Беспарольный вход при помощи YubiKey 5 теперь доступен для учетных записей Microsoft

Источник: Блог Yubico, перевод с англ.

Нам удалось! Мы, совместно с Microsoft, предоставили сотням миллионов пользователей по всему миру возможность беспарольного входа в личные учетные записи Microsoft, при помощи YubiKey 5 или Security Key от Yubico.

Вместе с недавним обновлением Windows 10 (версия 1809) и встроенной в браузер Edge нативной поддержкой, все пользовательские учетные записи Microsoft получили возможность выполнения беспарольного входа через FIDO2/WebAuthn.

Используя YubiKey с учетной записью Microsoft в браузере Edge, вы можете выполнять быстрый и безопасный вход во все сервисы от Microsoft:Microsoft Services

Доступ к вашим сервисам от Microsoft, с минимальными усилиями — всё это за счет одного логина и никаких паролей. Как вам такая идея?

Сегодняшнее* заявление от Microsoft ознаменовало переломный момент в истории аутентификации. Первое, не требующее драйверов, USB-устройство аутентификации «в одно касание» было представлено в 2008 году, в виде оригинального YubiKey —  генератора одноразовых паролей. Для того, чтобы усовершенствовать защиту от фишинга и хакерских атак, а также для обеспечения работы ключей безопасности с любым количеством сервисов, при этом без обмена приватными ключами, Yubico совместно с Google создали стандарт U2F, который был в последствии передан FIDO Alliance.

Для того, чтобы устранить необходимость в именах пользователя и паролях, мы, совместно с Microsoft и FIDO Alliance, работали над развитием U2F, логическим продолжением которого стала технология беспарольного входа FIDO2. Мы благодарим всех, кто принимал участие в осуществлении данной идеи.

«Беспарольный вход должен кардинально изменить то, как представители бизнеса и потребители осуществляют доступ к устройствам и приложениям. Данное сочетание простоты использования с передовыми практиками в области безопасности предлагает опыт, который пользователи полюбят, а хакеры возненавидят», — говорит Алекс Саймонс — вице-президент департамента Microsoft Identity Division. «FIDO2 — это ключевой момент в планах Microsoft по отказу от паролей, а устройства, такие как YubiKey, являются замечательным примером того, как мы работаем с нашими партнерами над осуществлением данного перехода»

 

Как настроить YubiKey для работы с вашей учетной записью Microsoft

Чтобы воспользоваться новой функцией беспарольного входа, достаточно зарегистрировать в учетной записи Microsoft ключ с поддержкой FIDO2 — YubiKey 5 или Security Key от Yubico. Данная функция доступна на любом ПК с установленной ОС Windows 10, обновленной до версии 1809, и браузером Microsoft Edge.

Вы можете выбрать вариант с подключением по USB-A или USB-C (YubiKey 5 NFC, YubiKey 5 Nano, YubiKey 5C, YubiKey 5C Nano, Security Key от Yubico), или по NFC (YubiKey 5 NFC).

  1. Для начала, запустите Microsoft Edge из ОС Windows 10, обновленной до версии 1809, и перейдите к странице входа в учетную запись Microsoft.

“(прим. пер., на момент написания статьи, опция добавления и настройки ключей безопасности доступна только если выбранный язык страницы — English (United States)”

  1. Войдите в учетную запись, нажмите на Security > More security options, затем выберите Set up a security key.
  2. Укажите, какой тип подключения YubiKey вы используете (USB или NFC), затем нажмите Next.
  3. Вы будете перенаправлены на процедуру, в ходе которой вам нужно будет подключить YubiKey и/или прикоснуться к датчику-кнопке на ключе.

В результате данного действия между YubiKey и вашей учетной записью Microsoft будет сгенерирована уникальная ключевая пара из открытого и приватного ключей. При этом, приватный ключ хранится только на вашем YubiKey, и ни при каких обстоятельствах из него не извлекается. Публичный ключ, который хранится в сервисах Microsoft, служит для аутентификации вашего входа в учетную запись.

  1. Далее, вы получите запрос на установку уникального PIN-кода, для защиты вашего ключа. Данный PIN-код сохраняется не в учетной записи Microsoft, а локально на YubiKey.
  2. Продолжайте процедуру настройки. Когда индикатор на YubiKey начнет мигать, прикоснитесь к датчику-кнопке на ключе.
  3. Укажите имя для вашего ключа безопасности, так вы сможете его отличить от других, используемых вами ключей (рекомендуется также настроить второй YubiKey, для использования в качестве запасного).
  4. Выйдите из учетной записи и странице входа выберите Use security key, затем войдите используя YubiKey, введите PIN-код и прикоснитесь к кнопке на ключе.

 

Вот и всё! Вы успешно настроили беспарольных вход в учетную запись Microsoft, при помощи надежной аппаратной аутентификации на основе открытых ключей, что предоставляет превосходную защиту от фишинга и атак типа «man-in-the-middle**».

 

Использование YubiKey с другими учетными записями

Помимо FIDO2, серия YubiKey 5 поддерживает: FIDO U2F, режим PIV-совместимой смарт-карты, OpenPGP, одноразовые пароли Yubico OTP, OATH-TOTP, OATH-HOTP, и Challenge-Response***. Таким образом, устройство, которое вы используете для защиты вашей учетной записи Microsoft может использоваться для защиты учетных записей менеджеров паролей, социальных сетей, и многих других популярных онлайн-сервисов. Ознакомьтесь с полным каталогом сервисов и приложений, которые работают с YubiKey.

20 Ноября 2018 г.

** man-in-the-middle — «атака посредника»

*** Challenge-Response — аутентификация типа Вызов-Ответ