Hogyan léphetünk túl a jelszavakon a Windows 10 rendszerben?

A Windows 10 tavaszi készítőinek frissítése terheli a termelékenységi funkciókkal. A Timeline, a Near Share és a Cortana mind a következő nagy Windows 10 frissítésben jelennek meg, mondja a TechRepublic Nick Heath.

További információ a Windowsról

  • Istenmód használata a Windows 10 rendszerben
  • Windows 10 PowerToys: csaló lap
  • A Microsoft az évtized legnagyobb flopjai
  • 10 trükk és csípés a Windows 10 testreszabásához (ingyenes PDF)

A jelszavak nehéz megjegyezni, és könnyen elveszíthetők. Függetlenül attól, hogy az emberek ugyanazt a gyenge jelszót újrafelhasználják-e több webhelyen vagy szolgáltatáson, nem védik felhasználói adataikat, és feltárják a felhasználóneveket és jelszavakat az adat megsértésekor, az egyszerű jelszavak nem nyújtanak megfelelő védelmet. Ezért a Windows 10 biztonságosabb lehetőségek felé halad, mint például a biometria, a tokenek és a push hitelesítés - ideértve az új FIDO 2 internetes identitási szabványok támogatását is.

Ujjak és arcok

A Windows Hello sokkal könnyebbé teszi a biometrikus adatok, például az ujjlenyomat-érzékelők és az infravörös arcfelismerő kamerák használatát, mivel ez a szokásos bejelentkezés módjának részét képezi, ahelyett, hogy az eredeti gyártókat hagyná hozzá a funkcióhoz a fiókfolyamathoz.

Az arcok, az ujjak és más biometrikus tényezők, mint például a kézvénás nyomatok nem lehet adathalászhoz hasonlóan megszólalni, és nem a hálózaton keresztül kerülnek küldésre, hanem az eszközök között barangolnak, ahogyan a jelszavak vannak. Ez azt jelenti, hogy a hálózatba belépő támadók nem tudják felkeresni és újrafelhasználni a számítógépről származó hitelesítő adatokat a kiszolgálók eléréséhez. A Windows 10 olyan védelemmel rendelkezik, mint a hitelesítési adatok, így a támadók megnehezítik a hitelesítő adatok elérését az LSA szolgáltatás futtatásával, amely virtuális biztonságos módban tárolja őket. Van még egy új Cloud Credential Guard, amely védi a felhő hitelesítő adatait, például az Azure AD tokeneket a TLS token-összerendeléssel. A biometrikus adatokra való váltás azonban azt jelenti, hogy a hitelesítő adatok nem annyira sebezhetők, mert nem küldik őket oda-vissza.

Biometrikus adatok, például ujjlenyomat vagy arc regisztrálása a Windows Hello segítségével létrehoz egy kriptográfiai kulcspárt, amelyet a TPM-ben (vagy egy szoftver TPM-ben) tárolnak, és azonosság-szolgáltatásokkal, például Microsoft-fiókokkal és az Azure Active Directory-val használnak. Ha ugyanazt az ujjlenyomatot vagy arcot regisztrálja több Windows PC-n, akkor minden eszköz egyedi kulcspárt hoz létre - nem a kulcspár másolatát az első eszközről.

Az arcát vagy az ujjlenyomatát nem hagyja olyan módon, ahogy elfelejtette a jelszavát, de továbbra is szüksége van a bejelentkezésre, ha vágott az ujja, vagy szokatlanul sötét vagy világos környezetben dolgozik, ahol egy az arcfelismerő kamera nem lát téged egyértelműen. A nem felismert biometria tartalékát továbbra is PIN-nek hívják, de a számok mellett speciális karaktereket, valamint kis- és nagybetűket, például jelszót is tartalmazhat. A vállalati irányelvek diktálják, hogy összetett PIN-kódoknak kell lennie (a Windows 10 otthoni kiadása mindössze négy számjegyből áll a PIN-kódban). De az a tény, hogy ezeket csak az eszközön tárolják (nem ugyanazzal a fiókkal más eszközökre roamingolják), és csak a szerverre vonatkozó kérelmek aláírására használt hitelesítési kulcs feloldására használják (nem küldik el a szervernek a jelszónak megfelelően). amelyek biztonságosabbá teszik a PIN-kódot, mint a jelszavak. Ráadásul a PIN-kódot a TPM tárolja, míg a jelszavak nem.

Ha a számítógépen nincs arckamera vagy ujjlenyomat-érzékelő, akkor csatlakoztassa az USB-porthoz, vagy használhat olyan „társeszközt”, mint a Nymi Band, amely a pulzusát és az EKG-t használja az azonosításhoz.

A Windows 10 következő kiadásával a Windows Hello biometrikus adatait használhatja a távoli asztali munkamenetekbe történő bejelentkezéshez. Ha bejelentkezett a Windowsba biometrikus adatokkal, akkor automatikusan bejelentkezik a távoli asztalra, amikor megnyílik egy RDP-munkamenet (bár ha a párbeszédpanel felváltásához például meg kell erősítenie a Windows jelszavát a távoli munkameneten belül) be kell írnia a PIN-kódot).

De a biometria nem működik minden helyzetben vagy minden ember számára. Szinte minden biometrikus elem, az ujjlenyomatoktól a kézvénás nyomatig és az íriszig, csak a lakosság mintegy 80% -án működik. Például néhány idős kínai nőnek és a vegytisztítóban dolgozó embereknek olyan ujjlenyomataik vannak, amelyek egyszerűen nem szkennelnek jól. A jelszavak cseréje több tényező használatát jelenti, beleértve az egyéb eszközöket is. Ha rendelkezik olyan YubiKey szolgáltatással, mint a Gmail, a GitHub és a DropBox, akkor bejelentkezhet a Windows Hello szolgáltatásba, és beillesztheti azt a számítógépére (a YubiKey for Windows Hello alkalmazásra is szüksége lesz).

