Konfigurirajte pristupne ključeve i Windows Hello za aplikacije i web-mjesta u sustavu Windows

Kombinacija Lozinke i Windows Hello potpuno mijenjaju način na koji se prijavljujemo na računalima, aplikacijama i web stranicama. Sve više ovisimo o radu na daljinu, online kupovini i uslugama u oblaku, stoga više nije dovoljno oslanjati se na tradicionalne lozinke: lako ih je zaboraviti, ponovno upotrijebiti i mogu se lako otkriti ili ukrasti.

S pristupnim ključevima ili lozinkama i s Windows Hello kao autentifikator platformeMožemo prijeći s tipkanja lozinki na korištenje prepoznavanja lica, skeniranja otiska prsta, lokalnog PIN-a ili čak mobilnog uređaja putem Bluetootha ili QR koda. Sve to podržavaju sigurnosni standardi poput FIDO-a i WebAuthn-a, osmišljeni kako bi se smanjili phishing napadi i poboljšala privatnost korisnika.

Što su lozinke i kako se uklapaju u Windows Hello?

Lozinke su jedinstvene kriptografske vjerodajnice za svaku web stranicu ili aplikaciju One zamjenjuju tradicionalne lozinke. Umjesto da pamtite i upisujete lozinku, sustav generira par ključeva (javni i privatni), a osjetljivi dio se sigurno pohranjuje na vašem uređaju.

U Microsoftovom ekosustavu, Windows Hello djeluje kao autentifikator platformeOvo je sistemska komponenta koja štiti te privatne ključeve i otključava ih samo kada potvrdite svoj identitet pomoću biometrije (lice, otisak prsta) ili PIN-a. Iz perspektive korisnika, "prijava s lozinkom" obično se prevodi kao "korištenje sustava Windows Hello".

Ovi pristupni ključevi su dizajnirani da budu Otporno na phishing i vrlo teško za ukrastiPrivatna tajna nikada ne napušta uređaj, a poslužitelj online usluge pohranjuje samo javni ključ, koji se sam po sebi ne može koristiti za lažno predstavljanje. Nadalje, svaki pristupni ključ jedinstven je za određenu web stranicu ili aplikaciju, što sprječava opasnu ponovnu upotrebu.

U praksi, kada registrirate račun na web-mjestu koje podržava lozinke, Vaše računalo generira FIDO par ključevaPrivatni se pohranjuje lokalno, zaštićen od strane sigurni modul i putem Windows Hello-a; javni ključ se šalje poslužitelju. Prilikom budućih prijava, usluga izdaje izazov da vaš uređaj potpiše privatnim ključem, operacija koja se otključava samo ako prođete Windows Hello provjeru.

Prednosti lozinki u odnosu na tradicionalne lozinke

Prelazak s lozinki na pristupne ključeve nije samo stvar praktičnosti; govorimo o prilično duboka promjena u sigurnosnom modeluMeđu glavnim prednostima ističe se nekoliko ključnih točaka.

Prvi Mnogo ih je lakše koristitiNe morate pamtiti duge kombinacije velikih slova, simbola i brojeva. Pristupni ključ se stvara u pozadini, a vaša interakcija je ograničena na gledanje u kameru, stavljanje prsta na čitač ili unos kratkog PIN-a povezanog s uređajem.

Drugo, Svaka lozinka je jedinstvena za aplikaciju ili web-stranicuAko usluga pretrpi proboj i javni ključ bude otkriven, ne može se koristiti na drugim uslugama niti se može samostalno koristiti za pristup vašem računu, jer kritični dio (privatni ključ) nikada nije napustio vaše računalo ili mobilni uređaj.

Još jedna važna prednost je što su dizajnirani da budu intrinzično otporan na phishingPreglednik ili operativni sustav osigurava da se lozinka koristi samo s ispravnom domenom, sprječavajući napadača da vas prevari lažnom web stranicom kako biste otkrili svoje vjerodajnice. Validacija je povezana s izvorom, a ne s onim što vidite i mislite da prepoznajete.

