виндовс хелло что это
Сведения о приложении Windows Hello и его настройке
Windows Hello — это индивидуально настраиваемый и более безопасный способ получить мгновенный доступ к устройствам Windows 11 с помощью ПИН-кода, распознавания лица или отпечатков пальцев. Вам потребуется настроить ПИН-код при настройке входа с использованием отпечатков пальцев или распознавания лица. Впрочем, можно входить в систему с использованием только ПИН-кода.
Эти варианты упрощают процедуру входа на ваш компьютер и делают ее безопаснее, поскольку ваш ПИН-код связан только с одним устройством, а для резервного копирования он связывается с вашей учетной записью Майкрософт.
Нажмите кнопку выше, чтобы перейти непосредственно к параметрам, или выполните следующие действия для настройки Windows Hello:
В разделе Способы входа приведены три варианта входа с помощью Windows Hello:
Выберите Распознавание лиц Windows Hello, чтобы настроить вход с использованием функции распознавания лица с помощью инфракрасной камеры вашего компьютера или внешней инфракрасной камеры.
Выберите Распознавание отпечатков пальцев Windows Hello, чтобы настроить вход с помощью сканера отпечатков пальцев.
Выберите ПИН-код Windows Hello, чтобы настроить вход с помощью ПИН-кода.
Статьи по теме
Windows Hello — это индивидуально настраиваемый и более безопасный способ получить мгновенный доступ к устройствам Windows 10 с помощью ПИН-кода, распознавания лица или отпечатков пальцев. Вам потребуется настроить ПИН-код при настройке входа с использованием отпечатков пальцев или распознавания лица. Впрочем, можно входить в систему с использованием только ПИН-кода.
Эти варианты упрощают процедуру входа на ваш компьютер и делают ее безопаснее, поскольку ваш ПИН-код связан только с одним устройством, а для резервного копирования он связывается с вашей учетной записью Майкрософт.
Нажмите кнопку выше, чтобы перейти непосредственно к параметрам, или выполните следующие действия для настройки Windows Hello:
В разделе Управление входом на устройство вы увидите три варианта входа с помощью Windows Hello:
Выберите Распознавание лиц Windows Hello, чтобы настроить вход с использованием распознавания лица с помощью инфракрасной камеры вашего компьютера или внешней инфракрасной камеры.
Выберите Распознавание отпечатков пальцев Windows Hello, чтобы настроить вход с сканера отпечатков пальцев.
Выберите ПИН-код Windows Hello, чтобы настроить вход с ПИН-кодом.
Вход в учетную запись Майкрософт с помощью Windows Hello или ключа безопасности
Если вам надоело вспоминать или сбрасывать пароль, попробуйте использовать Windows Hello или ключ безопасности, совместимый с платформой FIDO 2, для входа в свою учетную запись Майкрософт. Для этого вам понадобится только устройство с Windows 11 и браузер Microsoft Edge. (Эта функция пока недоступна для консолей Xbox и телефонов.)
Что такое Windows Hello?
Windows Hello — это персонализированный способ входа с помощью функции распознавания лица, отпечатка пальца или ПИН-кода. Windows Hello можно использовать для входа на устройство с экрана блокировки и для входа в учетную запись в Интернете.
Что такое ключ безопасности?
Ключ безопасности — это физическое устройство, которое можно использовать вместо имени пользователя и пароля для входа в систему. Это может быть USB-ключ, который можно хранить в связке ключей, или NFC-устройство, например смартфон или карточка доступа. Он используется в дополнение к отпечатку пальца или ПИН-коду, поэтому даже если кто-либо получит ваш ключ безопасности, он не сможет войти в систему без вашего ПИН-кода или отпечатка пальца.
Ключи безопасности обычно можно приобрести в розничных магазинах, где продаются периферийные устройства для компьютеров.
Как выполнить вход с помощью Windows Hello
Выполните описанные ниже действия, чтобы настроить Windows Hello, а затем войдите в свою учетную запись Майкрософт в браузере Microsoft Edge.
Нажмите Пуск > Параметры > Учетные записи > Варианты входа.
В разделе Варианты входа выберите элемент Windows Hello, который нужно добавить.
Чтобы добавить Windows Hello в качестве способа входа для своей учетной записи Майкрософт:
Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.
Выберите Безопасность > Расширенные параметры безопасности.
Нажмите Добавьте новый способ входа или проверки.
Выберите Используйте компьютер с Windows.
Следуйте инструкциям по настройке Windows Hello в качестве способа входа в систему.
Как выполнить вход с помощью ключа безопасности
Существуют различные типы ключей безопасности, например USB-ключ, который подключается к устройству, или NFC-ключ, которым нужно коснуться NFC-сканера. Обязательно ознакомьтесь с типом своего ключа безопасности, прочитав прилагающееся к нему руководство от производителя.
Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.
Выберите Безопасность > Расширенные параметры безопасности.
Нажмите Добавьте новый способ входа или проверки.
Определите тип ключа (USB или NFC) и нажмите Далее.
Запустится процесс настройки, в ходе которого нужно будет вставить ключ или коснуться им устройства.
Создайте ПИН-код (или введите существующий ПИН-код, если вы его уже создали).
Выполните следующее действие, коснувшись кнопки или золотого диска на своем ключе (или прочтите руководство, чтобы узнать, какое действие требуется).
Присвойте ключу безопасности имя, чтобы его можно было отличить от других ключей.
Выйдите из своей учетной записи и откройте Microsoft Edge, выберите Использовать Windows Hello или ключ безопасности, затем вставьте ключ или коснитесь им устройства, чтобы выполнить вход.
Примечание: Производитель ключа безопасности может предоставить программное обеспечение, которое позволяет управлять ключом, например менять ПИН-код или создавать отпечаток пальца.
Управление ключами
Выполните описанные ниже действия, чтобы удалить ключи, настроенные для вашей учетной записи.
Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.
Выберите Безопасность > Расширенные параметры безопасности. Управляйте ключами безопасности в разделе Способы подтверждения вашей личности.
