Microsoft реалізувала функцію авторизації у сервісах за допомогою ключів FIDO2

У квітні цього року компанія Microsoft анонсувала підтримку стандарту WebAuthn, що дозволяє авторизуватися в Microsoft Edge за допомогою ключів безпеки FIDO2. Починаючи з 20 листопада, у користувачів Windows 10 з'явилася можливість авторизуватися у своїх облікових записах Microsoft без паролів – через Edge з використанням пристроїв FIDO2.

За допомогою ключів безпеки на зразок YubiKey або Feitian BioPass користувачі можуть виконувати вхід до сервісів Microsoft, зокрема Outlook, Cortana, Skype, OneDrive, Office, Microsoft Store та Xbox Live. Ключ Titan Security від Google не сумісний із FIDO2, тому використовуватись не може.

В даний час функція доступна лише для користувачів Windows 10 (версія 1809), відомої як October 2018 Update. У майбутньому Microsoft також планує запропонувати її своїм корпоративним клієнтам та освітнім установам шляхом інтеграції з Azure Active Directory.

Ключі безпеки з підтримкою стандарту FIDO2 захищають обліковий запис користувача за допомогою створеної пари криптографічних ключів. Закритий ключ з пари зберігається на створеному його пристрої і відомий тільки йому. Отримати доступ до закритого ключа можна лише за допомогою PIN-коду або біометричного сигналу (жесту або дотику до кнопки).

Відкритий ключ для розшифрування даних, зашифрованих закритим ключем, надсилається до Microsoft і зберігається як частина облікового запису користувача.

У процесі автентифікації Microsoft відправляє ключу безпеки одноразовий номер. Пристрій шифрує його за допомогою закритого криптографічного ключа і відправляє назад до Microsoft. За допомогою відкритого ключа Microsoft намагається розшифрувати зашифрований номер і в разі успіху вважає автентифікацію пройденою.

FIDO2 – відкритий стандарт аутентифікації, що розробляється організацією FIDO Alliance. Складається зі специфікації W3C Web Authentication (WebAuthn API) та протоколу рівня додатків Client to Authentication Protocol (CTAP).