Konačno, lozinke mogu ponuditi autentifikacija između uređaja i, u nekim ekosustavima, sinkronizacijaTelefon možete koristiti kao autentifikator za računalo ili obrnuto, a na platformama koje ga podržavaju, pristupni ključevi mogu putovati šifrirano između vaših uređaja tako da imate isto iskustvo na svima njima.

Kako Windows Hello funkcionira kao FIDO autentifikator

Microsoft na tome radi već godinama. FIDO savezGrupa tvrtki koja definira standarde FIDO2 i WebAuthn. Windows Hello je Microsoftova implementacija autentifikatora platforme koji razumije i koristi te standarde.

Kada omogućite Windows Hello, sustav stvara sigurno okruženje za pohranu tajni kao što su vaši privatni pristupni ključevi. Ovo okruženje može se oslanjati na određeni hardver (TPM i slično) i izolirano je od ostatka sustava, pa čak i ako postoji zlonamjerni softver, izuzetno mu je teško izdvojiti te ključeve.

Tijekom registracije s kompatibilnom uslugom, Windows Hello generira par ključevaJavni ključ se šalje na poslužitelj kako bi se povezao s vašim računom; privatni ključ ostaje pohranjen na vašem uređaju. Kad god vas neka usluga želi autentificirati, šalje vam izazov koji Windows Hello potpisuje vašim privatnim ključem, ali tek nakon što potvrdi vaš lokalni identitet (PIN, otisak prsta, lice).

Vrlo važan detalj je taj što Biometrijski podaci nikada ne napuštaju uređajVaš otisak prsta ili uzorak lica koristi se samo za otključavanje sustava Windows Hello na vašem računalu. Ove se informacije ne šalju na web-mjesto, ne prenose putem mreže niti pohranjuju na vanjskim poslužiteljima.

Nadalje, budući da je integriran u operativni sustav, Windows Hello se koristi u više scenarija: prijava u sam Windows, otključavanje upravitelja lozinki, autentifikacija u aplikacijama sustava Microsoft 365, pristup web-mjestima putem kompatibilnih preglednika, zaštita vjerodajnica spremljenih u Chromeu itd.

Zahtjevi sustava Windows i licence za korištenje lozinki

Nisu sva računala i verzije sustava Windows jednako opremljene lozinkama. Što se tiče podrške, Pristupne tipke za Windows Hello dostupne su u određenim izdanjima sustava Windows, prvenstveno usmjeren na profesionalno i obrazovno okruženje.

Što se tiče izdanja, lozinke su podržane u:

• Windows pro
• Windows Enterprise
• Windows Pro Education / SE
• Obrazovanje sustava Windows

Pravo korištenja povezano je s licencama kao što su Izdanja Windows Pro, Windows Enterprise E3/E5 i Education A3/A5Drugim riječima, preporučuje se u korporativnim ili obrazovnim okruženjima. pregledajte ugovor o pretplati ili licenci kako bi se osiguralo da se lozinke mogu iskoristiti u potpunosti.

Drugi ključni aspekt je inačica operativnog sustavaWindows 11, posebno od verzija poput 22H2 i 23H2, uključuje važna poboljšanja: podršku za moderne ECC algoritme za WebAuthn, specifično sučelje za upravljanje lozinkama u Postavkama, proširenu sinkronizaciju Windows Hello-a, uvjetno korisničko sučelje u preglednicima poput Chromea i Edgea itd.

U starijim verzijama, kao što su Windows 7 ili rane verzije Windowsa 10, Podrška za WebAuthn i lozinke je ograničena ili uopće ne postojiStoga će iskustvo biti puno lošije ili jednostavno nedostupno. U praksi, kako biste u potpunosti iskoristili ovaj ekosustav, idealno je imati relativno noviju verziju sustava Windows 10 ili, još bolje, ažuriranu verziju sustava Windows 11.

