Microsoft cho phép đăng nhập tài khoản qua khóa bảo mật
Diễn đàn - Ngày đăng : 15:38, 28/11/2018
Bắt đầu từ 20 tháng 11 năm 2018, Microsoft cho phép người dùng tùy chọn đăng nhập vào tài khoản của mình bằng thiết bị dựa trên tiêu chuẩn thương thích với FIDO2 hoặc Windows Hello, trên trình duyệt Edge.
Microsoft, một thành viên của Liên minh Trực tuyến Nhận dạng Nhanh (Fast Identity Online - FIDO) và Hiệp hội Web Toàn cầu (W3C), đã hợp tác với các tổ chức khác để phát triển các tiêu chuẩn mở cho thế hệ xác thực tiếp theo, Alex Simons, phó chủ tịch phụ trách quản lý chương trình cho bộ phận Identity của Microsoft, cho biết trong một bài đăng trên blog về tin tức.
Bài đăng của Simon bổ sung thêm một vài chi tiết về cách Microsoft triển khai WebAuthn và FIDO2 CTAP2. FIDO2, không giống như mật khẩu, sử dụng mã hóa khóa công khai/dành riêng để bảo vệ thông tin đăng nhập. Khóa riêng tư được lưu trữ trên thiết bị, chỉ có thể được sử dụng khi mở khóa bằng cử chỉ - ví dụ như: sinh trắc học hoặc mã PIN. Khi khóa riêng được lưu trữ, khóa công khai được đăng ký vào tài khoản của người dùng trong đám mây của Microsoft, ông giải thích.
Khi một người nào đó sau đó cố truy cập vào tài khoản của bạn, hệ thống tài khoản Microsoft sẽ gửi một dãy số bất kỳ tới máy tính hoặc thiết bị FIDO2 của bạn. Thiết bị sử dụng khóa riêng tư để ký dãy số này, dãy số cùng với siêu dữ liệu sau khi ký được gửi trở lại hệ thống Microsoft, hệ thống sẽ sử dụng khóa công khai để xác minh nó.
"Siêu dữ liệu đã ký theo quy định của thông số kỹ thuật WebAuthn và FIDO2 cung cấp thông tin, chẳng hạn như liệu người dùng có hiện diện hay không và xác minh xác thực thông qua cử chỉ ", Simons viết. "Đây là những đặc tính làm cho xác thực bằng Windows Hello và các thiết bị FIDO2 không bị 'dễ bị lừa' hoặc dễ bị đánh cắp bởi phần mềm độc hại."
Tùy thuộc vào thiết bị bạn đang sử dụng, nó sẽ có một phần cứng có tên Trusted Platform Module (TPM- một chip vật lý được đặt trên các bo mạch chủ mới, lưu trữ các key bảo mật), hay còn gọi là Secure Enclave (vùng quản lý khóa bảo mật dựa trên phần cứng tách biệt với bộ vi xử lí chính), hoặc TPM phần mềm. Bạn sử dụng khuôn mặt, vân tay của mình hoặc mã PIN để mở khóa TPM, nơi lưu trữ khóa riêng tư. Một thiết bị FIDO2 đi kèm với một Secure Enclave tích hợp sẵn, lưu trữ khóa riêng và cũng yêu cầu sinh trắc học hoặc mã PIN để mở khóa.
Để bắt đầu sử dụng khóa cứng để đăng nhập Microsoft, trước tiên hãy cập nhật hệ thống của bạn lên phiên bản Windows 10 tháng 10 năm 2018. Truy cập trang tài khoản Microsoft trong trình duyệt Edge và đăng nhập như bình thường. Chọn Security >More security options và đi đến "Windows Hello and security keys" để truy cập hướng dẫn thiết lập. Lần sau khi bạn đăng nhập, bạn có thể nhấp vào More Options > Use a security key hoặc nhập tên người dùng của bạn để nhận lời nhắc đăng nhập bằng khóa bảo mật.
Nếu bạn vẫn còn đang tìm mua một khóa bảo mật, Microsoft đã hợp tác với Feitian Technologies và Yubico, cả hai đều hỗ trợ tiêu chuẩn FIDO2.
Điều này đánh dấu sự thúc đẩy mới nhất của Microsoft đối với việc xác thực không mật khẩu. Tại sự kiện Ignite 2018 đầu năm nay, công ty đã thông báo người dùng có thể xác thực thông qua Azure Active Directory (AD). Họ đã cho phép các ứng dụng kết nối với AD xác thực thông qua Microsoft Authenticator, một ứng dụng được phát hành vào năm 2016 để kết hợp mật khẩu với mã một lần cho xác minh hai bước.
Rob Lefferts, phó chủ tịch công ty bảo mật của Microsoft, cho biết, việc chuyển các ứng dụng Azure AD sang xác thực không mật khẩu đã đánh dấu "một cột mốc quan trọng" cho cả doanh nghiệp và nhân viên với mục tiêu chống lại các cuộc tấn công lừa đảo ngày càng tinh vi. Hầu hết mọi người không có mật khẩu mạnh, ông nói, và xác thực đa hệ thống đang trở thành xu thế chủ đạo.