Gå till huvudinnehåll
Microsoft 365
Prenumerera

Säker lösenordsfri inloggning för ditt Microsoft-konto med hjälp av en säkerhetsnyckel eller Windows Hello

Redaktörens anmärkning 26 november 2018:
Det här inlägget uppdaterades med informationen om tillgänglighet för lösenordsfri inloggning.

Hej!

Jag är glad att kunna meddela nyheterna för i dag! Vi har just aktiverat möjligheten att säkert logga in med ett Microsoft-konto med hjälp av en enhet som är kompatibel med standarden FIDO2 – användarnamn och lösenord behövs inte! FIDO2 gör att användarna kan utnyttja enheter som bygger på standarden för att enkelt autentisera sig för onlinetjänster – i både mobila och stationära miljöer. Detta är redan tillgängligt i USA och lanseras globalt under de närmaste veckorna.

Den här kombinationen av enkelhet och säkerhet och med brett stöd i branschen kommer att bli omvälvande både hemma och på den moderna arbetsplatsen. Varje månad använder mer än 800 miljoner människor ett Microsoft-konto för att skapa, ansluta och dela från valfri plats till Outlook, Office, OneDrive, Bing, Skype och Xbox Live i arbetet och för nöjes skull. Och nu kan de alla dra nytta av den här enkla användarfunktionen och en mycket högre säkerhet.

Med början i dag kan du använda en FIDO2-enhet eller Windows Hello för att logga in på ditt Microsoft-konto i webbläsaren Microsoft Edge.

Titta på den här korta videon som visar hur det fungerar:

Microsoft har arbetat målmedvetet för att eliminera lösenord och hjälpa människor att skydda sina data och konton från hot. Som medlem i FIDO Alliance (Fast Identity Online) och World Wide Web Consortium (W3C) har vi samarbetat med andra för att utveckla öppna standarder för nästa generations autentisering. Jag är glad att kunna meddela att Microsoft är det första Fortune 500-företaget som stöder lösenordsfri autentisering med hjälp av WebAuthn- och FIDO2-specifikationerna, och Microsoft Edge har stöd för det bredaste utbudet av autentiserare jämfört med andra stora webbläsare.

Om du vill veta mer om hur det fungerar och hur du kommer igång kan du fortsätta läsa här.

Kom igång

Så här loggar du in med ett Microsoft-konto med hjälp av en FIDO2-säkerhetsnyckel:

  1. Om du inte redan har gjort det behöver du köra Windows 10-uppdateringen för oktober 2018.
  2. Gå till Microsoft-kontosidan för Microsoft Edge och logga in som vanligt.
  3. Välj Säkerhet > Fler säkerhetsalternativ. Därefter ser du under Windows Hello och säkerhetsnycklar instruktioner för att konfigurera en säkerhetsnyckel. (Du kan köpa en säkerhetsnyckel från någon av våra partner, till exempel Yubico och Feitian Technologies som har stöd för FIDO2-standarden.*)
  4. Nästa gång du loggar in kan du antingen klicka på Fler alternativ > Använd en säkerhetsnyckel eller skriva in ditt användarnamn. I det läget blir du uppmanad att använda en säkerhetsnyckel för att logga in.

Här följer en påminnelse om hur du loggar in med ditt Microsoft-konto med hjälp av Windows Hello:

  1. Kontrollera att du har kört Windows 10-uppdateringen för oktober 2018.
  2. Om du inte redan har gjort det behöver du konfigurera Windows Hello. Om du har installerat Windows Hello är du redo att börja!
  3. Nästa gång du loggar in med Microsoft Edge kan du antingen klicka på Fler alternativ > Använd Windows Hello eller en säkerhetsnyckel eller skriva in ditt användarnamn. I det läget blir du uppmanad att använda Windows Hello eller en säkerhetsnyckel för att logga in.

Om du behöver mer hjälp kan du läsa vår detaljerade hjälpartikel om hur du kommer igång.

*Det finns några valfria funktioner i FIDO2-specifikationerna som vi anser är viktiga för säkerheten, så det är bara nycklar som har dessa funktioner implementerade som kommer att fungera. Läs Vad är en Microsoft-kompatibel säkerhetsnyckel? om du vill veta mer.

Hur fungerar det?

Under skalet har vi implementerat WebAuthn- och FIDO2 CTAP2-specifikationerna i våra tjänster för att förverkliga detta.

Till skillnad från lösenord skyddar FIDO2 användarinloggningar med hjälp av kryptering av offentliga/privata nycklar. När du skapar och registrerar en FIDO2-inloggning genererar enheten (din dator eller FIDO2-enheten) en privat och en offentlig nyckel på enheten. Den privata nyckeln lagras säkert på enheten och kan bara användas efter att den har låsts upp med hjälp av en lokal gest som biometri eller PIN-kod. Observera att din biometriska inloggning eller PIN-kod aldrig lämnar enheten. Samtidigt som den privata nyckeln lagras, skickas den offentliga nyckeln till Microsoft-kontosystemet i molnet och registreras med ditt användarkonto.

När du senare loggar in skickar Microsoft-kontosystemet en nonce till din dator eller FIDO2-enheten. Din dator eller enhet använder sedan den privata nyckeln för att signera noncen. Den signerade noncen och metadata skickas tillbaka till Microsoft-kontosystemet, där den verifieras med hjälp av den offentliga nyckeln. De signerade metadata enligt specifikationen i WebAuthn- och FIDO2-specifikationerna tillhandahåller information, till exempel om användaren var närvarande, och verifierar autentiseringen genom den lokala gesten. Det är dessa egenskaper som gör att autentisering med Windows Hello och FIDO2-enheter inte kan ”fiskas” upp eller enkelt stjälas av skadlig kod.

Hur implementeras detta på Windows Hello- och FIDO2-enheter? Baserat på din Windows 10-enhets funktioner har du antingen en inbyggd säker enklav, som är en TPM (Trusted Platform Module) för maskinvara eller en TPM för programvara. TPM lagrar den privata nyckeln, som kräver antingen ditt ansikte, fingeravtryck eller en PIN-kod för att låsa upp den. På liknande sätt är en FIDO2-enhet, precis som en säkerhetsnyckel, en liten extern enhet med en egen inbyggd säkerhetsenklav som lagrar den privata nyckeln och kräver den biometriska metoden eller PIN-koden för att låsa upp den. Båda alternativen erbjuder tvåfaktorautentisering i ett steg, vilket kräver både en registrerad enhet och en biometrimetod eller PIN-kod för att inloggningen ska kunna genomföras.

Ta en titt på den här artikeln på vår blogg om identitetsstandarder, som beskriver alla tekniska detaljer runt implementeringen.

Vad är nästa steg?

Vi har massor att erbjuda som ett resultat av vårt arbete att minska och till och med eliminera användningen av lösenord. Vi håller för närvarande på att bygga upp samma inloggningsfunktion från en webbläsare med säkerhetsnycklar för arbets- och skolkonton i Azure Active Directory. Företagskunder kommer att få prova detta i en förhandsversion tidigt under nästa år, då de kommer att kunna tillåta de anställda att konfigurera egna säkerhetsnycklar för sina konton för inloggning i Windows 10 och molnet.

Allt eftersom fler webbläsare och plattformar börja stödja WebAuthn- och FIDO2-standarderna kommer den lösenordsfria funktionen – som i dag är tillgänglig för Microsoft Edge och Windows – förhoppningsvis att bli tillgänglig överallt!

Håll utkik efter mer information i början av nästa år!

Vänliga hälsningar
Alex Simons (@Twitter: @Alex_A_Simons)
CVP för programhantering
Microsoft Identity Division