Avançar para o conteúdo principal
Microsoft 365
Subscrever

Proteja o início de sessão sem palavra-passe da sua conta Microsoft com uma chave de segurança ou o Windows Hello

Por

Nota do editor a 26/11/2018:
Esta publicação foi atualizada de modo a incluir informações sobre a disponibilidade do início de sessão sem palavra-passe.

Olá a todos.

Estou entusiasmado por partilhar as novidades de hoje! Acabámos de disponibilizar a capacidade de iniciar sessão de forma segura na sua conta Microsoft através de um dispositivo baseado em normas FIDO2 compatível, sem precisar de um nome de utilizador ou palavra-passe! O protocolo FIDO2 permite que os utilizadores efetuem facilmente a autenticação em serviços online através de dispositivos baseados em normas, tanto em dispositivos móveis como computadores. Esta funcionalidade já está disponível nos Estados Unidos e será implementada a nível global durante as próximas semanas.

Esta combinação de facilidade de utilização, segurança e suporte industrial alargado será uma experiência transformadora tanto a nível doméstico como na área de trabalho moderna. Todos os meses, mais de 800 milhões de pessoas utilizam uma conta Microsoft para se manterem em contacto, criar e partilhar conteúdos em qualquer lugar através do Outlook, Office, OneDrive, Bing, Skype e Xbox Live, quer para fins de trabalho ou de lazer. Agora, todos podem tirar partido desta experiência de utilizador simples e de uma segurança ainda mais reforçada.

A partir de hoje, pode utilizar um dispositivo FIDO2 ou Windows Hello para iniciar sessão na sua conta Microsoft com o browser Microsoft Edge.

Veja este pequeno vídeo que mostra como o método funciona:

A Microsoft assumiu a missão de eliminar as palavras-passe e ajudar as pessoas a protegerem os respetivos dados e contas contra ameaças. Enquanto membro da Fast Identity Online (FIDO) Alliance e do World Wide Web Consortium (W3C), temos trabalhado em conjunto com outros parceiros para desenvolver normas abertas para a próxima geração de meios de autenticação. É com prazer que partilho que a Microsoft é a primeira empresa da lista Fortune 500 a suportar a autenticação sem palavra-passe com as especificações WebAuthn e FIDO2, além de o Microsoft Edge suportar a maior variedade de autenticadores em comparação com os outros principais browsers.

Se quiser saber mais detalhes sobre como o método funciona e como pode começar, continue a ler.

Começar a utilizar

Para iniciar sessão com a sua conta Microsoft através de uma chave de segurança FIDO2:

  1. Caso ainda não o tenha feito, certifique-se de que instala a atualização de outubro de 2018 do Windows 10.
  2. Aceda à página da conta Microsoft no Microsoft Edge e inicie sessão normalmente.
  3. Selecione SegurançaMais opções de segurança e, na secção Windows Hello e chaves de segurança, verá instruções sobre como configurar uma chave de segurança. (Pode comprar uma chave de segurança a um dos nossos parceiros, incluindo a Yubico e a Feitian Technologies, que suportam a norma FIDO2.*)
  4. Na próxima vez que iniciar sessão, pode clicar em Mais Opções > Utilizar uma chave de segurança ou escreva o seu nome de utilizador. Nessa altura, ser-lhe-á pedido que utilize uma chave de segurança para iniciar sessão.

A título de lembrete, eis como pode iniciar sessão com a sua conta Microsoft através do Windows Hello:

  1. Certifique-se de que instalou a atualização de outubro de 2018 do Windows 10.
  2. Caso ainda não o tenha feito, terá de configurar o Windows Hello. Se já tiver configurado o Windows Hello, está tudo pronto para começar!
  3. Na próxima vez que iniciar sessão no Microsoft Edge, pode clicar em Mais Opções > Utilizar o Windows Hello ou uma chave de segurança ou escrever o seu nome de utilizador. Nessa altura, ser-lhe-á pedido que utilize o Windows Hello ou uma chave de segurança para iniciar sessão.

