Prejsť na hlavný obsah
Microsoft 365
Prihlásiť sa na odber

Bezpečné prihlásenie do konta Microsoft bez hesla pomocou kľúča zabezpečenia a funkcie Windows Hello

Od

Poznámka editora z 26. 11. 2018:
Tento príspevok bol aktualizovaný, aby zahŕňal informácie o možnosti prihlasovania sa bez hesla.

Dobrý deň, priatelia,

teším sa, že sa s vami môžem podeliť o dnešné novinky. Práve sme zapli možnosť bezpečného prihlasovania sa do konta Microsoft pomocou kompatibilného zariadenia podporujúceho štandard FIDO2. FIDO2 používateľom umožňuje využívať zariadenia podporujúce štandardy na jednoduché overovanie a získanie prístupu k online službám – v mobilnom aj počítačovom prostrední. Momentálne je táto možnosť k dispozícii v Spojených štátoch a celosvetovo sa začne zavádzať v priebehu nasledujúcich týždňov.

Táto kombinácia jednoduchého používania, zabezpečenia a rozsiahlej podpory v rámci odvetvia zmení domáce používanie aj moderné pracovisko. Každý mesiac viac než 800 miliónov ľudí využíva konto Microsoft na tvorbu, kontakt a zdieľanie – na prácu alebo hru využívajú Outlook, Office, OneDrive, Bing, Skype a Xbox Live. Teraz majú možnosť všetci využívať túto jednoduchú možnosť a výrazne zvýšiť zabezpečenie.

Oddnes môžete na prihlásenie sa do konta Microsoft pomocou prehliadača Microsoft Edge používať zariadenie s podporou štandardu FIDO2 alebo Windows Hello.

Pozrite si toto krátke video a zistite, ako to funguje:

Microsoft si dal za cieľ eliminovať heslá a pomôcť ľuďom chrániť svoje údaje a kontá pred hrozbami. Ako člen aliancie FIDO (Fast Identity Online) Alliance a konzorcia W3C (World Wide Web Consortium) spolupracujeme s ostatnými na vývoji otvorených štandardov pre budúcu generáciu overovania. Je mi potešením podeliť sa s vami o to, že Microsoft je prvou spoločnosťou skupiny Fortune 500, ktorá podporuje overovanie bez hesla pomocou špecifikácií WebAuthn a FIDO2, a že Microsoft Edge v porovnaní s ostatnými obľúbenými prehliadačmi podporuje najširšiu škálu overovaní.

Ak chcete získať viac informácií o tom, ako to funguje a ako začať s používaním tejto možnosti, čítajte ďalej.

Začíname

Prihlásenie sa do konta Microsoft pomocou kľúča zabezpečenia podporujúceho štandard FIDO2:

  1. Ak ste tak ešte neurobili, vykonajte aktualizáciu na Windows 10 z októbra 2018.
  2. V prehliadači Microsoft Edge prejdite na stránku konta Microsoft a bežným spôsobom sa prihláste.
  3. Vyberte položky Zabezpečenie Ďalšie možnosti zabezpečenia a v časti Windows Hello a kľúče zabezpečenia sa zobrazia inštrukcie na nastavenie kľúča zabezpečenia. (Kľúč zabezpečenia si môžete kúpiť od jedného z našich partnerov vrátane partnerov Yubico a Feitian Technologies, ktorí využívajú štandard FIDO2.*)
  4. Pri ďalšom prihlásení môžete buď kliknúť na položky Ďalšie možnosti > Použiť kľúč zabezpečenia alebo zadať svoje meno používateľa. V tomto bode sa zobrazí výzva na prihlásenie sa pomocou kľúča zabezpečenia.

Na pripomenutie uvádzame spôsob prihlásenia sa do konta Microsoft pomocou funkcie Windows Hello:

  1. Uistite sa, že ste k októbru 2018 vykonali aktualizáciu na Windows 10.
  2. Ak ste tak neurobili, bude potrebné nastaviť Windows Hello. Ak máte funkciu Windows Hello nastavenú, môžete začať pracovať.
  3. Keď sa nabudúce prihlásite pomocou prehliadača Microsoft Edge, môžete buď kliknúť na položky Ďalšie možnosti > Použiť Windows Hello alebo kľúč zabezpečenia alebo zadať svoje meno používateľa. V tomto momente sa zobrazí výzva na prihlásenie sa pomocou funkcie Windows Hello alebo zabezpečeného prístupu.

