Microsoft passport windows 10 как включить

Паспорт Microsoft под Windows 10

Паспорт Microsoft существовал в течение некоторого времени. Он служит центральным доступом ко всем продуктам Microsoft, таким как Outlook.com, OneDrive, Messenger (при жизни), людям, контактам и многим другим. В Окна 10Microsoft Passport заменяет пароли строгой двухфакторной аутентификацией, состоящей из зарегистрированного устройства и Windows Hello (биометрический) или PIN-кода. В этой статье представлен обзор того, как Microsoft намеревается использовать Microsoft Passport в Windows 10.

Что такое паспорт Microsoft

Обновить:

Теперь мы рекомендуем использовать этот инструмент для вашей ошибки. Кроме того, этот инструмент исправляет распространенные компьютерные ошибки, защищает вас от потери файлов, вредоносных программ, сбоев оборудования и оптимизирует ваш компьютер для максимальной производительности. Вы можете быстро исправить проблемы с вашим ПК и предотвратить появление других программ с этим программным обеспечением:

Шаг 1: Скачать PC Repair & Optimizer Tool (Windows 10, 8, 7, XP, Vista — Microsoft Gold Certified).
Шаг 2: Нажмите «Начать сканирование”, Чтобы найти проблемы реестра Windows, которые могут вызывать проблемы с ПК.
Шаг 3: Нажмите «Починить все», Чтобы исправить все проблемы.

В целом, Microsoft Passport состоит из служб 2 — единой службы входа в систему, которая позволяет участникам входить в систему с одним именем и паролем, и службы кошелька, которая позволяет им совершать покупки в Интернете быстро и легко.

Двухфакторная аутентификация в Microsoft Passport

Microsoft ввела двухфакторную аутентификацию несколько лет назад, когда киберпреступники расширили свою деятельность в Интернете. Однако были некоторые проблемы с использованием двухфакторной аутентификации в ее текущем состоянии.

Сначала введите пароль, а затем получите PIN-код, который необходимо ввести. Когда вы разговариваете по телефону, это становится проблемой, особенно когда память телефона не хватает. Кроме того, в текущем сценарии, если вы хотите выбрать двухфакторную аутентификацию, вы должны создать разные пароли для разных приложений, которые вы используете. Вам даже нужно будет создать пароль приложения для почтового клиента Microsoft Outlook и ввести его вместо реального пароля Microsoft, который вы используете для подключения через веб-браузер.

Windows Hello

Мы уже говорили о ПИН-коде. Пользователи, которым нужна дополнительная защита, могут выбрать Windows Hi, что будет своего рода жестом, который вы рисуете на экране входа в систему для доступа к защищенным ресурсам.

Windows Hi — это имя, которое Microsoft дала новой биометрической системе входа в систему Windows 10. Windows Hello, интегрированная непосредственно в операционную систему, позволяет распознавать лица или отпечатки пальцев, чтобы разблокировать устройства пользователей. Аутентификация происходит, когда пользователь указывает свой уникальный биометрический идентификатор для доступа к определенным учетным данным устройства Microsoft Passport, что означает, что злоумышленник, который украл устройство, не сможет подключиться, если у злоумышленника нет PIN-кода. Windows Secure Credential Store защищает биометрические данные на устройстве. По словам TechNet, использование Windows Hello для разблокировки устройства позволяет авторизованному пользователю получить доступ ко всем возможностям, приложениям, данным, веб-сайтам и службам Windows.

Некоторые из существующих телефонов используют определенные типы жестов для экрана блокировки. Вы можете видеть, как Windows Hello будет отличаться от текущих экранов блокировки, но Microsoft говорит, что это будет лучше, чем текущие жесты на экранах блокировки, и обеспечит большую безопасность. Согласно TechNet, этот жест связан с первым этапом двухфакторной аутентификации — сертификатом, который вручается вам Windows.

Первый раз занимает больше времени, потому что вам нужно получить сертификат, а затем настроить ПИН или код приветствия Windows. Как только все это будет сделано, вы можете в будущем получить доступ к продуктам Microsoft, просто введя PIN-код или выбранный вами жест. Поэтому больше не нужно ждать получения PIN-кода по SMS. Просто нарисуйте жест, и это хорошо.