Если вам надоело вспоминать или сбрасывать пароль, попробуйте использовать Windows Hello или ключ безопасности, совместимый с платформой FIDO 2, для входа в свою учетную запись Майкрософт. Для этого вам понадобится только устройство с Windows 10 версии 1809 или выше и браузер Microsoft Edge. (Эта функция пока недоступна для консолей Xbox и телефонов.)
Что такое Windows Hello?
Windows Hello — это персонализированный способ входа с помощью функции распознавания лица, отпечатка пальца или ПИН-кода. Windows Hello можно использовать для входа на устройство с экрана блокировки и для входа в учетную запись в Интернете.
Что такое ключ безопасности?
Ключ безопасности — это физическое устройство, которое можно использовать вместо имени пользователя и пароля для входа в систему. Это может быть USB-ключ, который можно хранить в связке ключей, или NFC-устройство, например смартфон или карточка доступа. Он используется в дополнение к отпечатку пальца или ПИН-коду, поэтому даже если кто-либо получит ваш ключ безопасности, он не сможет войти в систему без вашего ПИН-кода или отпечатка пальца.
Ключи безопасности обычно можно приобрести в розничных магазинах, где продаются периферийные устройства для компьютеров.
Как выполнить вход с помощью Windows Hello
Выполните описанные ниже действия, чтобы настроить Windows Hello, а затем войдите в свою учетную запись Майкрософт в браузере Microsoft Edge.
Перейдите в раздел Учетные записи > Варианты входа.
В разделе Управление входом в устройство выберите пункт Windows Hello, чтобы добавить его.
Чтобы добавить Windows Hello в качестве способа входа для своей учетной записи Майкрософт:
Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.
Выберите Безопасность > Расширенные параметры безопасности
Нажмите Добавьте новый способ входа или проверки
Выберите Используйте компьютер с Windows
Следуйте инструкциям в диалоговых окнах, чтобы настроить Windows Hello как способ входа в систему.
Как выполнить вход с помощью ключа безопасности
Существуют различные типы ключей безопасности, например USB-ключ, который подключается к устройству, или NFC-ключ, которым нужно коснуться NFC-сканера. Обязательно ознакомьтесь с типом своего ключа безопасности, прочитав прилагающееся к нему руководство от производителя.
Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.
Выберите Безопасность > Расширенные параметры безопасности
Нажмите Добавьте новый способ входа или проверки
Определите тип ключа (USB или NFC) и нажмите Далее.
Запустится процесс настройки, в ходе которого нужно будет вставить ключ или коснуться им устройства.
Создайте ПИН-код (или введите существующий ПИН-код, если вы его уже создали).
Выполните следующее действие, коснувшись кнопки или золотого диска на своем ключе (или прочтите руководство, чтобы узнать, какое действие требуется).
Присвойте ключу безопасности имя, чтобы его можно было отличить от других ключей.
Выйдите из своей учетной записи и откройте Microsoft Edge, выберите Использовать Windows Hello или ключ безопасности, затем вставьте ключ или коснитесь им устройства, чтобы выполнить вход.
Примечание: Производитель ключа безопасности может предоставить программное обеспечение, которое позволяет управлять ключом, например менять ПИН-код или создавать отпечаток пальца.
Управление ключами
Выполните описанные ниже действия, чтобы удалить ключи, настроенные для вашей учетной записи.
Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.
Выберите Безопасность > Расширенные параметры безопасности, затем в разделе Windows Hello и ключи безопасности нажмите Управление способами входа.
Что такое Windows Hello или как научить компьютер узнавать своего владельца
Разработчики Windows регулярно выпускают новые интересные опции для пользователей своей операционной системы. Одна из них — Windows Hello. Данная возможность впервые была представлена в 2015 году. Но не все клиенты Windows знают о ней. Рассмотрим назначение и настройку этой опции.
Что такое Windows Hello
Исходя из названия, можно предположить, что функция Windows Hello — встроенный сервис, который должен приветствовать пользователя в системе. В действительности, так и есть. Когда человек входит в свою учётную запись на ПК или просто запускает устройство, система здоровается с ним и просит пройти идентификацию. Последняя происходит за счёт распознавания отпечатка пальца человека, который владеет данной учётной записью. Кроме того, идентификация может быть по лицу или радужной оболочке глаза.
Такой тип идентификации призван обеспечить пользователя Windows максимально надёжной защитой от несанкционированного доступа к его учётной записи. Человек, который захочет зайти в ПК, просто не сможет этого сделать без вас: подделать лицо, отпечаток пальца и радужную оболочку глаза невозможно.
Плюс данной технологии также в том, что она избавит от необходимости придумывать пароль, запоминать его, а потом каждый раз вводить.
Какие устройства поддерживают функцию Windows Hello
Многие современные устройства, в том числе ноутбуки и смартфоны, оснащены специальными 3D-камерами, которые способны распознавать лица, и сканером отпечатков пальцев (на ноутбуках это обычно какая-либо из клавиш).
Если у вас нет встроенной 3D-камеры, вы можете отдельно её приобрести, например, аксессуар под названием RealScene 3D, чтобы пользоваться этой функцией.
Windows Hello работает на следующих ноутбуках:
Новая опция для идентификации пользователя доступна также на планшетах и смартфонах с операционной системой Windows 10, в частности, на современных телефонах Lumia и планшетах-трансформерах Windows Surface Pro.
Как включить и настроить Windows Hello на Windows 10
Активировать и настроить режим идентификации Windows Hello можно следующим образом:
Видео: как внести свой отпечаток пальца в базу Windows Hello
Если на устройстве есть камера с функцией распознавания лица или даже радужной оболочки глаза либо сканер отпечатков пальцев, воспользуйтесь опцией биометрической идентификации Windows Hello, чтобы защитить данные, хранящиеся на ПК, от посторонних лиц. И тогда никто, кроме вас, не сможет работать в этом устройстве. При этом придумывать сложный пароль не придётся.
Windows Hello для бизнеса
Область применения
В Windows 10 служба Windows Hello для бизнеса позволяет заменить пароли строгой двухфакторной проверкой подлинности на компьютерах и мобильных устройствах. В процессе проверки подлинности используется новый тип учетных данных пользователя, привязанных к устройству, включая биометрические данные или ПИН-код.