Használhat szöveges üzeneteket tartalmazó telefont vagy hitelesítő alkalmazást a Windowsba való bejelentkezéshez, ahogyan az ilyen több tényezőjű hitelesítést biztonságosabbá teszi a Twitterbe vagy a Gmailbe történő bejelentkezéshez, de ez nem különösebben kényelmes. Ennek ellenére praktikus a telefon használata a készülék lezárásához, amikor elmész tőle; miután párosított egy telefont a számítógéppel Bluetooth-on keresztül, használhatja a Dinamikus lezárás funkciót, hogy lezárja, ha a hatótávolságon kívül tartózkodik. Ezt bekapcsolja a Beállítások alkalmazás Fiókok> Bejelentkezés lehetőségei alatt. A rendszergazdák a Computer Configuration \ Administrative Templates \ Windows Components \ Windows Hello for Business \ Dinamikus zár tényezők konfigurálása csoportházirend segítségével beállíthatják, hogy a Bluetooth-jel milyen gyenge lehet a számítógép lezárása előtt.

Én vagyok az akit keresel?

Eddig a Windows Hello csak a Windows jelszavát, a Microsoft Áruházot és az Azure Active Directory egyszeri bejelentkezéshez beállított szolgáltatásait kezeli. A Windows 10 következő kiadásával együtt végre meglátjuk a FIDO 2 szabványokat. A FIDO 2 biztonsági kulcsok, például a Yubikeys és az intelligens kártyák közvetlen támogatása (anélkül, hogy külön kulcsra lenne szükség külön alkalmazáshoz) csak korlátozottan tekinthető meg.

Ez nem nagy változás a Windows Hello-ban, amelyet a FIDO protokollok korai verziójára építettek; az a frissítésről szól, hogy a biztonságos kulcsok FIDO 2 szabványai és a W3C Web Authentication API megállapodtak. Ez azt jelenti, hogy a FIDO 2 biztonsági kulccsal rendelkező felhasználó bejelentkezhet bármelyik Azure AD-hez csatlakoztatott számítógépbe anélkül, hogy először fiókot kellene beállítania, amely ideális a vonali és mobil alkalmazottak számára.

20 profi tipp, hogy a Windows 10 a kívánt módon működjön (ingyenes PDF)

Ez azt is jelenti, hogy amint a böngészők bevezetik és a webhelyek elfogadják az új WebAuthn API-t, a Windows Hello képes lesz a jelszavak cseréjére a böngészőben is, biometrikus adatok vagy FIDO UAF biztonsági kulcsok segítségével jelszó nélkül bejelentkezni, ha a webhelyek ezt támogatják. A WebAuthn támogatja a két tényezőjű U2F opciót is, ahol második felhasználóként felhasználónevet és jelszót, valamint FIDO biztonsági kulcsot vagy a Windows Hello biometrikus adatokat használ. Az Edge 2016 óta támogatja a WebAuthn előnézeti verzióját; A 17723-as buildben (amely jelenleg a Windows Insiders rendelkezésére áll) az Edge támogatja az API jelölt javaslatát, bár még nem működik a web alapú PWA-k vagy UWP-alkalmazások esetén. Még nem sok olyan webhely támogatja a WebAuthn-t, de kipróbálhatja ezt a mintaalkalmazást, és vannak utasítások a WebAuthn-támogatás hozzáadására a saját belső webhelyeihez.

Az új típusú hitelesítő adatok mellett a Windows közvetlenül több identitásszolgáltatót fog támogatni. A Windows Hello az Azure AD-vel, az Active Directory-val és a külső gyártók összevonási kiszolgálóival működik, amelyek támogatják az OAuth 2.0 és az OpenID Connect 1.0 szükséges kiterjesztéseit. A Windows 10 következő kiadásával a Windows bejelentkezés támogatni fogja a SAML identitásszolgáltatókat - nem csak az ADFS-hez és más WS-Fed szolgáltatókhoz föderált identitásokat.

Az új webes bejelentkezéshez az Azure AD-re van szüksége, és engedélyeznie kell a házirend CSP / hitelesítés / EnableWebSignIn csoportházirendet. Ez nem valószínű, hogy rontja az Active Directory dominanciáját a vállalkozásban, de sokkal kényelmesebbé teszi az SAML rendszereket használó szervezetek számára, mint például az Oracle Identity Federation, hogy ezek a fiókok jelenjenek meg a Windowsba történő bejelentkezés lehetőségének.

Kiberbiztonsági bennfentes hírlevél

Erősítse meg szervezetének informatikai biztonsági védelmét azáltal, hogy lépést tartson a legújabb kiberbiztonsági hírekkel, megoldásokkal és a bevált gyakorlatokkal. Keddenként és csütörtökön szállítva

Regisztrálj még ma

Lásd még

  • A Windows 10 hibás frissítései kényszerítik a biztonság és a stabilitás közötti választást - mondja a felhasználói csoport (TechRepublic)
  • 12 tipp a Windows 10 kihasználásához (ingyenes PDF) (TechRepublic)
  • Windows 10: Hogyan akadályozza meg a Microsoft a szoftverfrissítéseket abban, hogy tönkretegye napjait (ZDNet)
  • A Windows 10 őszi alkotóinak frissítése: Cheat sheet (TechRepublic)
  • Windows 10 útmutató: Ed Bott ingyenes technikai támogatási és hibaelhárítási útmutatója (ZDNet)
  • Betűkészletek kezelése a Windows 2018. április 10-i frissítéssel (TechRepublic)

© Copyright 2021 | mobilegn.com