Kun myöhemmin kirjaudut sisään, Microsoft-tilin järjestelmä antaa noncen tietokoneeseesi tai FIDO2-laitteeseen. Tietokone tai laite käyttää sitten yksityistä avainta noncen allekirjoittamiseen. Allekirjoitettu nonce ja metatiedot lähetetään takaisin Microsoft-tilin järjestelmään, jossa se todennetaan julkista avainta käyttämällä. Allekirjoitetut metatiedot tarjoavat WebAuthn- ja FIDO2-määritteiden määritysten mukaisesti tietoja esimerkiksi käyttäjän läsnäolosta ja vahvistavat todentamisen paikallisen eleen kautta. Näiden ominaisuuksien ansiosta tietojen kalastelu ei ole mahdollista eivätkä haittaohjelmistot pysty helposti varastamaan tietoja todennettaessa Windows Hellon ja FIDO2-laitteiden avulla.

Miten tämä on otettu käyttöön Windows Hellossa ja FIDO2-laitteissa? Windows 10 -laitteesi ominaisuuksien mukaan käytössäsi on joko sisäinen, suojattu enklaavi eli laitteiston TPM (trusted platform module) tai ohjelmiston TPM. TPM sisältää yksityisen avaimen, jonka lukituksen poistaminen edellyttää kasvo-, sormenjälki- tai PIN-koodi-tunnistusta. FIDO2-laite on suojausavaimen tapaan pieni ulkoinen laite, jonka sisäiseen, suojattuun enklaaviin on tallennettu yksityinen avain ja jonka lukituksen poistaminen edellyttää biometristä tunnistusta tai PIN-koodia. Kummassakin on saatavana kaksiosainen todentaminen yhdessä vaiheessa. Se edellyttää onnistunutta kirjautumista sekä rekisteröidyllä laitteella että biometrisellä tunnistamisella tai PIN-koodilla.

Tutustu tähän käyttäjätietojen standardeista kertovassa blogissamme olevaan artikkeliin, jossa kerrotaan tarkemmin käyttöönoton teknisistä yksityiskohdista.

Seuraavaksi

Tulossa on runsain määrin hienoja asioita, jotka ovat osa ponnistelujamme vähentää salasanojen käyttöä ja jopa lopettaa niiden käyttö kokonaan. Olemme parhaillaan luomassa samaa sisäänkirjautumiskokemusta selaimesta suojausavaimella työpaikka- ja oppilaitostileille Azure Active Directoryssa. Tämä tulee esikatseltavaksi yritysasiakkaille ensi vuoden alussa, jolloin yritykset voivat antaa työntekijöidensä määrittää omat suojausavaimet tililleen sisäänkirjautumista varten Windows 10:een ja pilvipalveluun.

Lisäksi kun yhä useammat selaimet ja ympäristöt alkavat tukea WebAuthn- ja FIDO2-standardeja, salasanaton käyttökokemus – tällä hetkellä saatavana Microsoft Edgessä ja Windowsissa – on toivottavasti saatavana kaikkialla!

Lisää tietoja ensi vuoden alussa – pysy kuulolla!

Ystävällisin terveisin
Alex Simons (@Twitter: @Alex_A_Simons)
Varapääjohtaja – ohjelman hallinta
Microsoftin käyttäjätietojen osasto

Liittyvät julkaisut