В первых выпусках Windows 10 предоставлялись службы Microsoft Passport и Windows Hello, которые вместе обеспечивали многофакторную проверку подлинности. Чтобы упростить развертывание и расширить возможности поддержки, Microsoft объединила эти технологии в единое решение — Windows Hello. Пользователи, которые уже выполнили развертывание этих технологий, не заметят никаких изменений в функционировании этих служб. Клиентам, которым еще предстоит оценить возможности Windows Hello, будет гораздо легче выполнить развертывание благодаря упрощенным политикам, документации и семантике.
Windows Hello решает следующие проблемы, связанные с паролями.
Windows Hello позволяет пользователям проверять подлинность:
После первоначальной двухэтапной проверки пользователя при регистрации на устройстве настраивается служба Windows Hello, и пользователю Windows предлагается создать ПИН-код или жест, который может быть биометрическим (например, отпечаток пальца). Пользователь делает жест для подтверждения своей личности. В дальнейшем Windows использует Windows Hello для проверки подлинности пользователей.
Администратор предприятия или образовательного учреждения может создать политики для управления службой Windows Hello для бизнеса на устройствах с Windows 10, подключенных к корпоративной сети.
Вход с использованием биометрических данных
Windows Hello обеспечивает надежную комплексную биометрическую проверку подлинности на основе распознавания лиц или отпечатков пальцев. В Windows Hello используется сочетание из особых инфракрасных (ИК)-камер и программного обеспечения, что повышает точность и защищает от спуфинга. Ведущие производители оборудования поставляют устройства со встроенными камерами, совместимыми с Windows Hello. Оборудование для чтения отпечатков пальцев можно использовать или добавлять на устройства, которые в настоящее время не имеют его. На устройствах, Windows Hello, простой биометрический жест открывает учетные данные пользователей.
Биометрические данные, используемые для реализации Windows Hello, надежно хранятся в Windows только на локальном устройстве. Биометрические данные не перемещаются и никогда не отправляются на внешние устройства или серверы. Поскольку Windows Hello только хранит данные биометрической идентификации на устройстве, нет ни одной точки сбора, на который злоумышленник может скомпрометировать, чтобы украсть биометрические данные. Дополнительные сведения о биометрической проверке подлинности Windows Hello для бизнеса см. в Windows Hello биометрии предприятия.
Различия между Windows Hello и Windows Hello для бизнеса
Для удобства входа пользователи могут создать ПИН-код или биометрический жест на своих личных устройствах. Это использование Windows Hello уникально для устройства, на котором оно настроено, но может использовать простой хаш пароля в зависимости от типа учетной записи человека. Эта конфигурация именуется Windows Hello пин-кодом удобства и не опирается на асимметричную (общедоступный или частный ключ) или проверку подлинности на основе сертификатов.
Windows Hello для бизнеса, который настроен политикой групповой политики или управления мобильными устройствами (MDM), всегда использует проверку подлинности на основе ключей или сертификатов. Это делает его гораздо более безопасным, чем Windows Hello пин-код удобства.
Преимущества Windows Hello
Сообщения о хищении персональных данных и широкомасштабных взломах часто появляются в СМИ. Никто не хочет получить уведомление о том, что его имя пользователя и пароль были раскрыты.
Вам может быть интересно, как ПИН-код помогает защитить устройство лучше, чем пароль. Пароли представляют собой общие секреты; они вводятся на устройстве и передаются по сети на сервер. Перехваченное имя и пароль учетной записи может использоваться любым человеком в любом месте. Учетные данные могут быть раскрыты при взломе сервера, на котором они хранятся.
В Windows 10 служба Windows Hello заменяет пароли. Если поставщик удостоверений поддерживает ключи, Windows Hello подготовка создает пару ключей шифрования, привязанную к модулем доверенных платформ (TPM), если устройство имеет TPM 2.0 или в программном обеспечении. Доступ к этим ключам и подпись, подтверждающая владение закрытым ключом, предоставляются только при вводе PIN-кода или биометрического жеста. В процессе двухэтапной проверки, выполняемой при регистрации в службе Windows Hello, создаются доверительные взаимоотношения между поставщиком удостоверений и пользователем. При этом открытая часть пары «открытый/закрытый ключ» отправляется поставщику удостоверений и связывается с учетной записью пользователя. Когда пользователь выполняет жест на устройстве, поставщик удостоверений определяет по комбинации ключей и жеста Hello, что это проверенное удостоверение, и предоставляет маркер проверки подлинности, с помощью которого Windows 10 получает доступ к ресурсам и службам.
Windows Hello — удобный метод входа в систему, основанный на проверке подлинности по имени пользователя и паролю и одновременно позволяющий пользователям отказаться от ввода паролей.
Представьте, что кто-то подсматривает через ваше плечо при получении денежных средств из банкомата и видит вводимый вами PIN-код. Наличие этого PIN-кода не поможет им получить доступ к учетной записи, так как у них нет банковской карты. Аналогичным образом перехват PIN-кода устройства не позволяет злоумышленнику получить доступ к учетной записи, так как PIN-код привязан к конкретному устройству и не обеспечивает никакой проверки подлинности при попытке доступа с других устройств.
Windows Hello защищает удостоверения и учетные данные пользователей. Поскольку пользователь не вводит пароль (за исключением этапа подготовки), можно предотвратить фишинговые атаки и атаки методом подбора. Эта технология также позволяет предотвратить взломы серверов, так как учетные данные Windows Hello являются асимметричной парой ключей. Поскольку эти ключи защищены доверенными платформенными модулями (TPM), снижается угроза атак с повторением пакетов.
Как работает Windows Hello для бизнеса: основные положения
Учетные данные службы Windows Hello основаны на сертификате или асимметричной паре ключей. Учетные данные Windows Hello привязаны к устройству так же, как и маркер, получаемый с помощью этих учетных данных.
Поставщик удостоверений (например, Active Directory, Azure AD или учетная запись Майкрософт) проверяет удостоверение пользователя и сопоставляет открытый ключ Windows Hello с учетной записью пользователя на этапе регистрации.
