Gerenciar a verificação de identidade usando o Microsoft Passport

  • Artigo

No Windows 10, o Microsoft Passport substitui as senhas pela autenticação forte de dois fatores em computadores e dispositivos móveis. Essa autenticação consiste em um novo tipo de credenciais de usuário que é vinculado a um dispositivo e ao Windows Hello (biometria) ou PIN.

O Passport aborda os seguintes problemas com senhas:

  • As senhas podem ser difíceis de lembrar, e os usuários geralmente reutilizam senhas em vários sites.

  • As violações de servidor podem expor as credenciais de rede simétricas.

  • As senhas podem estar sujeitas a ataques de reprodução.

  • Os usuários podem inadvertidamente expor suas senhas devido a ataques de phishing.

O Passport permite que os usuários se autentiquem em:

  • uma conta da Microsoft.

  • uma conta do Active Directory.

  • uma conta do Active Directory (AD) do Microsoft Azure.

  • Serviços de Provedor de Identidade ou Serviços de Terceiros Confiáveis que aceitam a autenticação Fast ID Online (FIDO) v2.0

Após uma verificação inicial em duas etapas do usuário durante o registro do Passport, o Passport é configurado no dispositivo do usuário, e o usuário é solicitado a definir um gesto, que pode ser um PIN ou Windows Hello. O usuário fornece o gesto para verificar sua identidade. Em seguida, o Windows usa o Passport para autenticar usuários e ajudá-los a acessar recursos e serviços protegidos.

Como administrador de uma empresa ou organização educacional, você pode criar políticas para gerenciar o uso do Passport em dispositivos com Windows 10 que se conectam à sua organização.

Benefícios do Microsoft Passport

Denúncias de roubo de identidade e violação em grande escala são notícias frequentes. Ninguém quer ser notificado de que seu nome de usuário e senha foram expostos.

Você pode estar se perguntando como um PIN pode ajudar a proteger um dispositivo melhor do que uma senha. As senhas são segredos compartilhados; elas são inseridas em um dispositivo e transmitidas pela rede ao servidor. Um nome de conta e uma senha interceptados podem ser usados por qualquer pessoa. Como eles estão armazenados no servidor, uma violação do servidor pode revelar as credenciais armazenadas.

No Windows 10, o Passport substitui senhas. O processo de provisionamento do Passport cria duas chaves criptográficas associadas ao TPM (Trusted Platform Module), se o dispositivo tiver TPM, ou no software. O acesso a essas chaves e a obtenção de uma assinatura para validar a posse do usuário da chave privada são permitidos apenas pelo PIN ou gesto biométrico. A verificação em duas etapas que ocorre durante o registro do Passport cria uma relação de confiança entre o provedor de identidade e o usuário quando a parte pública do par de chaves pública/privada é enviada a um provedor de identidade e associada a uma conta de usuário. Quando o usuário insere o gesto no dispositivo, o provedor de identidade sabe com a combinação de chaves e gesto do Passport que essa é uma identidade verificada e fornece um token de autenticação que permite que o Windows 10 acesse os recursos e serviços. Além disso, durante o processo de registro, a declaração de atestado é gerada para cada provedor de identidade provar criptograficamente que as chaves do Passport estão vinculadas ao TPM. Durante o registro, quando a declaração de atestado não é apresentada ao provedor de identidade, o provedor de identidade deve presumir que a chave do Passport foi criada no software.

Como a autenticação funciona no MIcrosoft Passport

Imagine que alguém esteja atrás de você lhe observando enquanto tira dinheiro de um caixa eletrônico e vê o PIN que você inseriu. Ter esse PIN não ajudará a pessoa a acessar sua conta, porque ela não têm o cartão que você usou no caixa eletrônico. Da mesma forma, saber o PIN de seu dispositivo não permite que esse invasor acesse sua conta, pois o PIN é local em seu dispositivo específico e não permite qualquer tipo de autenticação de qualquer outro dispositivo.

O Passport ajuda a proteger as identidades e as credenciais dos usuários. Uma vez que senhas não são usadas, ele ajuda a evitar ataques de força bruta e phishing. Ele também ajuda a evitar violações de servidor porque as credenciais do Passport são um par de chaves assimétricas, que ajuda a impedir ataques de repetição quando essas chaves são geradas em ambientes isolados de TPMs.

O Microsoft Passport também permite que dispositivos Windows 10 Mobile sejam usados como credencial remota ao entrar em computadores Windows 10.. Durante o processo de entrada, o computador Windows 10 pode se conectar usando Bluetooth para acessar o Microsoft Passport no dispositivo Windows 10 Mobile do usuário. Uma vez que os usuários carregam seu telefone, o Microsoft Passport torna a implementação da autenticação de dois fatores em toda a empresa mais barata e simples do que outras soluções.

