zap September 16, 2020 0 Comments

Parole, chei, amprente – există o mulțime de modalități de a avea acces la laptop sau desktop. Iată cele mai bune și mai sigure.

Indiferent dacă computerul dvs. rulează Windows, macOS sau Chrome OS, aveți opțiuni pentru modul în care vă conectați. Și alegerea dvs. nu afectează doar cât de convenabil este să intrați în laptop sau desktop; afectează, de asemenea, cât de ușor poate avea acces altcineva.

Acestea sunt diferitele opțiuni de conectare disponibile și pe care trebuie să le cunoașteți, deci asigurați-vă că alegeți cu înțelepciune. Cea potrivită pentru dvs. va depinde de modul în care este configurat computerul și de cât de precaut doriți să fiți.

Windows

PIN-ul dvs. Windows Hello este salvat în siguranță local pe computer.

Puteți găsi opțiunile de conectare pentru Windows deschizând Settings prin intermediul pictogramei dințate din meniul Start, apoi alegând Accounts și Sign-in options. În mod implicit, computerul dvs. va fi protejat de parola contului dvs. Microsoft – asigurați-vă că este lung, complicat și imposibil de ghicit. De asemenea, ar trebui să configurați autentificarea cu doi factori în contul dvs.

Una dintre opțiunile alternative de conectare pe care le veți vedea este Windows Hello PIN. Microsoft vă va încuraja să utilizați acest lucru în locul parolei dvs., deoarece este păstrat ascuns pe dispozitivul dvs. și se aplică numai unui anumit dispozitiv. Ca și în cazul parolei Microsoft, codul PIN ar trebui să fie lung și ceva care nu este evident, cum ar fi ziua de naștere.

Pentru o protecție și mai bună, puteți trece la Windows Hello Face sau Windows Hello Fingerprint pentru a vă conecta cu fața sau amprenta dvs. – acest tip de autentificare biometrică este foarte greu de spart, deși aveți nevoie să fie acceptat de hardware-ul dvs. Majoritatea computerelor Windows acceptă acum aceste funcții, deși s-ar putea să nu aveți noroc dacă utilizați un computer mai vechi.

Opțiunea Security Key este o altă metodă de conectare foarte sigură. Pe lângă parola dvs., veți avea nevoie de o cheie de securitate fizică, special configurată, pentru a avea acces la computerul dvs. – astfel, chiar dacă cineva vă ghicește sau vă sparge parola, nu va putea avea acces. Cheile fizice nu sunt scumpe, dar trebuie să accepte standardul FIDO2: Microsoft are detalii complete despre cum funcționează acest lucru și despre cum să obțineți chei [expand title=”aici”]

Aplicația Microsoft Authenticator
De asemenea, puteți permite telefonului angajatului dvs. să devină o metodă de autentificare fără parolă. Este posibil să utilizați deja aplicația Microsoft Authenticator ca o opțiune convenabilă de autentificare multi-factor pe lângă o parolă. De asemenea, puteți utiliza aplicația Authenticator ca opțiune fără parolă.

Aplicația Authenticator transformă orice telefon iOS sau Android într-o acreditare puternică, fără parolă. Utilizatorii se pot conecta la orice platformă sau browser primind o notificare pe telefonul lor, potrivind un număr afișat pe ecran cu cel de pe telefonul lor și apoi folosind biometrul (atingere sau față) sau PIN-ul pentru a confirma.
Autentificarea fără parolă utilizând aplicația Authenticator urmează același model de bază ca Windows Hello for Business. Este puțin mai complicat, deoarece utilizatorul trebuie identificat, astfel încât Azure AD să poată găsi versiunea de aplicație Microsoft Authenticator folosită:

  • Utilizatorul își introduce numele de utilizator.
  • Azure AD detectează că utilizatorul are o acreditare puternică și începe fluxul de acreditări puternice.
  • O notificare este trimisă aplicației prin Apple Push Notification Service (APNS) pe dispozitivele iOS sau prin Firebase Cloud Messaging (FCM) pe dispozitivele Android.
  • Utilizatorul primește notificarea push și deschide aplicația.
  • Aplicația apelează Azure AD și primește o dovadă de prezență și o provocare.
  • Utilizatorul finalizează provocarea introducând biometrul sau codul PIN pentru a debloca cheia privată.
  • Nonce este semnat cu cheia privată și trimis înapoi la Azure AD.
  • Azure AD efectuează validarea cheii publice / private și returnează un token.

