Zůstaňte v bezpečí s Windows Hello for Business

Chcete rychlé a bezpečné přihlášení do Windows 10? Nebo se chcete dozvědět, jak funguje asymetrická kryptografie a proč je Windows Hello PIN bezpečnější než jen heslo? Nebo jak funguje Windows Hello for Business? O tom všem se dočtete níže.

Proč používat Windows Hello for Business

Služba řeší následující problémy:

• používání shodného silného hesla na více místech
• kompromitaci serverů se symetrickými přihlašovacími údaji
• phishing útoky

Co je Windows Hello for Business?

Windows Hello for Business lze definovat způsob přihlašování na operačním systému Windows 10, který nahrazuje hesla dvoufázovým ověřením a vždy používá buď asymetrické (veřejný/soukromý klíč) ověření nebo ověření založené na certifikátech. Samotné dvoufázové ověřování se skládá ze 2 částí:

• klíč (vázaný na fyzické zařízení)
• gesta (PIN nebo biometrické)

Pomocí Windows Hello for Business se můžete autentifikovat do účtu:

• Microsoft
• Active Directory
• Azure Active Directory
• k poskytovatelům identit, kteří podporují Fast ID Online (FIDO) 2.0

Po počátečním dvoufázovém ověření při zřizování služby na jednotlivých zařízeních se vyžaduje nastavení gesta (biometrické nebo PIN).

Biometrické přihlášení

Windows Hello for Business nabízí:

1. rozpoznání tváře – používá speciální kamery, které vidí infračervené světlo, což jim umožňuje spolehlivě rozlišit fotografii a živou bytost.
2. rozpoznání otisku prstu

Veškerá biometrická data jsou uložena lokálně a nikdy nejsou posílána na externí zařízení nebo servery.

Asymetrická kryptografie

Asymetrická kryptografie (kryptografie s veřejným klíčem) je skupina kryptografických (šifrovacích) metod, v nichž se pro šifrování a dešifrování používají odlišné klíče (soukromý a veřejný klíč) - na rozdíl od symetrické kryptografie (užívá stejný klíč k šifrování i dešifrování). Jak samotné názvy klíčů napovídají, veřejný klíč (šifrovací) může být většinou veřejně distribuován, zatímco soukromý (dešifrovací) klíč musí zůstat soukromý (v tajnosti). Veřejný a soukromý klíč jsou provázány jednosměrnou matematickou funkcí (ze soukromého jde odvodit veřejný ale obráceně ne).

Asymetrická kryptografie má 2 hlavní způsoby využití:

• šifrování – pomocí veřejného klíče zašifrujete zprávu, pošlete ji adresátovy a ten ji pomocí soukromého klíče dešifruje

• podpis – pomocí soukromého klíče podepíšete zprávu, pošlete ji adresátovy a ten pomocí veřejného klíče ověří autenticitu zprávy

Když poskytovatel identit podporuje klíče, Windows Hello při zřizovacím procesu vytvoří kryptografický pár klíčů, ten je vázaný na TPM (Trusted Platform Module). Přístup k těmto klíčům a získávání podpisu k ověření uživatelova držení soukromého klíče se povolí zadáním PINu nebo Biometrického gesta.

Jak Windows Hello for Business funguje: klíčové body

• Přístupové údaje Windows Hello fungují na základě certifikátů nebo asymetrického klíčového páru. Navíc platí svázaní s daným zařízením.
• Poskytovatel identity ověří uživatelovu identitu a během zřizování přiřadí veřejný klíč Windows Hello k uživatelskému profilu.
• Dvoufázové ověření ověří uživatelovu identitu kombinací klíče nebo certifikátu svázaného se zařízením a něčím, co daná osoba ví (PIN), nebo je (biometrie).
• Zadání PINu nebo užití biometrického gesta odemknou soukromý klíč, kterým se kryptograficky podepíší data, ty se pošlou poskytovateli identit. Poskytovatel identit pomocí veřejného klíče, jenž obdržel při zřizování účtu, ověří uživatelovu identitu a zašle přístupový token.

Za hlavní výhodu užití asymetrické kryptografie lze označit, že při kompromitaci serverů dojde k úniku veřejných klíčů (asymetrické) namísto úniku hesel (symetrické klíče).

Závěr

Držte sebe a svá zařízení v bezpečí. S Windows Hello for Business posílíte svojí ochranu a předejdete nechtěnému narušení soukromí či dokonce úniku dat. Přečtěte si o tom, co můžete pro svoji bezpečnost udělat více.