跳转至主内容
Microsoft 365
订阅

使用安全密钥或 Windows Hello 无密码安全登录 Microsoft 帐户

编者按 2018/11/26:
本文已更新,内附无密码登录适用性的相关信息。

大家好,

我很高兴分享今日新闻!我们刚刚启用了使用基于标准的 FIDO2 兼容设备安全登录 Microsoft 帐户的功能——无需用户名或密码!借助 FIDO2,用户能够利用基于标准的设备在移动和桌面环境中轻松对在线服务进行身份验证。该项服务现已在美国面世,并将在未来几周内推向全球。

它结合了易用性、安全性和广泛的行业支持,将在家庭和现代工作场所实现转型。每个月都有超过 8 亿人在使用 Microsoft 帐户随处创建、连接和共享 Outlook、Office、OneDrive、必应、Skype 和 Xbox Live 进行工作和娱乐。现在,他们都能从这项简单的用户体验中受益,同时获得大幅增强的安全保障。

从今天开始,你可使用 FIDO2 设备或 Windows Hello 在 Microsoft Edge 浏览器中登录 Microsoft 帐户。

请观看此简短视频,了解其工作原理:

Microsoft 一直致力于消除密码并帮助人们保护其数据和帐户免受威胁。作为线上快速身份验证 (FIDO) 联盟和万维网联盟 (W3C) 的成员,我们始终在与他人合作,为下一代身份验证制定开放标准。我很高兴地告诉大家,Microsoft 是第一家使用 WebAuthn 和 FIDO2 规范支持无密码身份验证的财富 500 强公司,与其他主要浏览器相比,Microsoft Edge 支持超广泛的验证器。

如果你想更详细地了解其工作原理和入门方式,请继续阅读。

入门

使用 FIDO2 安全密钥登录 Microsoft 帐户:

  1. 如果你尚无此密钥,请确保更新到 Windows 10 的 2018 年 10 月版本。
  2. 转到 Microsoft Edge 上的 Microsoft 帐户页,然后像往常一样登录。
  3. 选择“安全性”>“更多安全选项”,在“Windows Hello 和安全密钥”下,你将看到有关设置安全密钥的说明。(你可从我们的合作伙伴处购买安全密钥,例如从支持 FIDO2 标准的 YubicoFeitian Technologies 处。*)
  4. 下次登录时,可单击“更多选项”>“使用安全密钥”,也可键入用户名。此时,系统会要求你使用安全密钥登录。

请注意,下面是使用 Windows Hello 登录 Microsoft 帐户的方法:

  1. 确保你已更新到 Windows 10 的 2018 年 10 月版本。
  2. 如果尚未更新,则需要设置 Windows Hello。如果已设置好 Windows Hello,就可开始了!
  3. 下次登录 Microsoft Edge 时,可单击“更多选项”>“使用 Windows Hello 或安全密钥”,也可键入用户名。此时,系统会要求你使用 Windows Hello 或安全密钥进行登录。

如果需要更多帮助,请查看我们的详细帮助文章来了解设置方式。

*FIDO2 规范中有一些我们认为对安全性至关重要的可选功能,因此只有实现了这些功能的密钥才有效。要了解详细信息,请参阅什么是 Microsoft 兼容的安全密钥?

工作原理

实际上,我们在自己的服务中实现了 WebAuthn 和 FIDO2 CTAP2 规范,使它得到了落实。

与密码不同,FIDO2 使用公钥/私钥加密来保护用户凭据。在你创建并注册 FIDO2 凭据时,设备(电脑或 FIDO2 设备)会在设备上生成一对公钥私钥。私钥安全地存储在设备上,只有在通过生物识别或 PIN 等本地手势解锁后才能使用。请注意,你的生物识别或 PIN 永远保留在设备上。在存储私钥的同时,公钥被发送到云端的 Microsoft 帐户系统并在你的用户帐户中注册。

在你以后登录时,Microsoft 帐户系统会向你的电脑或 FIDO2 设备提供一个 nonce。然后,你的电脑或设备使用私钥对 nonce 进行签名。已签名的 nonce 和元数据将发送回 Microsoft 帐户系统,并在此处通过公钥进行验证。按照 WebAuth 和 FIDO2 规范指定进行签名的元数据将提供诸如用户是否在线等信息,并通过本地手势验证身份。正是因为这些属性,使用 Windows Hello 和 FIDO2 设备进行的身份验证才不“易受攻击”或被恶意软件轻易窃取。

Windows Hello 和 FIDO2 设备如何实现这一点?根据 Windows 10 设备的功能,你将拥有内置的安全区域(称为硬件可信平台模块 (TPM))或软件 TPM。TPM 存储私钥,需要你的面部、指纹或 PIN 才能解锁。同样地,FIDO2 设备(例如安全密钥)是一个小型外部设备,它自带内置安全区域,可存储私钥且需要生物识别或 PIN 进行解锁。这两个选项一步到位地提供了双因素身份验证,要求同时注册设备和提供生物识别/PIN 才能成功登录。

请查看“识别标准”博客上的文章,了解有关实现的所有技术细节。

下一步计划

我们努力在减少,甚至是消除对密码的使用,在这个过程中开发出了无数卓越的产品。我们目前正努力让使用 Azure Active Directory 中的工作和学校帐户的用户在浏览器中通过安全密钥登录时获得一致的体验。企业客户将能够在明年年初预览这一功能,届时他们将能够让员工为其帐户自行设置用于登录到 Windows 10 和云端的安全密钥。

此外,随着越来越多的浏览器和平台开始支持 WebAuthn 和 FIDO2 标准,如今在 Microsoft Edge 和 Windows 上提供的无密码体验将有望随处可用!

请继续关注,了解明年年初的更多详细信息!

此致,
Alex Simons
Microsoft 身份识别部门
计划管理 CVP

相关文章