Se precisar de ajuda adicional, consulte o nosso artigo de ajuda detalhado sobre como efetuar a configuração.

*Existem algumas funcionalidades opcionais na especificação FIDO2 que julgamos serem essenciais em termos de segurança, por isso apenas as chaves que tiverem essas funcionalidades implementadas irão funcionar. Leia o artigo What is a Microsoft-compatible security key? (O que é uma chave de segurança compatível com a Microsoft?) para saber mais informações.

Como funciona?

Nos bastidores, implementámos as especificações WebAuthn e FIDO2 CTAP2 nos nossos serviços para tornar este método de autenticação possível.

Ao contrário das palavras-passe, a especificação FIDO2 protege as credenciais de utilizador com uma encriptação de chave pública ou privada. Ao criar e registar uma credencial FIDO2, o dispositivo (o seu PC ou dispositivo FIDO2) gera uma chave privada e uma chave pública. A chave privada é armazenada de forma segura no dispositivo e só pode ser utilizada depois de ser desbloqueada através de um PIN ou um gesto local, como um gesto biométrico. Tenha em atenção que o gesto biométrico ou PIN nunca sai do dispositivo. Ao mesmo tempo que a chave privada é armazenada, a chave pública é enviada para o sistema na nuvem da conta Microsoft e é registada com a sua conta de utilizador.

Quando iniciar sessão mais tarde, o sistema da conta Microsoft fornecerá um nonce no seu PC ou dispositivo FIDO2. O seu PC ou dispositivo irá utilizar a chave privada para assinar o nonce. O nonce e os metadados assinados são enviados de volta para o sistema da conta Microsoft, onde são verificados com a chave pública. Os metadados assinados, de acordo com as especificações WebAuthn e FIDO2, fornecem informações tais como a presença do utilizador e verificam a autenticação por intermédio do gesto local. São estas propriedades que fazem com que a autenticação com o Windows Hello e os dispositivos FIDO2 não seja vulnerável a ataques de phishing ou facilmente afetada por software maligno.

Como é que o Windows Hello e os dispositivos FIDO2 implementam este método? De acordo com as funcionalidades do seu dispositivo com o Windows 10, terá um enclave seguro incorporado, conhecido como TPM (Trusted Platform Module) de hardware ou de software. O TPM armazena a chave privada, que necessita do seu reconhecimento facial, impressão digital ou PIN para ser desbloqueada. De igual modo, os dispositivos FIDO2 são, à semelhança de uma chave de segurança, um pequeno dispositivo externo com o seu próprio enclave seguro incorporado que armazena a chave privada e exige o gesto biométrico ou PIN para a poder desbloquear. Ambas as opções proporcionam uma autenticação de dois fatores num único passo ao pedir um dispositivo registado e um gesto biométrico ou PIN para que possa iniciar sessão com êxito.

Consulte este artigo no nosso blogue Identity Standards, que abrange todos os detalhes técnicos em torno da implementação.

O que se segue

Temos várias novidades fantásticas para breve como parte dos nossos esforços para reduzir e até eliminar a utilização de palavras-passe. Neste momento, estamos a conceber a mesma experiência de início de sessão a partir de um browser com chaves de segurança para contas escolares e profissionais no Azure Active Directory. Os clientes empresariais terão a oportunidade de pré-visualizar esta experiência no início do próximo ano, onde poderão permitir que os seus colaboradores configurem as próprias chaves de segurança da respetiva conta para iniciarem sessão no Windows 10 e na nuvem.

Além disso, à medida que as normas WebAuthn e FIDO2 começarem a ser suportadas por mais browsers e plataformas, contamos que a experiência sem palavra-passe (disponível no Microsoft Edge e no Windows a partir de hoje) seja disponibilizada em todo o lado!

Fique atento a mais novidades no início do próximo ano!

Melhores cumprimentos,
Alex Simons (@Twitter: @Alex_A_Simons)
CVP de Gestão de Programas
Divisão da Microsoft Identity

Publicações relacionadas