Observação  A entrada por telefone no momento se limita a participantes selecionados do TAP (Technology Adoption Program).

 

Como o Microsoft Passport funciona: pontos importantes

  • As credenciais do Passport são baseadas em certificado ou par de chaves assimétricas. As credenciais do Passport são associadas ao dispositivo, e o token que é obtido usando a credencial também é associado ao dispositivo.

  • O provedor de identidade (como uma conta do Active Directory, Azure AD ou Microsoft) valida a identidade do usuário e mapeia a chave pública do Microsoft Passport para a conta de usuário durante a etapa de registro.

  • As chaves podem ser geradas em hardware (TPM 1.2 ou 2.0 para empresas, e TPM 2.0 para consumidores) ou em software, com base na política.

  • Autenticação é a autenticação de dois fatores com a combinação de uma chave ou um certificado associados a um dispositivo e algo que a pessoa saiba (um PIN) ou algo que ela tenha (Windows Hello). O gesto do Passport não se move entre dispositivos e não é compartilhado com o servidor; ele é armazenado localmente em um dispositivo.

  • A chave privada nunca sai de um dispositivo. O servidor de autenticação tem uma chave pública que é mapeada para a conta de usuário durante o processo de registro.

  • A entrada do PIN e o Hello disparam o Windows 10 para verificar a identidade do usuário e fazer a autenticação usando chaves ou certificados do Passport.

  • Contas pessoais (conta da Microsoft) e corporativas (Active Directory ou Azure AD) usam contêineres separados para chaves. Os provedores de identidade que não são da Microsoft podem gerar chaves para seus usuários no mesmo contêiner da conta da Microsoft. No entanto, todas as chaves são separadas por domínios de provedores de identidade para ajudar a garantir a privacidade do usuário.

  • Os certificados são adicionados ao contêiner do Passport e protegidos pelo gesto do Passport.

  • Comportamento do Windows Update: após uma reinicialização ser exigida pelo Windows Update, o último usuário interativo é conectado automaticamente sem qualquer gesto do usuário, e a sessão é bloqueada para que os aplicativos da tela de bloqueio do usuário possam ser executados.

Comparando a autenticação baseada em certificado e a baseada em chave

O Passport pode usar chaves (hardware ou software) ou certificados com chaves em hardware ou software para confirmar a identidade. As empresas que têm uma infraestrutura de chave pública (PKI) para emitir e gerenciar certificados podem continuar a usar a PKI em combinação com o Passport. As empresas que não usam a PKI ou que querem reduzir o esforço associado ao gerenciamento de certificados podem usar credenciais baseadas em chave do Passport.

As chaves baseadas em hardware, que são geradas pelo TPM, fornecem o mais alto nível de garantia. Quando o TPM é fabricado, um certificado de Chave de Endosso (EK) é mantido no TPM. Esse certificado EK cria uma relação de confiança raiz para todas as outras chaves que são geradas nesse TPM.

A certificação EK é usada para gerar um certificado de chave de identidade de atestado (AIK) emitido por uma autoridade de certificação da Microsoft. Esse certificado AIK pode ser usado como uma declaração de atestado para provar para os provedores de identidade que as chaves do Passport são geradas no mesmo TPM. A autoridade de certificação (CA) da Microsoft gera o certificado AIK por dispositivo, por usuário e por IDP para ajudar a garantir que a privacidade do usuário seja protegida.

Quando os provedores de identidade, como Active Directory ou Azure AD, registram um certificado no Passport, o Windows 10 aceitará o mesmo conjunto de cenários de um cartão inteligente. Quando o tipo de credencial for uma chave, apenas relações de confiança e operações baseadas em chave serão aceitas.

Saiba mais

Novidades no Serviços de Domínio do Active Directory (AD DS) no Windows Server Technical Preview

Autenticação por face Windows Hello

Diretrizes de hardware para biometria

Windows 10: Acabando com o transtorno das ameaças cibernéticas com uma segurança inovadora!

Windows 10: O fim das senhas e do roubo de credenciais?

Autenticação sem senha com o Microsoft Passport

Guia do Microsoft Passport

Tópicos relacionados

Implementar o Microsoft Passport em sua organização

Por que um PIN é melhor que uma senha

Preparar pessoas para usar o Microsoft Passport

Microsoft Passport e mudanças de senha

Erros do Microsoft Passport durante a criação do PIN

ID do evento 300 — Passport criado com êxito