Требования к паспорту Microsoft

Прежде чем вы сможете использовать Microsoft Passport в своем бизнесе, вы должны убедиться, что вы соответствуете требованиям.

Active Directory (AD) в компании

Azur AD / AD аутентификация гибридного ключаAzure AD подписка

Служба федерации каталогов Azure AD (AD FS) (Windows 10) Некоторые контроллеры домена Windows 10 на месте Microsoft System Center 2012 R2 R2 Configuration Manager SP2

Аутентификация на основе сертификатов Azure AD subscriptionIntune или нет. Решение для управления мобильными устройствами Microsoft (MDM) SolutionPKI InfrastructureADFS (Windows 10) Доменные службы Active Directory (AD DS) Windows 10 SchemaPKI Диспетчер конфигурации инфраструктуры SP2, решение Intune или не-Microsoft MDMAzure AD SubscriptionPKI InfrastructureConfiguration Manager решение SP2, Intune или не-Microsoft MDM

Как работает Microsoft Passport в Windows 10

Как упоминалось выше, Microsoft Passport будет основан на сертификате — паре асимметричных ключей — для защиты пользовательских данных. Поставщик удостоверений — учетная запись Microsoft — создает открытый ключ в процессе регистрации и идентифицирует его каждый раз, когда пользователь пытается войти в систему. Если прошивки используется вместо сертификатов, они должны совпадать: наличие такой прошивки должно присутствовать, а криптографический ключ, сохраненный в прошивке, должен совпадать с ключом, сгенерированным при регистрации.

Это самая сложная часть. Сертификат работает не на всех устройствах, поскольку он хранится локально на устройстве, особенно если это сертификат оборудования. Это даже не отправлено на сервер. Это может потребовать от пользователей пройти процедуру регистрации для каждого отдельного устройства. Однако открытый ключ (ПИН или жест) можно использовать на разных устройствах, что облегчает работу пользователей, поскольку им не нужно запоминать разные ПИН и жесты.

В целом, эта новая функция Windows 10, безусловно, обеспечит больше удобства и безопасности.

Источник

Национальная библиотека им. Н. Э. Баумана
Bauman National Library

Персональные инструменты

Microsoft Passport


Разработчики:	Microsoft Corporation
Состояние разработки:	Активно
Операционная система:	Microsoft Windows
Платформа:	x86, x86-64
Локализация:	English
Лицензия:	Проприетарное
Веб-сайт	microsoft .com

Microsoft Passport — технология строгой двухфакторной аутентификации компании Microsoft Corporation, встраиваемая в операционную систему Microsoft Windows и заменяющая повторно используемые пароли сочетанием конкретного устройства и биометрического жеста или PIN-кода.

Содержание

Что такое Microsoft Passport

В Microsoft Passport реализована полностью интегрированная в Windows надежная двухфакторная проверка подлинности, которая заменяет повторно используемые пароли сочетанием конкретного устройства и биометрического жеста или PIN-кода. Впрочем, Microsoft Passport — это не просто замена традиционных систем двухфакторной проверки подлинности. Эта система в принципе аналогична смарт-картам: проверка подлинности выполняется с использованием криптографических примитивов вместо сравнения строк, а материал ключа пользователя надежно хранится внутри устойчивого к взлому оборудования. Microsoft Passport не требует и дополнительных компонентов инфраструктуры, например, устройств для использования смарт-карт. В частности, вам не нужна инфраструктура открытых ключей (PKI) для управления сертификатами, если ее у вас нет. Microsoft Passport сочетает в себе основные достоинства смарт-карт — гибкость в развертывании виртуальных смарт-карт и высокую безопасность физических, однако без их недостатков. [Источник 1]

Принцип работы Microsoft Passport

После того как пользователь настроит Microsoft Passport на компьютере, Microsoft Passport создаст новую пару из открытого и закрытого ключей на устройстве. Доверенный платформенный модуль (TPM) создает и защищает этот закрытый ключ. Если на устройстве нет микросхемы TPM, закрытый ключ шифруется и защищается программным обеспечением. Кроме того, устройство с поддержкой TPM создает блок данных, который можно использовать, чтобы убедиться, что ключ привязан к TPM. Эти данные аттестации можно использовать в вашем решении, чтобы решить, например, предоставить ли пользователю другой уровень авторизации. Чтобы включить Microsoft Passport на устройстве, пользователю необходимо иметь учетную запись Azure Active Directory или учетную запись Майкрософт, подключенную в параметрах Windows.

