Fundamentalna zmiana w Windowsie. Na szali bezpieczeństwo użytkowników

Firma z Redmond poinformowała, że bezhasłowe uwierzytelnianie jest teraz łatwiejsze w systemie Windows 11. Stało się tak za sprawą wprowadzenia natywnej obsługi menedżerów haseł 1Password oraz Bitwarden. Microsoft współpracował z nimi już na etapie opracowywania specjalnego API to obsługi passkeys (kluczy dostępu).

Passkey w Windowsie

Passkeys to metoda uwierzytelniania oparta na standardach FIDO2/WebAuthn, która jest bezpieczniejszą alternatywą dla tradycyjnych haseł. Wykorzystuje kryptografię klucza publicznego i prywatnego: klucz prywatny generowany podczas rejestracji użytkownika przechowywany jest lokalnie w wybranym menedżerze haseł (Microsoft Password Manager, 1Password lub Bitwarden), a klucz publiczny trafia do serwera.

Podczas logowania witryna lub aplikacja przesyła do Windows wyzwanie kryptograficzne, które użytkownik autoryzuje przy pomocy Windows Hello. Ta forma uwierzytelniania opiera się na danych biometrycznych i/lub numerze PIN. Rozwiązanie to ma szereg zalet w porównaniu z klasycznymi hasłami: jest odporne na phishing, nie wymaga zapamiętywania skomplikowanych ciągów znaków i ułatwia dostęp do usług z wielu urządzeń.

Microsoft zapewnia, że nowe rozwiązanie zostało oparte na zaawansowanych zabezpieczeniach. Proces tworzenia, uwierzytelniania i zarządzania kluczami dostępu (passkeys) chroniony jest przez Windows Hello. Dodatkowo klucze mogą być synchronizowane między urządzeniami z systemem Windows, o ile użytkownik jest zalogowany w przeglądarce Edge na to samo konto Microsoft.

Synchronizacja zabezpieczona jest dodatkowo przez PIN menedżera i tzw. chmurę zaufania (cloud enclave). Klucze szyfrujące przechowywane są w modułach Azure Managed Hardware Security Modules (HSM), a wszystkie krytyczne operacje przetwarzane są w środowisku Azure Confidential Compute. Mechanizmy odzyskiwania dostępu obsługuje natomiast system Azure Confidential Ledger.