Безопасный вход в учетную запись Майкрософт с помощью ключа безопасности Windows Hello
Примечание редактора от 26.11.2018
Эта публикация обновилась: добавлены сведения о доступности входа без пароля.
Здравствуйте!
Рад поделиться свежими новостями! Мы только что включили возможность безопасного входа в учетную запись Майкрософт с помощью стандартного устройства, совместимого с FIDO2, — имя пользователя или пароль больше не требуются! FIDO2 позволяет пользователям использовать стандартные устройства для простой аутентификации в интернет-службах как в мобильной, так и в настольной среде. Сейчас эта функция работает только в США, но в течение ближайших недель она станет доступна пользователям во всем мире.
Такое сочетание простоты в использовании, безопасности и широкой отраслевой поддержки способно изменить работу как в домашних условиях, так и на современном рабочем месте. Ежемесячно более 800 миллионов человек пользуются учетными записями Майкрософт при создании материалов, подключении к сети и обмене файлами в Outlook, Office, OneDrive, Bing, Skype и Xbox Live для работы и отдыха в любом месте мира. И теперь все они получают дополнительные преимущества в виде простоты использования и существенно улучшенной безопасности.
Начиная с сегодняшнего дня вы можете входить в учетную запись Майкрософт с помощью браузера Microsoft Edge, используя для этого устройство FIDO2 или Windows Hello.
Посмотрите короткий видеоролик, чтобы узнать, как это работает:
Майкрософт поставила перед собой задачу устранить пароли и помочь пользователям защитить от угроз свои данные и учетные записи. Вместе с коллегами по альянсу Fast Identity Online (FIDO) и консорциуму World Wide Web (W3C) мы разрабатываем открытые стандарты аутентификации следующего поколения. Я рад сообщить, что корпорация Майкрософт стала первой компанией из списка Fortune 500, поддерживающей аутентификацию без пароля на основе спецификаций WebAuthn и FIDO2, а Microsoft Edge поддерживает самый широкий спектр средств проверки подлинности по сравнению с другими известными браузерами.
Если вам интересно узнать более подробно, как работает эта функция и как ее использовать, прочитайте эту заметку до конца.
С чего начать
Чтобы войти в свою учетная запись Майкрософт с помощью ключа безопасности FIDO2, поступите следующим образом:
- Если вы еще этого не сделали, установите обновления Windows 10, выпущенные в октябре 2018 г.
- Перейдите на страницу учетных записей Майкрософт в Microsoft Edge и войдите в свою учетную запись.
- Выберите Безопасность > Дополнительные параметры безопасности и в разделе Windows Hello и ключи безопасности найдите инструкцию по настройке ключа безопасности. Ключ безопасности можно приобрести у одного из наших партнеров, включая Yubico и Feitian Technologies, которые поддерживают стандарт FIDO2*.
- При следующем входе вы можете выбрать Дополнительные параметры > Использовать ключ безопасности или ввести имя пользователя. В этот момент система попросит использовать для входа ключ безопасности.
Напоминаем, как войти в учетную запись Майкрософт c помощью Windows Hello:
- Проверьте, установлено ли обновления Windows 10, выпущенные в октябре 2018 г.
- Если это еще не сделано, вам потребуется установить Windows Hello. Если Windows Hello установлен, то у вас все готово!
- При следующем входе в Microsoft Edge вы можете выбрать Дополнительные параметры > Использовать Windows Hello или ключ безопасности или ввести имя пользователя. В этот момент система попросит использовать для входа Windows Hello или ключ безопасности.
Дополнительную информацию можно найти в подробной справочной статье.
*В спецификации FIDO2 есть ряд дополнительных функций, которые, по нашему мнению, имеют основополагающее значение для безопасности, поэтому работать будут только те ключи, в которых эти функции реализованы. В статье Что такое совместимый с Майкрософт ключ безопасности? приведены дополнительные сведения.
Как это работает?
При разработке функции мы внедрили в наши службы спецификации WebAuthn и FIDO2 CTAP2.
FIDO2, в отличие от паролей, защищает учетные данные пользователя посредством шифрования с помощью открытого и закрытого ключей. Когда вы создаете и регистрируете учетные данные FIDO2, устройство (ваш персональный компьютер или устройство FIDO2) генерирует закрытый и открытый ключи. Закрытый ключ надежно хранится на устройстве и может использоваться только после локальной разблокировки с помощью биометрической идентификации или по PIN-коду. Обратите внимание, что ваши биометрические данные или PIN-код привязаны к устройству. Одновременно с сохранением закрытого ключа открытый ключ передается в облачную систему учетных записей Майкрософт и регистрируется для вашей учетной записи.
При последующем входе система учетных записей Майкрософт передает одноразовый идентификатор на ваш компьютер или устройство FIDO2. Ваш компьютер или устройство подписывает идентификатор с помощью закрытого ключа. Подписанный идентификатор и метаданные возвращаются в систему учетных записей Майкрософт, где они проверяются с помощью открытого ключа. В соответствии со спецификациями WebAuthn и FIDO2 подписанные метаданные предоставляют информацию о присутствии пользователя и удостоверяют локальную аутентификацию. Именно благодаря этим особенностям аутентификация с помощью устройств Windows Hello и FIDO2 защищена от фишинга и не может быть имитирована вредоносной программой.
Как эти функции реализованы в Windows Hello и на устройствах FIDO2? В зависимости от возможностей вашего устройства с Windows 10 у вас будет либо встроенный безопасный анклав, известный как доверенный платформенный модуль (TPM), либо его программная реализация. В TPM хранится закрытый ключ, для разблокировки которого требуется распознать ваше лицо или отпечаток пальца либо ввести PIN-код. Устройство FIDO2, как и ключ безопасности, представляет собой небольшое внешнее устройство с собственным встроенным защищенным анклавом, где хранится закрытый ключ, для разблокировки которого требуется биометрическая идентификация или ПИН-код. Оба варианта предлагают двухфакторную проверку подлинности за один шаг, поскольку для успешного входа требуется как само зарегистрированное устройство, так и биометрическая идентификация или PIN-код.
Технические подробности реализации описаны в этой статье нашего блога по стандартам идентификации.
Дальнейшие планы
Результатом наших усилий по сокращению и даже полному отказу от использования паролей стало множество отличных нововведений. В настоящее время мы создаем такой же способ входа через браузер с ключами безопасности для рабочих и учебных учетных записей в Azure Active Directory. Предварительный доступ к этой функции для корпоративных клиентов откроется в начале следующего года, когда их сотрудники смогут создавать свои собственные ключи безопасности для входа в Windows 10 и в облако.
Надеюсь, что по мере того как все больше браузеров и платформ начнут поддерживать стандарты WebAuthn и FIDO2, способ входа без пароля, который сегодня предлагается в Microsoft Edge и Windows, станет доступен повсюду!
Ждите новые обновления в следующем году!
С наилучшими пожеланиями,
Алекс Саймонс (Alex Simons), @Twitter: @Alex_A_Simons
Корпоративный вице-президент по управлению программами
Подразделение идентификации Майкрософт