Ключи могут генерироваться в аппаратном (TPM 1.2 или 2.0 для предприятий и TPM 2.0 для потребителей) или программном обеспечении на основании политики.
Проверка подлинности — это двухфакторная проверка подлинности с сочетанием ключа или сертификата, привязанного к устройству, и чем-то, что человек знает (ПИН-код) или чем-то, чем является человек (биометрия). Жест Windows Hello не перемещается между устройствами и не разделяется с сервером. Шаблоны биометрии хранятся локально на устройстве. ПИН-код никогда не хранится и не является общим.
Закрытый ключ никогда не оставляет устройство при использовании TPM. На проверяющем подлинность сервере хранится открытый ключ, который был сопоставлен с учетной записью пользователя во время регистрации.
При вводе ПИН-кода или использовании биометрического жеста Windows 10 криптографически подписывает данные, передаваемые поставщику удостоверений, с помощью закрытого ключа. Поставщик удостоверений проверяет удостоверение пользователя и подтверждает его подлинность.
Личные (учетная запись Майкрософт) или корпоративные учетные записи (Active Directory или Azure AD) используют единый контейнер для ключей. Все ключи разделены по доменам поставщиков удостоверений в целях обеспечения конфиденциальности пользователя.
Закрытые ключи сертификатов могут быть защищены контейнером Windows Hello и жестом Windows Hello.
Сравнение проверки подлинности на основе ключа и сертификата
Для подтверждения личности служба Windows Hello для бизнеса может использовать ключи (аппаратные или программные) или сертификаты в аппаратном или программном обеспечении. Предприятия, которые имеют инфраструктуру общедоступных ключей (PKI) для выдачи и управления сертификатами конечных пользователей, могут продолжать использовать PKI в сочетании с Windows Hello. Предприятия, которые не используют PKI или хотят сократить усилия, связанные с управлением пользовательскими сертификатами, могут полагаться на учетные данные на основе ключей для Windows Hello но по-прежнему используют сертификаты на контроллерах домена в качестве корня доверия.
Windows Hello для бизнеса с ключом не поддерживает предоставленные учетные данные для RDP. RDP не поддерживает проверку подлинности с помощью ключа или сертификата самозаверяемой подписи. RDP с Windows Hello для бизнеса поддерживается развертыванием на основе сертификатов в качестве предоставленных учетных данных. Windows Hello для бизнеса доверие ключа можно использовать с помощью Защитник Windows Remote Credential Guard.
Windows Hello для бизнеса в начале 2022 г. внедряет новую модель доверия, называемую облачным доверием. Эта модель доверия позволит развертывать Windows Hello для бизнеса с помощью инфраструктуры, внедренной для поддержки входных ключевых элементов безопасности на присоединенных устройствах Hybrid Azure AD и локальном доступе к ресурсам на устройствах Azure AD Joined. Дополнительные сведения будут доступны в Windows Hello для облачного доверия бизнеса, как только он будет доступен.
Подробнее
Видеопрезентация Microsoft Virtual Academy Знакомство с Windows Hello.
Windows Hello
в этой статье описывается новая технология Windows Hello, которая поставляется в составе Windows 10 операционной системы, и обсуждается, как разработчики могут реализовать эту технологию для защиты приложений универсальная платформа Windows (UWP) и серверных служб. Здесь рассматриваются определенные возможности этих технологий, помогающие снизить угрозы от использования стандартных учетных данных, и содержит рекомендации по разработке и развертыванию этих технологий в рамках внедрения Windows 10.
Учтите, что эта статья посвящена разработке приложений. Дополнительные сведения об архитектуре и подробности реализации Windows Hello см. в разделе Руководство по Windows Hello на веб-сайте TechNet.
Пошаговое руководство по созданию приложения UWP с использованием Windows Hello и фоновой службы проверки подлинности см. в статьях Приложение для входа с использованием Windows Hello и Служба входа Windows Hello.
1. Введение
Что касается информационной безопасности, предполагается, что система способна определить, кто ее использует. Идентификация пользователя позволяет системе решить, правильно ли пользователь идентифицировал себя (процесс называется проверкой подлинности), а затем решить, что прошедший проверку подлинности пользователь будет способен делать (авторизация). Подавляющее большинство компьютерных систем, развернутых по всему миру, полагается на учетные данные пользователя при принятии решений проверки подлинности и авторизации, что означает, что безопасность данных систем зависит от повторно используемых создаваемых пользователем паролей. Часто цитируемая формула, что при проверке подлинности используется «нечто, что вы знаете, имеете или чем вы являетесь», прекрасно описывает проблему: успешность проверки подлинности всецело зависит от повторно используемого пароля, и любой, кто знает этот пароль, может выдать себя за пользователя-владельца.
1.1. Проблемы с традиционными учетными данными
Еще с середины 1960-х гг., когда Фернандо Корбато (Fernando Corbató) и его рабочая группа в Массачусетском технологическом институте отстояли внедрение паролей, пользователям и администраторам приходилось использовать пароли для проверки подлинности и авторизации. Со временем технологии хранения и использования паролей несколько продвинулись вперед (например, с помощью безопасного хэширования и отложения), но мы по-прежнему сталкиваемся с двумя проблемами. Пароли легко клонируются и их несложно украсть. Кроме того, ошибки реализации могут делать их незащищенными, и пользователям все время приходится с трудом балансировать между удобством и безопасностью.
1.1.1. Похищение учетных данных
Самый большой риск с паролями прост: злоумышленник может легко украсть пароль. Уязвимо любое место, где пароль вводится, обрабатывается или хранится. Например, злоумышленник может украсть коллекцию паролей или хэши с сервера проверки подлинности путем перехвата сетевого трафика на сервер приложений, внедряя вредоносные программы в приложение или на устройство, регистрируя нажатие клавиш или кнопок на устройстве, подсматривая вводимые пользователем символы. Это только наиболее распространенные методы атак.
