使用安全性金鑰或 Windows Hello 以無密碼方式安全地登入您的 Microsoft 帳戶
編者的話 2018/11/26:
這篇文章已經過更新,以涵蓋無密碼登入可用性的相關資訊。
大家好,
很高興與大家分享今日的消息!我們剛剛推出使用標準型 FIDO2 相容裝置安全地登入 Microsoft 帳戶的功能 – 無需使用者名稱或密碼!FIDO2 讓使用者能夠利用標準型裝置輕鬆地驗證線上服務 – 適用於行動裝置和桌上型電腦環境。這項功能現在於美國推出,在接下來幾週將於全球推出。
這項結合易用性、安全性,並提供廣泛產業支援的功能,將同時為住家和現代化工作場所帶來轉型。每個月有超過 8 億人為了工作和玩樂,使用 Microsoft 帳戶隨時隨地在 Outlook、Office、OneDrive、Bing、Skype 和 Xbox Live 中建立、連線和分享資訊。現在,他們全都能受益於這樣簡單的使用者體驗和大幅提升的安全性。
從今天起,您可以使用 FIDO2 裝置或是 Windows Hello,透過 Microsoft Edge 瀏覽器登入您的 Microsoft 帳戶。
請觀看這個說明運作方式的快速影片:
Microsoft 一直致力於消除密碼並協助人員保護資料和帳戶免於威脅。身為線上快速身分識別 (FIDO) 聯盟和全球資訊網協會 (W3C) 的成員,我們一直與其他成員合作,為下一代的驗證開發開放標準。很高興分享這項消息,Microsoft 是《Fortune》雜誌 500 大公司中第一個支援使用 WebAuthn 和 FIDO2 規格進行無密碼驗證的公司,而且相較於其他主要的瀏覽器,Microsoft Edge 支援的驗證器最為廣泛。
如果您想要深入了解該功能的運作方式以及如何開始使用的更多詳細資料,請繼續閱讀。
開始使用
若要透過 FIDO2 安全性金鑰使用您的 Microsoft 帳戶登入:
- 如果您尚未進行,請確認您的 Windows 10 已完成 2018 年 10 月的更新。
- 在 Microsoft Edge 移至 Microsoft 帳戶頁面,像往常一樣登入。
- 選取 [安全性] > [更多安全性選項],您會在 [Windows Hello 和安全性金鑰] 底下看到如何設定安全性金鑰的指示(您可以透過我們其中一個合作夥伴購買安全性金鑰,這些合作夥伴包括 Yubico 和支援 FIDO2 標準的 Feitian Technologies*)。
- 您下次登入時,就可以按一下 [更多選項] > [使用安全性金鑰],或是輸入您的使用者名稱。此時,系統會要求您使用安全性金鑰進行登入。
在此提醒,這裡是如何透過 Windows Hello 使用您的 Microsoft 帳戶登入:
- 請確認您的 Windows 10 已完成 2018 年 10 月的更新。
- 如果您尚未進行,您需要安裝 Windows Hello。如果您已安裝 Windows Hello,就準備就緒了!
- 您下次在 Microsoft Edge 登入時,可以按一下 [更多選項] > [使用 Windows Hello 或安全性金鑰],或是輸入您的使用者名稱。此時,系統會要求您使用 Windows Hello 或安全性金鑰進行登入。
如果您需要更多協助,請查看我們關於如何安裝的詳細說明文章。
*我們認為在 FIDO2 規格中有幾項選用功能是安全性的基礎,因此只有實作這些功能的金鑰才能運作。閱讀什麼是與 Microsoft 相容的安全性金鑰?以深入了解。
如何運作?
我們不著痕跡地在服務當中實作了 WebAuthn 和 FIDO2 CTAP2 規格,讓這項功能得以實現。
不同於密碼,FIDO2 使用公開/私密金鑰加密來保護使用者的認證。當您建立和註冊 FIDO2 認證時,裝置 (您的電腦或 FIDO2 裝置) 會在該裝置上產生私密和公開金鑰。私密金鑰已安全儲存於裝置上,只有經本機手勢 (例如生物特徵辨識或 PIN 碼) 解鎖後才能使用。請注意,您的生物特徵辨識或 PIN 碼永遠不會離開裝置。在私密金鑰進行儲存的同時,系統會將公開金鑰傳送至雲端的 Microsoft 帳戶系統,並用您的使用者帳戶註冊。
您稍後登入時,Microsoft 帳戶系統會為您的電腦或 FIDO2 裝置提供一個隨機值。接著,您的電腦或裝置會使用私密金鑰來簽署該隨機值。已簽署的隨機值和中繼資料會回傳至 Microsoft 帳戶系統,並使用公開金鑰進行確認。由 WebAuthn 和 FIDO2 規格指定的已簽署中繼資料會提供資訊 (例如使用者是否在線上),並透過本機手勢確認驗證。正是這些屬性讓使用 Windows Hello 和 FIDO2 裝置的驗證過程不易「引來網路釣魚攻擊」或容易遭惡意程式碼竊取。
Windows Hello 和 FIDO2 裝置如何實作此功能?根據 Windows 10 裝置的功能,您將會擁有稱為硬體信賴平台模組 (TPM) 或是軟體 TPM 的內建安全保護區。TPM 可儲存私密金鑰,需要透過臉部、指紋或 PIN 碼來解鎖。同樣地,FIDO2 裝置就像安全性金鑰,是一個具有其專屬內建安全保護區的小型外部裝置,可儲存私密金鑰並需要生物特徵辨識或 PIN 碼來解鎖。兩個選項皆提供單一步驟即可完成的雙因素驗證,需要透過已註冊的裝置和生物特徵辨識或 PIN 碼才能順利登入。
請查看這篇身分識別標準部落格上的文章,其中會說明有關實作的所有技術詳細資料。
後續消息
我們致力於減少甚至消除密碼使用需求之際,還會推出許多更棒的功能。我們目前針對 Azure Active Directory 中的公司和學校帳戶,透過使用安全性金鑰的瀏覽器,建置相同的登入體驗。企業客戶將能於明年初預覽此功能,讓他們的員工得以針對其帳戶設定專屬的安全性金鑰來登入 Windows 10 和雲端。
此外,隨著開始支援 WebAuthn 和 FIDO2 標準的瀏覽器和平台越來越多,無密碼體驗 (現在可在 Microsoft Edge 和 Windows 上使用) 可望隨時隨地都能使用!
請密切關注明年初發布的更多詳細資料!
謝謝您,
Alex Simons (@Twitter:@Alex_A_Simons)
計劃管理企業副總裁
Microsoft 身分識別部門
