Паспорт на Microsoft е бил наоколо за известно време. Тя служи като единна точка за влизане във всички продукти на Microsoft, като Outlook.com, OneDrive, Messenger (когато е жив), People, контакти и др. в Windows 10, Microsoft Паспорт ще замени паролите със силно двуфакторно удостоверяване, което се състои от записано устройство и Windows Hello (биометрично) или ПИН код. Този пост предлага преглед на начина, по който Microsoft възнамерява да използва Microsoft Passport в Windows 10.
Какво представлява Microsoft Passport?
Общо взето, Microsoft Passport се състои от 2 услуги - една услуга за вход, която позволява на членовете да използват едно име и парола за влизане и услуга на Wallet, която членовете могат да използват, за да извършват бързи и удобни онлайн покупки.
Удостоверяване с два фактора в Microsoft Passport
Microsoft въведе двуфакторна автентификация няколко години назад, когато кибер престъпниците увеличиха дейността си в Интернет. Има обаче някои проблеми при използването на двуфакторното удостоверяване в сегашното му състояние.
Първо - въвеждате паролата и след това получавате ПИН код, който трябва да въведете. Ако по телефона това се превръща в проблем, особено ако RAM на телефона е нисък. Освен това, в настоящия си сценарий, когато искате да отидете за удостоверяване с две фактори, трябва да създадете различни пароли за различните приложения, които използвате. Дори трябва да създадете "парола за приложение" за имейл клиента на Microsoft Outlook и да го въведете вместо истинската парола на Microsoft, която използвате за влизане през уеб браузър.
Всичко това се променя с Microsoft Паспорт в Windows 10, В момента двуфакторното удостоверяване е по избор. Microsoft ще направи задължително всички да използват двуфакторна удостоверяване. Няма да е толкова труден, колкото сега. Ще има два класа, един с Microsoft и един с потребителя. Потребителят се нуждае само от потребителски ключ, за да получи достъп до защитени приложения на Microsoft.
Основният ключ с Microsoft ще бъде сертификат или фърмуер. Това означава, че няма да трябва да въвеждате тази информация в полето за влизане. Тогава ще има PIN код, който ще получите. Този ПИН ще отвори вратите за продукти на Microsoft.
Windows Здравейте
Вече говорихме за ПИН кода. Потребителите, които искат повече защита, могат да изберат Windows. Здравейте, което би било някакъв жест, който черпиш от екрана за вход, за да получиш достъп до защитени ресурси.
Windows Hello is the name Microsoft has given to the new biometric sign-in system built into Windows 10. Because it is built directly into the operating system, Windows Hello allows face or fingerprint identification to unlock users’ devices. Authentication happens when the user supplies his or her unique biometric identifier to access the device-specific Microsoft Passport credentials, which means that an attacker who steals the device can’t log on to it unless that attacker has the PIN. The Windows secure credential store protects biometric data on the device. By using Windows Hello to unlock a device, the authorized user gains access to all of his or her Windows experience, apps, data, websites, and services, says TechNet.
Някои от текущите телефони използват определени видове жестове за заключен екран. Трябва да видим как Windows Hello ще се различава от текущите екрани за заключване, но Microsoft казва, че ще бъде по-добре от настоящите жестове на заключващите екрани и ще осигури по-голяма сигурност. Според TechNet жестът ще бъде съчетан с първата стъпка в двуфакторното удостоверяване - сертификата, който сте приписали на Windows.
Първият път ще отнеме повече време, тъй като трябва да получите сертификат и след това да настроите ПИН или Windows Hello. След като всичко е настроено, можете да получите достъп до продуктите на Microsoft в бъдеще, само като въведете ПИН кода или жеста, който сте избрали. По този начин няма да е необходимо да чакате да се получи ПИН чрез SMS. Просто притегли жеста и влезеш.
Предпоставки за Microsoft Passport
Преди да можете да използвате Microsoft Passport във вашето предприятие, ще трябва да сте сигурни, че отговаряте на необходимите условия.
| Режим Microsoft Passport | Azure AD | Active Directory (AD) на място | Azure AD / AD хибрид |
|---|---|---|---|
| Ключова автентификация | Azure AD абонамент | Функция на Федерация Active Directory (AD FS) (Windows 10) Няколко контролера на домейни от Windows 10 на мястоMicrosoft System Center 2012 R2 Configuration Manager SP2 | Azure AD абонаментAzure AD ConnectA няколко Windows 10 домейн контролера на мястоConfiguration Manager SP2 |
| Удостоверяване на базата на удостоверяване | Абонамент за Azure ADПревозното решение или решение за управление на мобилни устройства (МДМ), което не е Microsoft MicrosoftPKI инфраструктура | ADFS (Windows 10) Услуги на домейна на Active Directory (AD DS) Windows 10 schemaPKI инфраструктураConfiguration Manager SP2, Intune или решение на Microsoft MDM | Azure AD абонаментPKI инфраструктураConfiguration Manager SP2, Intune или решение, което не е Microsoft MDM |
Как Microsoft Passport работи в Windows 10
Паспортът на Microsoft, както беше споменато по-рано, ще се основава на сертификат - асиметрична двойка ключове - за да се запазят данните за потребителя. Доставчикът на идентичност - сметката на Microsoft - ще създаде публичен ключ по време на процеса на регистрация и ще го идентифицира всеки път, когато потребителят се опита да влезе в системата. Ако фърмуер се използва вместо сертификати, те трябва да съответстват: наличието на такъв фърмуер трябва да е там ключът, съхраняван криптографски върху фърмуера, трябва да съответства на ключа, генериран по време на процеса на регистрация.
Тук е трудната част. Сертификатът няма да работи на всички устройства, тъй като ще се съхранява локално на устройството, особено ако е сертификат, базиран на хардуер. Той дори не се изпраща на сървъра. По този начин може да накара потребителите да преминат през процеса на регистрация на всяко устройство поотделно. Публичният ключ (ПИН или жест) обаче може да се използва на различни устройства, като по този начин се улесняват потребителите, тъй като те няма да трябва да запомнят различни ПИН и жестове.
Всичко казано, тази нова функция в Windows 10 със сигурност ще доведе до удобство на потребителите и повишаване на сигурността.