Другой связанный с этим риск — воспроизведение учетных данных, когда злоумышленник перехватывает учетные данные в незащищенной сети и воспроизводит их позднее, чтобы представиться допустимым пользователем. Большинство протоколов проверки подлинности (в том числе Kerberos и OAuth) защищают от атак с воспроизведением, добавляя отметку времени в процедуру обмена учетными данными, но эта тактика защищает только маркер, выдаваемый системой проверки подлинности, но не пароль, который пользователь в первую очередь предоставляет для получения маркера.
1.1.2. Повторное использование учетных данных
Общепринятая практика использования электронного адреса в качестве имени пользователя только усугубляет проблему. Злоумышленник, который успешно извлек пару «имя пользователя-пароль» из уязвимой системы, может попытаться подставить эту пару в других системах. Этот прием срабатывает на удивление во многих случаях, что позволяет злоумышленникам переходить из пораженной системы в другие системы. Использование адреса электронной почты в качестве имени пользователя может приводить к другим проблемам, которые будут рассмотрены далее в этом руководстве.
1.2. Устранение неполадок с учетными данными
Решить проблему, создаваемую паролями, непросто. Ее не решить лишь более строгой политикой паролей: пользователь всегда может просто сбросить пароль, сообщить его кому-то или где-то записать. Хотя обучение пользователей чрезвычайно важно для безопасности проверки подлинности, само по себе оно не устраняет проблему.
Windows Hello заменяет пароли надежной двухфакторной проверкой подлинности (2FA) путем проверки имеющихся учетных данных и создания учетных данных для каждого конкретного устройства, защищаемых пользовательским жестом (биометрическим или на основе PIN-кода).
2. Что такое Windows Hello?
Windows Hello — это название, которое корпорация Майкрософт дала новому биометрическому входу в систему, встроенному в Windows 10. Функция напрямую встроена в операционную систему, поэтому Windows Hello позволяет разблокировать пользовательские устройства с помощью идентификации лиц или отпечатков пальцев. Проверка подлинности происходит, когда пользователь предоставляет свой биометрический идентификатор для доступа к учетным записям на данном устройстве, то есть злоумышленник, похитивший устройство, не сможет выполнить вход, если ему неизвестен PIN-код. Защищенное хранилище учетных данных Windows защищает биометрические данные на устройстве. Разблокируя устройство с помощью Windows Hello, авторизованный пользователь получает доступ ко всем функциям, приложениям, данным, веб-сайтам и службам Windows.
Проверка подлинности Windows Hello известна также как Hello. Функция Hello уникальна для сочетания отдельного устройства и конкретного пользователя. Она не перемещается между устройствами, не используется совместно с сервером или вызывающим приложением, и ее невозможно легко извлечь из устройства. Если устройство совместно используется несколькими пользователями, каждый пользователь должен настроить свою учетную запись. Каждая учетная запись получает уникальный идентификатор Hello для этого устройства. Hello можно считать маркером, который можно использовать для разблокировки (или выпуска) сохраненных учетных данных. Идентификатор Hello сам по себе не выполняет проверку вашей подлинности в приложении или службе, но он выдает учетные данные, которые могут это сделать. Другими словами, Hello не является учетными данными пользователя, но является вторым фактором процесса аутентификации.
2.1 Проверка подлинности Windows Hello
В Windows Hello реализован надежный способ распознавания отдельного пользователя устройством. Так проходится первая половина пути между пользователем и запрошенной услугой или элементом данных. После того как пользователь распознан устройством, необходимо по-прежнему выполнить для него проверку подлинности, прежде чем предоставлять этому пользователю доступ к ресурсу. В Windows Hello реализована полностью интегрированная в Windows надежная двухфакторная проверка подлинности, которая заменяет повторно используемые пароли сочетанием конкретного устройства и биометрического жеста или PIN-кода.
Однако Windows Hello — это не просто замена традиционных систем двухфакторной проверки подлинности. Эта система в принципе аналогична смарт-картам: проверка подлинности выполняется с использованием криптографических примитивов вместо сравнения строк, а материал ключа пользователя надежно хранится внутри устойчивого к взлому оборудования. Windows Hello также не требует дополнительных инфраструктурных компонентов для развертывания. В частности, вам не нужна инфраструктура открытых ключей (PKI) для управления сертификатами, если ее у вас нет. Windows Hello сочетает в себе основные достоинства технологии смарт-карт — гибкость в развертывании виртуальных смарт-карт и высокую безопасность физических, однако без присущих им недостатков.
2.2. Как работает Windows Hello
После того как пользователь настроит Windows Hello на компьютере, функция создаст новую пару из открытого и закрытого ключей на устройстве. Доверенный платформенный модуль (TPM) создает и защищает этот закрытый ключ. Если на устройстве нет микросхемы TPM, закрытый ключ шифруется и защищается программным обеспечением. Кроме того, устройство с поддержкой TPM создает блок данных, который можно использовать, чтобы убедиться, что ключ привязан к TPM. Эти данные аттестации можно использовать в вашем решении, чтобы решить, например, предоставить ли пользователю другой уровень авторизации.
Чтобы включить Windows Hello на устройстве, пользователю необходимо иметь учетную запись Azure Active Directory или учетную запись Майкрософт, подключенную в параметрах Windows.
2.2.1 Принципы защиты ключей
Каждый раз при формировании материала ключа его необходимо защищать от атак. Самым надежным способом обеспечения такой защиты является использование специализированного оборудования. У использования аппаратных модулей безопасности для создания, хранения и обработки ключей для приложений, безопасность которых имеет важнейшее значение, длительная история. Смарт-карты представляют собой особый тип аппаратных модулей безопасности, как и устройства, совместимые со стандартом TPM организации TCG. При любой возможности реализация Windows Hello пользуется для создания, хранения и обработки ключей имеющимся оборудованием TPM. Тем не менее функции Windows Hello и Windows Hello for Work не требуют наличия оборудования TPM.
Майкрософт рекомендует всегда использовать оборудование TPM. TPM защищает от множества известных и потенциальных атак, в том числе атак методом подбора ПИН-кода. Кроме того, TPM обеспечивает дополнительный уровень защиты после блокировки учетной записи. После того, как TPM заблокирует материал ключа, пользователю будет необходимо сбросить PIN-код. Сброс PIN-кода означает, что все ключи и сертификаты, зашифрованные с использованием материала старого ключа, будут удалены.