Osim toga, za spremanje lozinke na Windows uređaju morat ćete imati Unaprijed konfigurirani Windows HelloAko ga još niste aktivirali, osnovni put je: Postavke → Računi → Opcije prijave, gdje možete dodati svoj PIN, lice ili otisak prsta.

Kako korak po korak postaviti Windows Hello na računalu

Prije igranja s lozinkama, prvo što trebate učiniti je Pokreni Windows Hello na uređaju. Postupak je jednostavan i obavlja se iz aplikacije Postavke.

Na uređaju sa sustavom Windows 10 ili 11 otvorite aplikaciju Postavke i idite na Računi → Opcije prijaveTakođer mu možete pristupiti pomoću prečaca za pretraživanje upisivanjem "Mogućnosti prijave" u izbornik Start.

U odjeljku "Načini prijave" vidjet ćete nekoliko opcija povezanih s Windows Hello:

• Prepoznavanje lica (Windows Hello): Koristite infracrvenu kameru ugrađenu u uređaj ili kompatibilnu vanjsku infracrvenu kameru.
• Prepoznavanje otiska prsta (Windows Hello): potreban je kompatibilan čitač otiska prsta.
• PIN (Windows Hello)- Lokalni numerički (ili alfanumerički) kod, vezan samo za taj uređaj.

Odaberite opciju koju želite koristiti kao primarnu metodu i kliknite na konfiguriranjeSustav će vas voditi kroz registraciju lica, otiska prsta ili PIN-a, ovisno o vašem izboru.

Od sljedeće prijave, Pomoću te metode moći ćete se prijaviti u Windows. umjesto lozinke za Microsoft račun. To nije samo praktičnije, već i postavlja temelje za korištenje Windows Hello-a kao autentifikatora lozinke na web-mjestima i aplikacijama.

Stvaranje i korištenje lozinki na web-mjestima i aplikacijama iz sustava Windows

Nakon što je Windows Hello aktivan, možete stvaranje i korištenje pristupnih ključeva u kompatibilnim uslugamaTočan tijek ovisi o svakoj web stranici ili aplikaciji, ali obično slijedi vrlo slične korake.

Za izradu lozinke posjetite web-stranicu ili aplikaciju koja oglašava podršku za lozinke. Obično ćete vidjeti opcije poput ove tijekom postupka registracije ili u odjeljku sigurnosti računa. "Izradi pristupni ključ" ili "Koristi pristupni ključ".

Odabirom te opcije, usluga će vas zatražiti da registrirate lozinku. U tom trenutku, Windows Hello će se pojaviti kao metoda provjere Tražit će se od vas da potvrdite licem, otiskom prsta ili PIN-om. Nakon tog koraka, privatni ključ se generira i sprema lokalno na vaše računalo.

Kada se ponovno prijavite na tu stranicu, tipičan postupak će biti otprilike ovakav:

1. Otvarate stranicu za prijavu i unosite svoj identifikator (e-poštu, telefon ili korisničko ime) ili ga odabirete iz ponuđenih prijedloga.
2. Web-stranica otkriva da imate registriranu lozinku i Predlaže da se prijavite pomoću Windows Hello-a..
3. Sustav prikazuje Windows Hello sučelje: skenirate lice, otisak prsta ili upišete PIN.
4. Lozinka potpisuje izazov koji je poslao poslužitelj i, ako se sve zbroji, Prijava je dovršena bez unosa ikakve lozinke..

U nekim modernim preglednicima, kao što su Chrome i Edge, postoji Uvjetno korisničko sučelje Izravno predlaže vaše korisničko ime ili spremljeno ime računa (ono spremljeno s vašom lozinkom) na dnu zaslona ili iznad tipkovnice. Jednostavno dodirnite ili kliknite to ime da biste pokrenuli Windows Hello i prijavili se.

