Управление проверкой личности с помощью Microsoft Passport

Статья
04/01/2016

В Windows 10 служба Microsoft Passport заменяет пароли на строгую двухфакторную проверку подлинности на компьютерах и мобильных устройствах. Эта проверка подлинности заключается в новом типе учетных данных пользователя, привязанных к устройству и Windows Hello (биометрические данные) или ПИН-коду.

Служба Passport решает следующие проблемы с паролями.

Пароли могут быть трудны для запоминания, и пользователи часто повторно используют пароли на нескольких сайтах.
Взломы сервера могут раскрывать симметричные сетевые учетные данные.
Пароли могут подлежать атакам с повторением пакетов.
Пользователи могут непреднамеренно предоставить свой пароль вследствие фишинга.

Passport позволяет пользователям выполнить проверку подлинности:

учетной записи Майкрософт;
учетной записи Active Directory;
учетной записи Microsoft Azure Active Directory (AD);
Службы поставщика удостоверений или службы проверяющей стороны, которые поддерживают проверку подлинности Fast ID Online (FIDO) v2.0.

После начальной двухэтапной проверки пользователя при регистрации в Microsoft Passport на устройстве пользователя настраивается служба Microsoft Passport и пользователь устанавливает жест, который может представлять собой Windows Hello или PIN-код. Пользователь делает жест для проверки своего удостоверения. После чего Windows использует Microsoft Passport для проверки подлинности пользователей и предоставления им доступа к защищенным ресурсам и службам.

От имени администратора компании или общеобразовательной организации можно создать политики управления Passport для использования на устройствах под управлением Windows 10, которые подключаются к вашей организации.

Преимущества Microsoft Passport

Сообщения о хищении персональных данных и широкомасштабных взломах часто появляются в СМИ. Никто не хочет получить уведомление о том, что его имя пользователя и пароль были раскрыты.

Вам может быть интересно, как ПИН-код помогает защитить устройство лучше, чем пароль. Пароли представляют собой общие секреты; они вводятся на устройстве и передаются по сети на сервер. Перехваченные имя и пароль учетной записи могут быть использованы кем угодно. Учетные данные могут быть раскрыты при взломе сервера, так как хранятся на сервере.

В Windows 10 служба Passport заменяет пароли. В процессе подготовки служба Passport создает два криптографических ключа, привязанных к доверенному платформенному модулю (TPM), если устройство оснащено таким модулем, или в программной реализации. Доступ к этим ключам и получение подписи для проверки того, что пользователь владеет закрытым ключом, предоставляется только при вводе PIN-кода или биометрического жеста. Двухэтапная проверка, которая происходит при регистрации в службе Passport, формирует доверительные взаимоотношения между поставщиком удостоверений и пользователем, когда открытая часть пары "открытый/закрытый ключ" отправляется поставщику удостоверений и связывается с учетной записью пользователя. Когда пользователь выполняет жест на устройстве, поставщик удостоверений определяет по комбинации ключей Passport и жеста, что это проверенное удостоверение, и предоставляет маркер проверки подлинности, с помощью которого Windows 10 получает доступ к ресурсам и службам. Кроме того, в процессе регистрации генерируется претензия по удостоверению для каждого поставщика удостоверений, чтобы криптографически подтвердить, что ключи Passport привязаны к TPM. Если претензия по удостоверению во время регистрации не выставляется поставщику удостоверений, поставщик удостоверений должен предположить, что ключ Passport создан в программе.

Как работает проверка подлинности в службе MIcrosoft Passport

Представьте, что кто-то подсматривает через ваше плечо при получении денежных средств из банкомата и видит вводимый вами PIN-код. Наличие этого PIN-кода не поможет им получить доступ к учетной записи, так как у них нет банковской карты. Аналогичным образом перехват PIN-кода для устройства не позволяет злоумышленнику получить доступ к учетной записи, так как PIN-код является локальным для конкретного устройства и не обеспечивает никакого типа проверки подлинности с любого другого устройства.

Служба Microsoft Passport позволяет защищать удостоверения и учетные данные пользователей. Так как пароли не используются, фишинг и атаки методом подбора становятся бесполезными. Эта технология позволяет также предотвратить взломы серверов, так как учетные данные Passport являются асимметричной парой ключей, что предотвращает атаки с повторяющимися пакетами, так как эти ключи создаются в изолированных средах TPM.