2.2.2 Проверка подлинности
Если пользователь хочет получить доступ к материалу защищенного ключа, процесс проверки подлинности начинается с ввода пользователем PIN-кода или биометрического жеста для разблокировки устройства. Этот процесс иногда называют «освобождением ключа».
Приложение не может использовать ключи из другого приложения, а кто-либо не может применять ключи другого пользователя. Эти ключи используются для подписания запросов, отправляемых поставщику удостоверений или IDP для получения доступа к определенным ресурсам. Приложения могут использовать определенные API для запроса операций, которым требуется материал ключа для определенных действий. Для доступа через эти API-интерфейсы требуется явная проверка с помощью жеста пользователя, а материал ключа не предоставляется запрашивающему приложению. Вместо этого приложение запрашивает указанное действие (например, подписать фрагмент данных), а уровень Windows Hello выполняет саму работу и возвращает результаты.
2.3 Подготовка к реализации Windows Hello
Теперь, когда мы имеем общее представление о работе Windows Hello, рассмотрим, как реализовать функцию в собственных приложениях.
Существуют различные сценарии, которые можно реализовать с помощью Windows Hello. Например, просто вход в ваше приложение на устройстве. Другим часто используемым сценарием будет проверка подлинности в службе. Вместо использования имени и пароля для входа используется Windows Hello. В следующих главах мы обсудим реализацию нескольких различных сценариев, в том числе проверку подлинности в службах с помощью Windows Hello и способы перехода от существующей системы имени пользователя и пароля для входа к системе Windows Hello.
3. Реализация Windows Hello
В этой главе мы начинаем с исходного сценария с несуществующей системой проверки подлинности, и рассмотрим, как реализовать Windows Hello.
В следующем разделе описано, как перейти от существующей системы с именем пользователя и паролем. Но даже если эта глава вам более интересна, вы можете просмотреть с этой главой, чтобы получить базовое понимание процесса и требуемого кода.
3.1 Регистрация новых пользователей
Начнем с совершенно новой службы, которая будет использовать Windows Hello, и выдуманного пользователя, который готов зарегистрироваться на новом устройстве.
Сначала необходимо убедиться, что пользователь может использовать Windows Hello. Приложение проверяет параметры пользователя и возможности компьютера, чтобы убедиться в возможности создания ключей идентификации пользователя. Если приложение определит, что пользователь еще не включил Windows Hello, оно предложит пользователю настроить его перед использованием приложения.
Чтобы включить Windows Hello, пользователю необходимо просто настроить PIN-код в параметрах Windows, если он этого не сделал при первом включении компьютера.
Следующие строки кода показывают простой способ проверить, настроен ли пользователь в службе Windows Hello.
Следующим шагом является запрос у пользователя данных для регистрации в службе. Можно запросить у пользователя имя, фамилию, адрес электронной почты и уникальное имя пользователя. Вы можете использовать адрес электронной почты в качестве уникального идентификатора. Выбор за вами.
В этом сценарии мы используем адрес электронной почты в качестве уникального идентификатора пользователя. После регистрации пользователя необходимо отправить проверочное сообщение, чтобы убедиться в действительности адреса. Таким способом предоставляется механизм для сброса учетной записи в случае необходимости.
Если пользователь задал PIN-код, приложение создаст KeyCredential пользователя. Приложение также получает дополнительные сведения об аттестации ключа для получения криптографического подтверждения, что данный ключ создан в модуле TPM. Созданный открытый ключ и, при необходимости, аттестация, отправляются на внутренний сервер для регистрации используемого устройства. Каждая пара ключей, создаваемая на каждом устройстве, будет уникальной.
Код для создания KeyCredential выглядит следующим образом.
Метод RequestCreateAsync — это часть, которая создает открытый и закрытый ключи. Если устройство оснащено правильной микросхемой TPM, API-интерфейсы отправят запрос TPM на создание открытого и закрытого ключа и сохранят результат. Если микросхема TPM недоступна, операционная система создает пару ключей в коде. Для приложения отсутствует способ получить доступ к созданным закрытым ключам напрямую. Частью создания пар ключей также является итоговые сведения аттестации. (Дополнительные сведения об аттестации см. в следующем разделе.)
После создания пары ключей и данных аттестации на устройстве, открытый ключ, дополнительные данные аттестации и уникальный идентификатор (например, адрес электронной почты) должны быть отправлены во внутреннюю службу регистрации и сохранены на внутреннем сервере.
Чтобы позволить пользователю получать доступ к приложению на нескольких устройствах, внутренней службе понадобится сохранить несколько ключей для одного пользователя. Поскольку каждый ключ уникален для каждого устройства, мы сохраним все эти ключи подключенными к одному пользователю. Идентификатор устройств используется, чтобы помочь оптимизировать серверную часть при проверке подлинности пользователей. Мы поговорим об этом подробнее в следующей главе.
Пример схемы базы данных для хранения этих сведений на внутреннем сервере выглядит так:
Логика регистрации может выглядеть следующим образом:
В собираемых вами сведениях о регистрации может содержаться значительно больше идентифицирующих данных, чем мы включили в этот простой сценарий. Например, если ваше приложение получает доступ к защищенной службе, в частности для банковских операций, вам необходимо будет запросить подтверждение личности и другие данные в контексте процесса регистрации. После выполнения всех условий, открытый ключ этого пользователя будет сохранен на внутреннем сервере и будет использоваться для проверки в следующий раз, когда пользователь будет использовать данную службу.
3.1.1 Аттестация
При создании пары ключей также существует возможность запросить данные аттестации, которые создаются микросхемой TPM. Эти необязательное сведения можно отправить на сервер в рамках процесса входа. Аттестация ключа TPM — это протокол, который криптографически доказывает, что ключ связан с TPM. Этот тип аттестации можно использовать, чтобы гарантировать, что определенная криптографическая операция произошла в TPM конкретного компьютера.
Когда сервер получает созданный ключ RSA, оператор аттестации и сертификат AIK, он проверяет перечисленные ниже условия.