Ak potrebujete ďalšiu pomoc, pozrite si podrobný článok Pomocníka o tom, ako vykonať nastavenie.

*Špecifikácia FIDO2 zahŕňa niekoľko voliteľných funkcií, ktoré sú podľa nás pre zabezpečenie nevyhnutné, takže fungovať budú len kľúče, ktoré tieto funkcie implementovali. Prečítajte si článok Čo je kľúč zabezpečenia kompatibilný so spoločnosťou Microsoft? a zistite viac.

Ako to funguje?

Na to, aby toto všetko mohlo fungovať, sme do našich služieb implementovali špecifikácie WebAuthn a FIDO2 CTAP2.

Na rozdiel od hesiel FIDO2 chráni poverenia používateľov pomocou šifrovania verejným/súkromným kľúčom. Keď vytvoríte a zaregistrujete poverenia využívajúce štandard FIDO2, zariadenie (váš počítač alebo zariadenie podporujúce štandard FIDO2) vygeneruje súkromný a verejný kľúč. Súkromný kľúč je bezpečne uložený v zariadení a možno ho použiť len potom, čo bol odomknutý pomocou lokálneho gesta, akým je biometrický údaj alebo PIN. Biometrický údaj ani PIN nikdy neopustia zariadenie. V rovnakom čase, keď sa uloží súkromný kľúč, sa verejný kľúč odošle do systému konta Microsoft v cloude a zaregistruje sa v rámci vášho používateľského konta.

Keď sa neskôr prihlásite, systém konta Microsoft poskytne vášmu počítaču alebo zariadeniu podporujúcemu štandard FIDO2 hodnotu Nonce. Váš počítač alebo zariadenie potom použije súkromný kľúč na podpísanie hodnoty Nonce. Podpísaná hodnota Nonce a podpísané metaúdaje sa odošlú späť do systému konta Microsoft, kde sa overia pomocou verejného kľúča. Podpísané metaúdaje špecifikované prostredníctvom špecifikácií WebAuthn a FIDO2 poskytujú informácie, akými sú prítomnosť používateľa a potvrdenie overenia prostredníctvom lokálneho gesta. Vďaka týmto vlastnostiam je overovanie s funkciou Windows Hello a zariadeniami podporujúcimi štandard FIDO2 odolné voči neoprávnenému získavaniu údajov alebo odcudzeniu malvérom.

Ako to Windows Hello a zariadenia podporujúce štandard FIDO2 implementujú? Na základe možností zariadení využívajúcich Windows 10 máte buď vstavanú zabezpečenú enklávu známu ako hardvér modulu TPM (Trusted Platform Module) alebo softvér modulu TPM. Modul TPM uloží súkromný kľúč, na odomknutie ktorého sa vyžaduje vaša tvár, odtlačok prsta alebo PIN. Zariadenie podporujúce štandard FIDO2 je ako kľúč zabezpečenia malým externým zariadením s vlastnou vstavanou zabezpečenou enklávou, ktorá uloží súkromný kľúč, na odomknutie ktorého sa vyžaduje biometrický údaj alebo PIN. Obe možnosti predstavujú dvojfaktorové overenie v jednom kroku, ktoré na úspešné prihlásenie vyžaduje registrované zariadenie a biometrický údaj alebo PIN.

Pozrite si tento článok na našom blogu venovanom štandardom identít, ktorý poskytuje technické podrobnosti o implementácii.

Čo bude nasledovať

Súčasťou našej snahy o zníženie či dokonca eliminovanie používania hesiel je množstvo ďalších nadchádzajúcich vecí. Momentálne vytvárame rovnakú možnosť prihlásenia z prehliadača pomocou kľúčov zabezpečenia pre pracovné a školské kontá v službe Azure Active Directory. Podnikoví zákazníci budú mať začiatkom budúceho roka k dispozícii ukážku, ktorá im umožní povoliť zamestnancom nastaviť si kľúče zabezpečenia pre ich kontá používané na prihlasovanie do Windowsu 10 a cloudu.

Okrem toho, keďže stále viac prehliadačov a platforiem začína podporovať štandardy WebAuthn a FIDO2, dúfame, že prihlasovanie bez hesla, ktoré je dnes dostupné v prehliadači Microsoft Edge a Windowse, bude dostupné všade.

Sledujte nás, začiatkom budúceho roka pre vás budeme mať ďalšie informácie.

S pozdravom
Alex Simons (@Twitter: @Alex_A_Simons)
CVP pre riadenie programov
Divízia identity spoločnosti Microsoft

Súvisiace príspevky