Microsoft реализовала функцию авторизации в сервисах с помощью ключей FIDO2

В апреле нынешнего года компания Microsoft анонсировала поддержку стандарта WebAuthn, позволяющего авторизоваться в Microsoft Edge с помощью ключей безопасности FIDO2. Начиная с 20 ноября, у пользователей Windows 10 появилась возможность авторизоваться в своих учетных записях Microsoft без паролей – через Edge с использованием устройств FIDO2.

С помощью ключей безопасности наподобие YubiKey или Feitian BioPass пользователи могут выполнять вход в сервисы Microsoft, в том числе в Outlook, Cortana, Skype, OneDrive, Office, Microsoft Store и Xbox Live. Ключ Titan Security от Google не совместим с FIDO2, поэтому использоваться не может.

В настоящее время функция доступна только для пользователей Windows 10 (версия 1809), известной как October 2018 Update. В будущем Microsoft также планирует предложить ее своим корпоративным клиентам и образовательным учреждениям путем интеграции с Azure Active Directory.

Ключи безопасности с поддержкой стандарта FIDO2 защищают учетную запись пользователя с помощью созданной ими пары криптографических ключей. Закрытый ключ из пары хранится на создавшем его устройстве и известен только ему. Получить доступ к закрытому ключу можно только с помощью PIN-кода или биометрического сигнала (жеста или прикосновения к кнопке).

Открытый ключ для расшифровки данных, зашифрованных закрытым ключом, отправляется в Microsoft и хранится как часть учетной записи пользователя.

В процессе аутентификации Microsoft отправляет ключу безопасности одноразовый номер. Устройство шифрует его с помощью закрытого криптографического ключа и отправляет обратно в Microsoft. С помощью открытого ключа Microsoft пытается расшифровать зашифрованный номер и в случае успеха считает аутентификацию пройденной.

FIDO2 – открытый стандарт аутентификации, разрабатываемый организацией FIDO Alliance. Состоит из спецификации W3C Web Authentication (WebAuthn API) и протокола уровня приложений Client to Authentication Protocol (CTAP).