В зависимости от этих условий, ваше приложение может назначить пользователю другой уровень авторизации. Например, если одна из этих проверок заканчивается неудачей, оно может не регистрировать пользователя или ограничивать действия пользователя.
3.2 Выполнение входа с помощью Windows Hello
После регистрации пользователя в системе он может использовать приложение. В зависимости от сценария можно попросить пользователей выполнить проверку подлинности перед тем, как они смогут начать использование приложения или просто попросить их пройти проверку подлинности когда они начинают использовать ваши внутренние службы.
3.3 Принудительный повторный вход
Для некоторых сценариев, возможно, пользователю необходимо будет доказать, что он является человеком, который в данный момент вошел в систему, прежде чем получать доступ к приложению, а иногда — перед выполнением определенного действия внутри приложения. Например, прежде чем приложение для банковских операций отправит серверу команду на перевод денег, необходимо убедиться, что запрос отправлен пользователем, а не лицом, нашедшим подключенное устройство и пытающимся выполнить транзакцию. Можно принудить пользователя выполнить вход в приложение еще раз, используя класс UserConsentVerifier. Следующая строка кода заставит пользователя ввести свои учетные данные.
Следующая строка кода заставит пользователя ввести свои учетные данные.
Конечно, вы можете также использовать механизм ответа на запрос от сервера, который требует, чтобы пользователь ввел свой PIN-код или биометрические учетные данные. Это зависит от сценария, который вам, как разработчику, необходимо реализовать. Описание данного механизма приведено в следующем разделе.
3.4 Проверка подлинности на внутреннем сервере
Если приложение пытается получить доступ к защищенной внутренней службе, данная служба отправляет запрос приложению. Данное приложение использует закрытый ключ от пользователя, чтобы подписать запрос, и отправляет его обратно серверу. Так как сервер содержит сохраненный открытый ключ для этого пользователя, он использует стандартные API шифрования, чтобы убедиться, что сообщение действительно было подписано правильным закрытым ключом. На клиенте вход выполняется с помощью API Windows Hello. У разработчика никогда не будет доступа к закрытому ключу пользователя.
Кроме проверки ключей служба может также проверять аттестацию ключей и различать, есть ли ограничения, наложенные на то, как ключи хранятся на устройстве. Например, если устройство использует TPM для защиты ключей, это будет более безопасно, чем устройства, хранящие ключи без TPM. Логика внутреннего сервера для уменьшения рисков может решить, например, что пользователю разрешено только переводить определенную сумму денег, если не используется TPM.
Аттестация доступна только для устройств с микросхемой TPM версии 2.0 или более поздних версий. Поэтому вам необходимо учитывать то, что эти сведения могут быть доступны не на каждом устройстве.
Рабочий процесс клиента может выглядеть, как показано на следующей схеме.
Сервер отправляет задачу, когда приложение вызывает службу на внутреннем сервере. Задача подписывается с помощью следующего кода:
Первая строка, KeyCredentialManager.OpenAsync, отправит запрос операционной системе на открытие дескриптора ключа. Если он будет выполнен успешно, вы сможете подписать сообщение запроса с помощью метода KeyCredential.RequestSignAsync, который заставит операционную систему запросить PIN-код или биометрические данные пользователя с помощью Windows Hello. Ни в один момент времени у разработчика не будет доступа к закрытому ключу пользователя. Они все защищаются с помощью API.
API отправляют запрос операционной системе на подпись задачи с помощью закрытого ключа. Затем система просит пользователя ввести PIN-код или выполнить настроенный биометрический вход. После ввода правильных сведений система может запросить у микросхемы TPM выполнить криптографические функции и подписать задачу. (Или использовать программное решение резервирования, если TPM недоступен). Клиенту необходимо отправить подписанную задачу обратно на сервер.
Базовый поток ответа на запрос показан в данной схеме последовательности:
Далее сервер должен проверить подпись. Когда вы запрашиваете открытый ключ и отправляете его на сервер, чтобы использовать его для будущей проверки, он находится в Публиккэйинфоном BLOB-объекте ASN. 1. если взглянуть на пример кода Windows Hello на GitHub, вы увидите, что существуют вспомогательные классы для упаковки функций Crypt32 для преобразования большого двоичного объекта ASN. 1 в кодировке CNG в большой двоичный объект, который чаще всего используется. Большой двоичный объект содержит алгоритм открытого ключа, который является RSA, и открытый ключ RSA.
В примере причина преобразования большого двоичного объекта в кодировке ASN. 1 в BLOB-объект CNG заключается в том, что его можно использовать с CNG (/Виндовс/десктоп/секкнг/КНГ-портал) и API BCrypt. При поиске большого двоичного объекта CNG он указывает на связанную структуру BCRYPT_KEY_BLOB. эта поверхность API может использоваться для проверки подлинности и шифрования в Windows приложениях. ASN. 1 — это документированный стандарт для взаимодействия структур данных, которые могут быть сериализованы и обычно используются в криптографии с открытым ключом и с сертификатами. Именно поэтому сведения об открытом ключе возвращаются таким образом. Открытый ключ — это ключ RSA; и это алгоритм, который Windows Hello использует при подписывании данных.
Считываем сохраненный открытый ключ, который является ключом RSA. Проверяем подписанное сообщение задачи с помощью открытого ключа, и, если проверка успешна, авторизуем пользователя. Если пользователь прошел проверку подлинности, приложение может вызывать внутренние службы в обычном режиме.
Полный код может выглядеть примерно следующим образом:
Реализация правильного механизма ответа на запрос выходит за рамки данного документа, но это тема, которой необходимо уделить внимание, чтобы успешно создать безопасный механизм, предотвращающий такие возможности, как атака с повторением или атака с перехватом.
3.5. Регистрация другого устройства
В настоящее время пользователи часто используют несколько устройств с одними и теми же установленными приложениями. Как выглядит использование Windows Hello с несколькими устройствами?