Принцип защиты ключей

Каждый раз при формировании материала ключа его необходимо защищать от атак. Самым надежным способом обеспечения такой защиты является использование специализированного оборудования. У использования аппаратных модулей безопасности для создания, хранения и обработки ключей для приложений, безопасность которых имеет важнейшее значение, длительная история. Смарт-карты являются особым типом аппаратных модулей безопасности, как и устройства, совместимые со стандартом TPM организации TCG. При любой возможности реализация Microsoft Passport пользуется для создания, хранения и обработки ключей имеющимся оборудованием TPM. Однако наличие оборудования TPM для работы Microsoft Passport и Microsoft Passport for Work не является обязательным.

Майкрософт рекомендует всегда использовать оборудование TPM. TPM защищает от множества известных и потенциальных атак, в том числе атак методом подбора PIN-кода. Кроме того, TPM обеспечивает дополнительный уровень защиты после блокировки учетной записи. После того, как TPM заблокирует материал ключа, пользователю будет необходимо сбросить PIN-код. Сброс PIN-кода означает, что все ключи и сертификаты, зашифрованные с использованием материала старого ключа, будут удалены.

Проверка подлинности

Если пользователь хочет получить доступ к материалу защищенного ключа, процесс проверки подлинности начинается с ввода пользователем PIN-кода или биометрического жеста для разблокировки устройства. Этот процесс иногда называют «освобождением ключа».

Приложение не может использовать ключи из другого приложения, а кто-либо не может применять ключи другого пользователя. Эти ключи используются для подписания запросов, отправляемых поставщику удостоверений или IDP для получения доступа к определенным ресурсам. Приложения могут использовать определенные API для запроса операций, которым требуется материал ключа для определенных действий. Для доступа через эти API-интерфейсы требуется явная проверка с помощью жеста пользователя, а материал ключа не предоставляется запрашивающему приложению. Вместо этого приложение запрашивает указанное действие (например, подписать фрагмент данных), а уровень Microsoft Passport выполняет саму работу и возвращает результаты. [Источник 2]

Сам процесс проверки подлинности выполняется следующим образом.

Клиент отправляет пустой запрос проверки подлинности в IDP. (Делается это только для подтверждения установления связи.)
IDP возвращает задачу, которая называется nonce.
Устройство подписывает элемент nonce соответствующим закрытым ключом.
Устройство возвращает исходный элемент nonce, подписанный элемент nonce и идентификатор ключа, который использовался для подписания элемента nonce.
IDP получает открытый ключ, указанный идентификатором ключа, проверяет с его помощью подпись на элементе nonce, а также проверяет соответствие элемента nonce, возвращенного устройством, первоначальному элементу nonce.
Если все проверки, выполняемые на шаге 5, проходят успешно, IDP возвращает два элемента данных: симметричный ключ, который зашифрован с помощью открытого ключа устройства, и маркер безопасности, зашифрованный с помощью симметричного ключа. Устройство расшифровывает симметричный ключ с помощью своего закрытого ключа, а затем расшифровывает маркер с помощью этого симметричного ключа.
Устройство выполняет обычный запрос проверки подлинности для первоначального ресурса, передавая маркер, полученный от IDP, в качестве подтверждения проверки подлинности.

При проверке подписи IDP удостоверяет, что запрос поступил от указанного пользователя и устройства. Закрытый ключ устройства подписывает элемент nonce, что позволяет IDP определить удостоверение запрашивающих пользователя и устройства с тем, чтобы можно было применить политики для доступа к содержимому с учетом пользователя, типа устройств или и того и другого. Например, IDP может разрешить доступ к одному набору ресурсов только с мобильных устройств и другому набору — с настольных устройств.