Благодаря Microsoft Passport устройства Windows 10 Mobile можно использовать в качестве удаленных учетных данных при входе на ПК под управлением Windows 10. В процессе входа в систему ПК под управлением Windows 10 может подключаться и получать доступ к Microsoft Passport на устройстве пользователя под управлением Windows 10 Mobile по Bluetooth. Поскольку телефон всегда при себе у пользователя, Microsoft Passport позволяет гораздо проще и с меньшими затратами (по сравнению с другими решениями) реализовать двухфакторную аутентификацию в организации.

Примечание Функция входа через телефон в настоящее время доступна только отдельным участникам программы принятия технологий (TAP).

Как работает Microsoft Passport: основные положения

Учетные данные службы Passport основаны на сертификате или асимметричной паре ключей. Учетные данные Passport привязаны к устройству, как и маркер, получаемый с помощью учетных данных.
Поставщик удостоверений (например, учетная запись Active Directory, Azure AD или Microsoft) проверяет удостоверение пользователя и сопоставляет открытый ключ Microsoft Passport с учетной записью пользователя на этапе регистрации.
Ключи могут генерироваться в аппаратном (TPM 1.2 или 2.0 для предприятий и TPM 2.0 для потребителей) или программном обеспечении на основании политики.
Проверка подлинности — это двухфакторная проверка с использованием сочетания ключа или сертификата, привязанного к устройству, и информации, известной пользователю PIN-код), или идентификационных данных пользователя (Windows Hello). Жест Passport не перемещается между устройствами и не предоставляется серверу. Он хранится локально на устройстве.
Закрытый ключ никогда не покидает устройство. Проверяющий подлинность сервер имеет открытый ключ, который был сопоставлен с учетной записью пользователя во время регистрации.
Как ввод PIN-кода, так и Hello приводят к проверке удостоверения пользователя в Windows 10 и проверке подлинности с использованием ключей или сертификатов Passport.
Личные (Microsoft) или корпоративные учетные записи (Active Directory или Azure AD) использует отдельные контейнеры для ключей. Поставщики удостоверений сторонних разработчиков могут создавать ключи для своих пользователей в том же контейнере, что и учетная запись Майкрософт. Однако все ключи разделяются доменами поставщиков удостоверений, чтобы обеспечить конфиденциальность пользователя.
Сертификаты добавляются в контейнер Passport и защищаются жестом Passport.
Поведение центра обновления Windows: после того как центр обновления Windows затребует перезагрузку, последний интерактивный пользователь автоматически входит в систему без каких-либо жестов пользователя, а сеанс блокируется, так что и приложения на экране блокировки пользователя могут работать.

Сравнение проверки подлинности на основе ключа и сертификата

Служба Passport может использовать ключи (аппаратный или программный) или сертификаты с ключами в аппаратном или программном обеспечении, чтобы подтвердить личность. Предприятия с инфраструктурой открытых ключей (PKI) для выпуска и управления сертификатами могут продолжать использовать PKI вместе со службой Passport. Предприятия, которые не используют PKI или не хотят уменьшать усилия, связанные с управлением сертификатами, могут положиться на учетные данные на основе ключа для службы Passport.

Аппаратные ключи, которые создаются модулем TPM, обеспечивают наиболее высокий уровень гарантии. При изготовлении в модуль TPM помещается сертификат ключа подтверждения (EK). Этот сертификат EK создает корневое доверие для всех других ключей, которые генерируются в этом модуле TPM.

Сертификация EK используется для генерации сертификата ключа удостоверения подлинности (AIK), выданного службой сертификации Майкрософт. Этот сертификат AIK можно использовать как претензию по удостоверению, чтобы подтвердить поставщикам удостоверений, что ключи Passport генерировались в одном TPM. Центр сертификации Майкрософт (CA) генерирует сертификат AIK для каждого устройства, пользователя и IDP, чтобы гарантировать защиту конфиденциальности.

Если поставщики удостоверений, например Active Directory или Azure AD, регистрируют сертификат в службе Passport, Windows 10 будет поддерживать тот же набор сценариев, что и смарт-карта. Если тип учетных данных представляет собой ключ, будет поддерживаться только доверие и операции на основе ключа.