Također imate mogućnost korištenja komplementarni uređaji, kao što je mobilni telefon ili tablet, za autentifikaciju na računalu. U tim scenarijima telefon djeluje kao autentifikator (na primjer, putem pristupnog ključa pohranjenog u upravitelju ili u vlastitom sustavu mobilnog telefona), a veza se uspostavlja putem Bluetootha i internetske veze.

Upravljanje, pohranjivanje i brisanje lozinki u sustavu Windows 11

U sustavu Windows 11, lozinke se spremaju lokalno na vašem uređajuOvi ključevi povezani su s vašim korisničkim računom. Ne sinkroniziraju se automatski s drugim Windows računalima, pa svako računalo održava vlastiti skup pristupnih ključeva.

Za pregled i upravljanje pohranjenim pristupnim ključevima možete otići na:

• Gumb Windows → Postavke → Računi → Pristupne tipke, u verzijama u kojima se ovaj odjeljak pojavljuje s tim nazivom.
• U drugim varijacijama, prikazano je kao Tipka Početna → Postavke → Računi → Opcije prijave, odakle ponekad vodi do upravljanja lozinkama.
• Ako koristite engleski sustav, put je sličan Windows → Postavke → Računi → Lozinke.

U tom odjeljku vidjet ćete popis pristupnih ključeva povezanih s web-lokacijama i aplikacijama. izbrisati određeni pristupni ključSamo trebate kliknuti na tri točke koje se pojavljuju desno od odgovarajućeg unosa i odabrati "Ukloni lozinku" ili sličnu opciju.

Ovim brisanjem se uklanjaju samo vjerodajnice s vašeg uređaja; Ne zatvara račun niti briše profil na udaljenoj usluzi.Ako želite potpuno prestati koristiti lozinke s tom uslugom, morat ćete ih onemogućiti i u sigurnosnim postavkama same web stranice ili aplikacije.

Imajte na umu da, budući da se lozinke izvorno ne sinkroniziraju između Windows uređaja, ako formatirate računalo ili promijenite računalo, Lokalni pristupni ključevi bit će izgubljeniosim ako ne koristite rješenja trećih strana koja podržavaju sinkronizaciju WebAuthn/FIDO.

Lozinke, Bluetooth i ograničena korporativna okruženja

Kad pričamo autentifikacija između uređaja pomoću lozinkiNa primjer, kada se za prijavu na računalo koristi mobilni telefon, Bluetooth dolazi do izražaja. I Windows računalo i telefon moraju imati omogućen Bluetooth i internetsku vezu kako bi se uspostavio siguran kanal.

Međutim, u mnogim organizacijama korištenje Bluetootha je ozbiljno ograničeno sigurnosnim pravilima. To može neizravno blokirati mogućnost korištenja lozinki s drugih uređaja (kao što je mobilni telefon) na računalu s Windows Hello, iako se lozinke pohranjene na fizičkim uređajima poput FIDO2 USB ključeva i dalje mogu koristiti.

U tim slučajevima, tvrtke mogu Dopusti korištenje Bluetootha samo za FIDO2 autentifikatore omogućene za lozinkeTime se izbjegava generičko uparivanje uređaja, ali se održava sigurna funkcionalnost autentifikacije.

Konfiguracija se može izvršiti putem MDM direktive koje koriste Bluetooth CSP i instalaciju CSP uređaja, što ograničava i vidljivost i instalaciju određenih uređaja.

Na primjer, administrator može koristiti PowerShell i WMI Bridge Provider za stvaranje instanci pravila koje onemogućuju vidljivi način rada, oglašavanje, prethodno uparivanje ili određene ID-ove uređaja, a istovremeno dopuštaju određene FIDO usluge. Ideja je da Samo potrebni FIDO2 autentifikatori mogu komunicirati putem Bluetoothasmanjenje rizika od napada putem te rute.