При использовании Windows Hello каждое устройство создает уникальный набор из открытого и закрытого ключа. Это означает, что если вы хотите, чтобы пользователь мог использовать несколько устройств, внутренний сервер должен иметь возможность сохранять несколько открытых ключей от этого пользователя. Пример структуры таблицы см. в схеме базы данных в разделе 2.1.
Регистрация другого устройства почти не отличается от регистрации пользователя в первый раз. Вам по-прежнему необходимо убедиться в том, что пользователь, регистрирующийся в новом устройстве, действительно является тем пользователем, которым он представляется. Вы можете сделать это с помощью любого механизма двухфакторной проверки подлинности, используемого сегодня. Существует несколько способов выполнить это безопасно. Все зависит от вашего сценария.
Например, если вы все еще используете имя пользователя и пароль для входа, вы можете использовать их для проверки подлинности пользователя и отправить запрос на использование одного из доказательств (например, SMS-сообщение или сообщение электронной почты). Если у вас нет имени пользователя и пароля для входа, вы можете также использовать одно из уже зарегистрированных устройств и отправить уведомление в приложение на этом устройстве. Примером этого является приложение для проверки подлинности учетной записи Майкрософт. В двух словах, вам необходимо использовать типовой механизм 2FA для регистрации дополнительных устройств для пользователя.
Код для регистрации нового устройства точно такой же, как и для регистрации пользователя впервые (из приложения).
Чтобы упростить для пользователя определение зарегистрированных устройств, можно отправить ему имя устройства или другой идентификатор в рамках регистрации. Это также удобно, если вы, например, хотите создать службу на внутреннем сервере, в которой пользователи могут отменить регистрацию устройства, если устройство потеряно.
3.6. Использование нескольких учетных записей в приложении
Кроме поддержки нескольких устройств для одной учетной записи, распространенной практикой также является поддержка нескольких учетных записей в одном приложении. Например, возможно, вы подключаетесь к нескольким учетным записям в сети Twitter со своего приложения. С помощью Windows Hello можно создать несколько пар ключей и поддерживать несколько учетных записей в приложении.
Одним из способов сделать это является сохранение имени пользователя или уникального идентификатора, описанного в предыдущей главе, и сохранение его в изолированном хранилище. Поэтому каждый раз при создании новой учетной записи вы сохраняете идентификатор учетной записи в изолированном хранилище.
В пользовательском интерфейсе приложения вы позволяете пользователю выбрать одну из ранее созданных учетных записей или зарегистрировать новую. Процесс создания новой учетной записи идентичен описанному ранее. Выбор учетной записи — это вопрос создания списка сохраненных учетных записей на экране. После того, как пользователь выберет учетную запись, используйте идентификатор учетной записи для входа пользователя в приложение.
Остальной процесс идентичен описанному ранее. Естественно, все эти учетные записи защищены одинаковым PIN-кодом или биометрическим жестом, так как в этом сценарии все они используются на одном устройстве с одной учетной записью Windows.
4. Перенос существующей системы в Windows Hello
В этом коротком разделе мы рассмотрим существующее приложение UWP и внутреннюю систему, использующую базу данных, которая хранит имя пользователя и хэшированный пароль. Эти приложения собирают учетные данные от пользователя во время запуска приложения и используют их, когда внутренняя система возвращает запрос проверки подлинности.
Здесь описываются элементы, которые необходимо будет изменить или заменить, чтобы функция Windows Hello работала.
Мы уже описывали большинство методов в предыдущих главах. Добавление Windows Hello в существующую систему предусматривает добавление нескольких разных потоков в части регистрации и проверки подлинности кода.
Одним из подходов является разрешение пользователю выбрать момент обновления. После того, как пользователь войдет в приложение и вы определите, что приложение и операционная система могут поддерживать Windows Hello, можно задать пользователю вопрос желает ли он обновить учетные данные, чтобы использовать эту современную и безопасную систему. Вы можете использовать следующий код, чтобы убедиться, что пользователь может применять Windows Hello.
Пользовательский интерфейс может выглядеть примерно так:
Если пользователь решает начать работать с Windows Hello, вы создаете KeyCredential, как описано выше. Внутренний сервер регистрации добавляет открытый ключ и дополнительный оператор аттестации в базу данных. Так как пользователь уже прошел проверку подлинности с помощью имени пользователя и пароля, сервер может привязать новые учетные данные к данным о текущем пользователе в базе данных. Модель базы данных может быть такой же, как описана в примере выше.
Если приложение может создавать KeyCredential пользователей, оно сохраняет идентификатор пользователя в изолированном хранилище, чтобы пользователь мог выбрать эту учетную запись из списка, когда приложение будет запущено снова. С этого момента и далее поток полностью следует примерам, описанным в предыдущих главах.
Последним этапом в переходе к полному сценарию Windows Hello является отключение функции имени пользователя и пароля для входа в приложении и удаление сохраненных хэшированных паролей из вашей базы данных.
5. Резюме
Windows 10 представляет более высокий уровень безопасности, который также просто очень реализовать на практике. Windows Hello предоставляет новую биометрическую систему входа, которая распознает пользователя и активно предотвращает попытки обойти надлежащую идентификацию. Она может предоставить несколько уровней ключей и сертификатов, которые ни при каких обстоятельствах не могут быть раскрыты или использованы за пределами доверенного платформенного модуля. Кроме того, дальнейший уровень безопасности обеспечивается с помощью дополнительного использования ключей удостоверения подлинности и сертификатов.
Как разработчик, вы можете использовать эти рекомендации по проектированию и развертыванию этих технологий для простого добавления безопасной проверки подлинности в развертывания Windows 10 для защиты приложений и внутренних служб. Требуемый код минимален и прост для восприятия. Windows 10 выполняет всю сложную работу.
Гибкие варианты реализации позволяют Windows Hello заменить собой или работать вместе с вашей существующей системой проверки подлинности. Процесс развертывания максимально комфортен и экономичен. Для развертывания безопасности Windows 10 не требуется дополнительная инфраструктура. С помощью функции Microsoft Hello, встроенной в операционную систему, Windows 10 предлагает самое безопасное решение проблем проверки подлинности, стоящих перед современным разработчиком.
Миссия выполнена! Вы только что повысили безопасность в Интернете!