Windows 10 Microsoft Passport:开启无密码时代的新认证技术

本文详细介绍了Windows 10中的Microsoft Passport技术,它利用公开密钥认证替代传统密码,通过用户手势(如PIN或生物识别)实现更高安全性的登录方式,并支持Azure AD等多种账户系统。

日本微软的Morris在此。今天,我想为讨厌密码且重视安全的用户介绍一项Windows 10的引人注目功能——名为“Microsoft Passport”的高安全性认证系统,它允许用户使用手势代替密码。以下是其概要。

黑暗时代:密码的暴政

要理解Microsoft Passport的重要性,首先需要了解密码存在的诸多问题。当前,几乎所有系统都默认使用用户名加密码登录,但实际上存在以下问题:

  • 只要知道密码,任何人都能执行任何操作。如果密码持有者是合法用户,这没问题,但恶意第三方获取密码后,所有权限都会被窃取。无论密码是通过泄露还是字典攻击等方式被猜测,一旦得手,所有权限立即丧失。
  • 为防止轻易猜测和确保泄露的密码哈希值不易破解,推荐使用长且完全随机的大写字母、小写字母和数字组合的密码。但人类不像电脑,难以记忆或输入30或50个随机字符。尽管使用密码管理软件的用户在增加,但有时使用不便,且无法改善密码的根本弱点。
  • 为减少密码泄露的损害,重要的是不在多个网站或系统重复使用相同密码(如电子邮件账户、银行在线 banking 账户、甚至忘记注册过的网站账户、公司账户等)。密码重复使用会放大泄露时的损害。然而,记住多个密码很麻烦,许多用户倾向于重复使用相同密码。
  • 为阻止密码泄露损害,常推荐定期更改密码。但人类…毕竟讨厌麻烦!

作为常见问题,大家可能深有体会:密码安全性低,且对人类不便!

黑暗中的一束光:公开密钥认证

那么,如果不使用密码,该如何进行认证?实际上有一个标准答案:基于公开密钥加密技术的“公开密钥认证系统”。其概要简单说明如下:

  • 用户在自己的系统(客户端)生成公钥和私钥。
  • 将公钥放置在要登录的系统(如服务器)上。
  • 用户想登录服务器时,从服务器获取一个称为“nonce”的随机值,用客户端存储的私钥对nonce签名,然后发送给服务器。服务器使用公钥验证客户端的签名。

这样,公开密钥认证系统比密码提供更高安全性:

  • nonce每次变化,即使客户端记录之前签名的nonce也无法重用,从而防止“重放攻击”。
  • 如果私钥仅在一个设备上(以安全保护形式)存储,该设备本身就成为双因素认证的第二个因素。(但根据公开密钥认证系统的实现,有时可能不充当第二个因素。)
  • 用户只需登录系统并解锁私钥,即可轻松登录服务器等。

然而,当前的公开密钥认证系统也存在一些问题:

  • 对系统管理员来说,实现公开密钥认证很复杂。
  • 私钥管理也复杂。如果未以安全形式存储,会丧失公开密钥认证系统的优势。
  • 现有系统对用户来说并不十分便利。

构建辉煌未来的Microsoft Passport

Windows 10中引入的Microsoft Passport能同时解决密码和公开密钥认证的问题! 首先,说明使用Microsoft Passport在加入Azure AD的Windows 10设备上首次登录的流程:

  • 首次登录时设置“用户手势”。用户手势可以是PIN码,但如果持有支持设备,也可使用面部或虹彩作为用户手势。该用户手势与设备绑定,因此设备本身成为双因素认证的第二个因素。
  • 用户手势创建后,Windows自动生成公钥和私钥,并将公钥注册到Azure Active Directory设备注册服务。私钥受设备TPM保护或以设备密钥加密。注册时,带有签名的attestation blob(证明TPM合法性)与公钥一同发送到Azure AD。
  • 从下次登录开始,可使用用户手势代替密码。用户手势解锁TPM后,上述公开密钥认证流程自动进行。

以上以Azure AD为例说明,但Microsoft Passport实际上支持Microsoft账户、Active Directory账户、Microsoft Azure Active Directory (AD)账户或支持Fast ID Online (FIDO)的第三方服务账户。

结语

Windows 10搭载了名为Microsoft Passport的新认证系统。它比密码认证安全性显著更高,比现有公开密钥认证系统更便利,堪称理想的认证系统。 详细信息请参考以下链接。

参考

  • TechNet: Password-less Authentication with Microsoft Passport (英语)
  • Active Directory Team Blog: Microsoft Passport and Azure AD: Eliminating passwords one device at a time! (英语)
  • Channel 9: The End Game for Passwords and Credential Theft? (英语)

Windows 10相关博客

  • Windows 10: 介绍防止问题更新程序或驱动程序通过Windows Update临时安装的工具 (2015/07/31)
  • Windows 10、Microsoft Edge、首次月度安全发布 – 解读 (2015/08/12)
  • Windows 10: 什么是Wi-Fi传感器 (Wi-Fi Sense)?正确理解并使用 (2015/08/21)
  • Windows 10: Windows Update的主要变更点 (2015/08/27)
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次