Подготовка к реализации Passport

Теперь, когда мы имеем основное представление о работе Microsoft Passport и Windows Hello, рассмотрим, как реализовать их в собственных приложениях. Для полной ясности: когда мы говорим об API, мы говорим об API Microsoft Passport. В настоящее время для Windows Hello отсутствуют API.

Существуют различные сценарии, которые можно реализовать с помощью Microsoft Passport. Например, просто вход в ваше приложение на устройстве. Другим часто используемым сценарием будет проверка подлинности в службе. Вместо использования имени и пароля для входа используется Microsoft Passport. В следующих главах мы обсудим реализацию нескольких различных сценариев, в том числе проверку подлинности в службах с помощью Microsoft Passport и способы перехода от существующей системы имени пользователя и пароля для входа к системе Microsoft Passport.

Регистрация новых пользователей

Чтобы выполнять вход с помощью Microsoft Passport с использованием поставщика идентификаторов (IDP), пользователю необходимо настроенное устройство, т. е. жизненный цикл Microsoft Passport начинается с настройки использования Microsoft Passport на устройстве. Когда устройство настроено, пользователь может задействовать его для проверки подлинности в службах. В данном разделе мы рассматриваем работу регистрации устройств: что происходит, когда пользователь запрашивает проверку подлинности, как хранится и обрабатывается материал ключа и как серверы и компоненты инфраструктуры задействованы на различных этапах этого процесса.

Процесс регистрации происходит следующим образом.

Пользователь настраивает учетную запись на устройстве. Эта учетная запись может быть локальной учетной записью на устройстве или учетной записью домена, хранимой на локальном домене Active Directory, учетной записью Майкрософт или учетной записью Azure AD. На новом устройстве этот шаг может быть столь же простым, как выполнение входа с использованием учетной записи Майкрософт. При выполнении входа с использованием учетной записи Майкрософт на устройстве с Windows 10 автоматически настраивается Microsoft Passport на этом устройстве. Пользователю не нужно выполнять никакие дополнительные действия для включения этой функции.
Для выполнения входа с использованием этой учетной записи пользователю нужно ввести имеющиеся учетные данные. IDP, «владеющий» учетной записью, получает учетные данные и выполняет проверку подлинности пользователя. Эта проверка подлинности IDP может использовать имеющийся второй фактор проверки подлинности или подтверждение. Например, пользователь, который регистрирует новое устройство с использованием учетной записи Azure AD, должен предоставить подтверждение по SMS, отправляемое Azure AD.
Когда пользователь предоставит подтверждение IDP, включатся проверка подлинности с PIN-кодом.

PIN-код будет связан с данными конкретными учетными данными.

Когда пользователь завершит эту процедуру, Microsoft Passport создаст на устройстве новую пару из открытого и закрытого ключа. TPM создаст и сохранит этот закрытый ключ. Если на устройстве нет TPM, то открытый ключ будет зашифрован и сохранен в программном виде. Этот начальный ключ называется защитным ключом. Он связан только с одним жестом. Иными словами, если пользователь зарегистрирует PIN-код, отпечаток пальца и лицо на одном устройстве, каждый из этих жестов будет иметь свой уникальный защитный ключ. Защитный ключ представляет собой надежную оболочку для ключа проверки подлинности в определенном контейнере. Каждый контейнер имеет лишь один ключ проверки подлинности, но может существовать несколько копий ключа, помещенных в оболочку разных уникальных защитных ключей (каждый из которых связан с уникальным жестом). Кроме того, в Microsoft Passport создается административный ключ, с помощью которого пользователь или администратор может при необходимости сбросить учетные данные. В дополнение к защитному ключу на устройствах с поддержкой TPM создается блок данных, содержащих аттестации из TPM.