Korištenje pristupnih ključeva s Microsoft Authenticatorom i Windows Hello for Business

U poslovnim okruženjima mnogi korisnici kombiniraju Windows Hello za tvrtke (WHfB) korištenjem pristupnih ključeva registriranih u Microsoft Authenticatoru za vaše Microsoft 365 račune. Tipičan je cilj prijava na vašu radnu stanicu pomoću mobilnog pristupnog ključa kao primarnog faktora.

Međutim, važno je shvatiti da Nisu svi scenariji podržani na isti načinNa primjer, ako registrirate pristupni ključ u programu Microsoft Authenticator i koristite ga u aplikacijama M365, to ne znači automatski da isti pristupni ključ možete koristiti kao metodu prijave za opcije prijave u sustav Windows Hello for Business na prijenosnom računalu.

U nekim slučajevima, čak i ako ste uparili prijenosno računalo s Android telefonom putem Bluetootha, odlazak na "Upravljanje pristupnim ključem" iz opcija prijave možda neće raditi. trebala bi se pojaviti samo opcija USB pristupnog ključaAko ne vidite eksplicitnu opciju za postavljanje lozinke temeljene na Bluetoothu (ili autentifikacije na više uređaja), to bi moglo biti zbog sljedećeg:

• Ograničenja verzije sustava Windows ili određene verzije.
• Korporativne politike koje ograničavaju Bluetooth ili određene autentifikatore.
• Konfiguracija sustava Windows Hello za tvrtke koja dopušta samo određene metode (PIN, lokalna biometrija, FIDO2 USB ključ).

U ovom kontekstu, Nije da je pristupni ključ autentifikatora neispravno kreiran.Umjesto toga, scenarij "izravno korištenje mobilnog lozinke kao izvora za Windows Hello for Business" nije omogućen kako korisnik očekuje. Rješenje uključuje pregled konfiguracije WHfB-a, pravila organizacije i Microsoftove dokumentacije o podršci za vanjske autentifikatore u postupku prijave u sustav Windows.

Omogućite pristupne ključeve u sustavu Windows 11 kao dio svoje sigurnosne strategije

Izvan korporativnog okruženja, za bilo kojeg kućnog ili profesionalnog korisnika, Omogućavanje lozinki u sustavu Windows 11 vrlo je učinkovit način za jačanje sigurnosti bez kompliciranja života lozinkama koje je nemoguće zapamtiti.

Opći postupak korištenja pristupnog ključa na usluzi je vrlo jednostavan:

1. Otvorite web-mjesto ili aplikaciju koja podržava pristupne tipke s vašeg računala sa sustavom Windows 11.
2. Odaberite opciju vrste "Prijava s pristupnim ključem" kada se nudi (tekst se može razlikovati ovisno o jeziku ili regiji).
3. Ako usluga otkrije lokalnu lozinku zaštićenu značajkom Windows Hello, zatražit će od vas da je otključate željenom metodom (PIN, lice, otisak prsta).

Kada trebate izbrisati lozinku koju više ne koristite, jednostavno idite na Popis lozinki u Postavke → Računi → Pristupni ključeviPronađite odgovarajući ključ i kliknite na tri točke da biste ga izbrisali.

Kao dio slojevita strategija kibernetičke sigurnosti, lozinke dodaju vrlo relevantnu razinu: Sprječavaju krađu ili ponovnu upotrebu vaših lozinki.Smanjuju izloženost u slučaju propusta i oslobađaju vas pamćenja desetaka različitih vjerodajnica. U trenutnom kontekstu, gdje kibernetički kriminal uzrokuje gubitke od milijuna dolara i utječe na milijune korisnika, ove vrste tehnologija više su od samo praktičnog dodatka: one postaju nužnost.

Koristite Windows Hello za zaštitu lozinki spremljenih u Chromeu

Još jedna vrlo zanimljiva primjena sustava Windows Hello je njegova Integracija s upraviteljem lozinki za Google ChromeAko obično spremate lozinke u pregledniku, znate da bi se svatko tko ima fizički pristup računalu mogao prijaviti na vaše račune ako ne dodate dodatni sloj zaštite.

