Windows 10 är äntligen här och vi har massa nyheter dels i nuvarande släppt version men även en del funktioner som funnits i vissa ”Technical Preview”-versioner som vi väntar på.
En av de största säkerhetsfunktionerna som vi har i nuvarande version (10240) är Microsoft Passport. Flera har reagerat på hur Windows 10 kan påstå att en pinkod kan vara säkrare än deras tidigare lösenord?

Självklart är det enklare att komma ihåg en pinkod och är oftast enklare att skriva än ett komplext lösenord, men hur kan det vara säkrare?

Microsoft Passport

En funktion som är aktiverad by-default. Användaren autentiserar sig i Windows 10 med sitt konto mot någon av följande Identity Providers (IDPs): Azure Active Directory, Microsoft Account eller lokalt Active Directory. Rekommenderat är att påtvinga multifaktorautentisering vid denna process.

Efter autentiseringen skapas ett certifikat, asymmetriskt nyckelpar av datorns TPM chip vilket då är helt knytet till just den enheten/hårdvaran. Saknas TPM (Version 1.2 eller 2.0 för företag och TPM 2 för konsumenter) går det att göra mjukvarubaserat. Säkrast är dock att generera certifikatet via TPM chipet.

Efter en lyckad autentisering knyts Passports publika nyckel till användar-ID:t och registreras av IDPn.

Det här är en engångsprocess per enhet och efter detta behöver användaren enbart logga in med sin PIN kod i Windows 10 för att kunna börja autentisera sig.
Vid autentisering mot någon tjänst, i dagsläget Azure AD, Office 365, AD tjänster men även en öppen standard Fast ID Online (FIDO) v2.0 som fler leverantörer nu ansluter sig till skickas en autentiserings-token som bekräftar att användaren är autentiserad till efterfrågad tjänst.

Den privata nyckeln som genereras lämnar aldrig TPM chippet, det är enbart den publika nyckeln som är associerad med användarkontot som signeras och registreras hos IDPn.

Windows Hello

Som standard används enbart PIN för att verifiera användarens identitet på den unika enheten för att sedan ge en single-Sign-on mot alla tjänster som stödjer Passport-autentisering. Genom att kombinera Microsoft Passport med Windows Hello kan vi istället erbjuda att använda biometrisk autentisering i form av avancerad ansiktsigenkänning eller fingeravtryck för att stärka den här processen. Windows Hello kräver att du har en enhet med stöd för den här typen av biometrisk teknik.

Viktigt att ha i åtanke är att din PIN-kod är helt knyten till just den enheten. Med andra ord om någon kommer över din PIN-kod kommer de inte kunna logga in mot någon tjänst med denna (till skillnad från om någon kommer över ditt lösenord)

Microsoft Passport ger

• En multifaktorautentisering baserat på något som användaren har (sin enhet) och något som användaren vet (sin pinkod) eller något användaren är (Windows Hello). Den privata nyckeln är unik för den enheten och kan inte återanvändas på någon annan enhet.
• En single-sign-On mot alla tjänster som stödjer Microsoft Passport
• En säker autentisering utan att använda den svaga autentiseringsformen lösenord

Vad behövs för att komma igång inom din verksamhet?

Någon av följande fyra scenarior:

• Azure Subscription
• Azure Subscription + AAD Connect (Om du kör en hybrid miljö)
• Windows Server 10 (2016) Active Directory och AD FS Server 10 (Om du kör enbart lokal miljö)
• Du kan även välja att nyttja en egen PKI infrastruktur, vilket inte kräver att du behöver ha Windows Server 10 DC i ditt AD.

Jag och mina kollegor på Onevinn finns alltid till hands för att stötta er vid en implementation av Microsoft Passport och övrig Windows 10 -utrullning.