Чтобы позволить пользователю получать доступ к приложению на нескольких устройствах, внутренней службе понадобится сохранить несколько ключей для одного пользователя. Поскольку каждый ключ уникален для каждого устройства, мы сохраним все эти ключи подключенными к одному пользователю. Идентификатор устройств используется, чтобы помочь оптимизировать серверную часть при проверке подлинности пользователей. Мы поговорим об этом подробнее в следующей главе. [Источник 3]

Восстановление учетной записи

Есть несколько способов восстановить учётную запись Windows Live ID. Во-первых, если не получается войти в свою учётную запись, для восстановления можно ответить на предварительно сохранённый секретный вопрос, также используя своё местоположение. Если с учётной записью предварительно был сопоставлен номер мобильного телефона, можно использовать его. Если ни один из указанных способов не сработал, можно воспользоваться «ручной» верификацией владельца. Этот процесс занимает некоторое время (до 48-72 часов). Для восстановления требуется предоставить ключевую информацию об учётной записи. Критерии очень строгие, поэтому требуется предоставить как можно больше деталей по каждому из вопросов. Возможно, придётся связаться с контактами из адресной книги учётной записи, чтобы предоставить такую информацию как заголовки писем и контактные адреса электронной почты. Не гарантируется, что агенты службы поддержки смогут идентифицировать личность владельца и помочь в восстановлении учётной записи.

Преимущества и недостатки использования паспорта

Преимущества для пользователей

быстрая идентификация — в течение работы пользователю достаточно один раз ввести имя и пароль и получить доступ ко всем ресурсам, поддерживающим паспорт;
уменьшение временных затрат — пользователь не тратит время на изучение, как же зарегистрироваться на сайте и на сам процесс регистрации. Он видит стандартные кнопки единого входа и сразу осуществляет вход;

анонимное использование — пользователь имеет возможность не раскрывать адрес электронной почты и другие свои настоящие данные.

Преимущества для владельцев ресурсов

уменьшение времени разработки — на подключение паспорта требуется несколько часов. Это значительно меньше, чем нужно на разработку собственной системы идентификации пользователей. Тем более, чтобы обеспечить такой же уровень безопасности;
снижение затрат на поддержку — нет необходимости разбираться с вопросами типа «я забыл пароль, что мне делать». Все вопросы уже решены и продуманы в паспорте;
большая клиентская база — в настоящее время выдано уже более 200 миллионов паспортов. Все эти миллионы пользователей могут быстро и удобно воспользоваться вашим ресурсом и не уйдут с него на странице регистрации;
Microsoft Passport тесно интегрирован с Windows XP. Пользователю достаточно один раз настроить паспорт, чтобы потом, входя в локальную сеть, автоматически проходить идентификацию в паспорте. Паспорт будет тесно интегрирован и с другими продуктами Microsoft, например, Windows .NET Server;
готовность к подключению дополнительных сервисов — паспорт является ключевым сервисом из набора сервисов Microsoft, работа над которыми идет в настоящее время. Эти сервисы способны дать новое качество вашему ресурсу, но для их работы необходимо использование паспорта.

Паспорт, как и любая система, не лишена недостатков. Я бы выделил два основных недостатка: удаленность серверов идентификации и стоимость использования. Удаленность системы имеет значение, поскольку получается, что доступ к вашим ресурсам зависит не только от работоспособности вашего ресурса и паспорта, но и от работоспособности канала связи между вашим сервером и серверами паспорта. Ведь сейчас вся идентификация происходит в едином месте. Однако со временем эта проблема будет все менее актуальной. В планах Microsoft создание федеративной системы серверов. При этом идентификация будет проходить на ближайшем сервере, независимо от того, где пользователь получал свой паспорт. Другая проблема в стоимости использования. Использование паспорта бесплатно для клиентов. Но сервер, чтобы иметь возможность работать с паспортом, должен заключить договор и оплачивать ежегодную абонентскую плату. Стоимость которой, на текущий момент, достаточно высока. В этом направлении также ведутся работы. Возможно, стоимость использования в разных странах будет отличаться (как отличаются по стоимости локализованные версии продуктов). Также планируется возможность использования паспорта через ASP-провайдеров. [Источник 4]