Kako bi pojačao tu tvrdnju, Chrome uključuje opciju za Zahtijevaj Windows Hello prilikom popunjavanja spremljenih lozinkiNa taj će način preglednik svaki put kada će automatski unijeti lozinku tražiti da se autentificirate PIN-om, licem ili otiskom prsta prije nego što je prikaže ili upotrijebi.

Postupak konfiguriranja bi, općenito govoreći, bio sljedeći:

1. Provjerite je li Windows Hello postavljen na vašem računalu (PIN, otisak prsta ili prepoznavanje lica).
2. Otvorite Google Chrome i pristupite izborniku u gornjem desnom kutu.
3. Posjetiti Postavke → Automatsko popunjavanje i lozinke → Google upravitelj lozinki.
4. U postavkama upravitelja omogućite opciju "Koristite Windows Hello prilikom unosa lozinki" ili ekvivalent.

Od tog trenutka nadalje, svaki pokušaj korištenja spremljene lozinke zahtijevat će dodatnu provjeru Windows Hello-a. Ako dijelite računalo s drugim ljudimaOvo je posebno korisno kako biste spriječili da netko provali u vaše račune samo zato što preglednik pamti vaše vjerodajnice.

Ako kasnije odlučite da vam ovo više nije potreban dodatni korak, možete se vratiti na iste postavke u Chromeu i onemogućiti integraciju s Windows Hello. Međutim, time ćete smanjiti sigurnost svojih lozinki pohranjenih u pregledniku.

Sinkronizacija, korištenje s mobilnim uređajima i upraviteljima lozinki trećih strana

Jedna stvar koja bi trebala biti jasna jest da lozinke pohranjene lokalno u sustavu Windows Ne mogu se izravno koristiti na drugim sustavima poput Androida ili iOS-a. Drugim riječima, lozinka kreirana i spremljena samo na vašem računalu s Windows Hello neće se magično pojaviti na vašem telefonu.

Ako želite uživati korištenje na više uređaja, imate nekoliko opcija:

• Koristite višeplatformski autentifikator (npr. upravitelj lozinki koji podržava pristupne ključeve, kao što su 1Password, Dashlane ili drugi) koji sinkronizira šifrirane pristupne ključeve na svim vašim uređajima.
• Koristite telefon kao FIDO autentifikator za prijavu na računalo putem Bluetootha i internetske veze, kada to podržava web-mjesto ili usluga.
• Odlučite se za specifična ekosustavna rješenja (poput integriranih privjesaka za ključeve nekih mobilnih sustava) i kombinirajte ih s korištenjem na Windowsima putem kompatibilnih preglednika.

U svakom slučaju, Windows lozinke ostaju vrlo sigurne čak i ako ostanu samo na uređajuOno što se mijenja kada uvedete upravitelje trećih strana ili sinkronizaciju jest praktičnost korištenja istih vjerodajnica na svim vašim uređajima, a ne osnovni kriptografski model.

Što se tiče sigurnosti, imajte na umu da čak i ako koristite lozinke, i dalje je dobra ideja održavati određene navike: ažurirajte sustav i preglednikeKoristite pouzdana rješenja protiv zlonamjernog softvera, izbjegavajte instaliranje softvera iz sumnjivih izvora i uvijek budite oprezni sa sumnjivim poveznicama i e-porukama.

Ako zbrojite sve što Windows Hello i lozinke nude - prijavu bez lozinke, otpornost na phishing, lokalnu zaštitu privatnih ključeva, integraciju s preglednicima i aplikacijama te mogućnost autentifikacije na više uređaja - rezultat je ekosustav u kojem Vaši računi i podaci su puno bolje zaštićeni bez žrtvovanja praktičnostiUsvajanje ovih tehnologija u sustavu Windows 11 i glavnim online uslugama logičan je korak za svakoga tko želi zaštititi svoj digitalni identitet bez pretjeranog pamćenja lozinki.