Chei de securitate FIDO2

Alianța FIDO (Fast IDentity Online) ajută la promovarea standardelor de autentificare deschise și la reducerea utilizatorului de parole ca formă de autentificare. FIDO2 este cel mai recent standard care încorporează standardul de autentificare web (WebAuthn).
Cheile de securitate FIDO2 sunt o metodă de autentificare fără parolă bazată pe standarde care nu se pot desface și care poate veni sub orice formă. Fast Identity Online (FIDO) este un standard deschis pentru autentificarea fără parolă. FIDO permite utilizatorilor și organizațiilor să folosească standardul pentru a se conecta la resursele lor fără un nume de utilizator sau o parolă folosind o cheie de securitate externă sau o cheie de platformă încorporată într-un dispozitiv.
Utilizatorii se pot înregistra și apoi selecta o cheie de securitate FIDO2 la interfața de conectare ca mijloc principal de autentificare. Aceste chei de securitate FIDO2 sunt de obicei dispozitive USB, dar ar putea folosi și Bluetooth sau NFC. Cu un dispozitiv hardware care gestionează autentificarea, securitatea unui cont este mărită, deoarece nu există nicio parolă care ar putea fi expusă sau ghicită.
Cheile de securitate FIDO2 pot fi folosite pentru a vă conecta la dispozitivele lor Windows 10 Azure AD sau hibrid Azure AD s-au conectat la resursele lor cloud și locale. Utilizatorii se pot conecta și la browserele acceptate. Cheile de securitate FIDO2 sunt o opțiune excelentă pentru întreprinderile care sunt foarte sensibile la securitate sau au scenarii sau angajați care nu sunt dispuși sau nu pot folosi telefonul ca al doilea factor.
Conectarea cu cheile de securitate FIDO2 la Azure AD sunt în prezent în previzualizare.

Următorul proces este utilizat atunci când un utilizator se conectează cu o cheie de securitate FIDO2:

  • Utilizatorul conectează cheia de securitate FIDO2 la computerul său.
  • Windows detectează cheia de securitate FIDO2.
  • Windows trimite o cerere de autentificare.
  • Azure AD trimite înapoi un nonce.
  • Utilizatorul își finalizează gestul de a debloca cheia privată stocată în enclava securizată a cheii de securitate FIDO2.
  • Cheia de securitate FIDO2 semnează nonce cu cheia privată.
  • Cererea de token primar de reîmprospătare (PRT) cu nonce semnat este trimisă la Azure AD.
  • Azure AD verifică nonce-ul semnat utilizând cheia publică FIDO2.
  • Azure AD returnează PRT pentru a permite accesul la resursele locale.

Deși există multe chei care sunt certificate FIDO2 de FIDO Alliance, Microsoft necesită ca unele extensii opționale ale specificației Protocolului CTAP (Client-to-Authenticator) FIDO2 să fie implementate de către furnizor pentru a asigura securitate maximă și cea mai bună experiență.

O cheie de securitate TREBUIE să implementeze următoarele caracteristici și extensii din protocolul FIDO2 CTAP pentru a fi compatibile cu Microsoft:

#Feature / Extension trustDe ce este necesară această caracteristică sau extensie?
1Resident keyAceastă caracteristică permite cheii de securitate să fie portabilă, unde acreditarea dvs. este stocată pe cheia de securitate.
2Client pinAceastă funcție vă permite să vă protejați acreditările cu un al doilea factor și se aplică cheilor de securitate care nu au o interfață cu utilizatorul.
3hmac-secretAceastă extensie vă asigură că vă puteți conecta la dispozitiv atunci când este offline sau în modul avion.
4Multiple accounts per RPAceastă caracteristică vă asigură că puteți utiliza aceeași cheie de securitate în mai multe servicii, cum ar fi Contul Microsoft și Azure Active Directory.

[/expand]

În cele din urmă, există opțiunea Picture Password, care utilizează practic un model pe care îl desenezi peste o imagine la alegere ca metodă de autentificare. Este un pic mai convenabil pentru dvs., deși este mai ușor de accesat de către altcineva – este mai ușor să ghiciți, să forțați brusc un model sau să vă uitați pur și simplu peste umăr într-o cafenea sau într-un birou decât să vă reproduceți amprenta digitală , de exemplu.

macOS

Touch ID este o metodă de conectare sigură pentru macOS, dacă aveți un MacBook care îl acceptă.

Dacă utilizați un Mac, deschideți meniul Apple, apoi alegeți System Preferences și Users & Groups pentru a vedea conturile configurate în sistemul dvs. și pentru a vă schimba parola, dacă este necesar. Acesta este modul implicit de conectare la macOS și folosește o parolă separată de parola legată de ID-ul dvs. Apple, chiar dacă ID-ul dvs. Apple este, de asemenea, asociat cu computerul Mac.

De asemenea, ar trebui să faceți clic pe Login Options și să vă asigurați că Automatic login este dezactivată, ceea ce înseamnă că parola dvs. este necesară de fiecare dată când pornește computerul. Poate fi mai puțin convenabil, dar este singurul lucru care împiedică pe cineva să repornească computerul pentru a intra în el. Înapoi la panoul System Preferences, faceți clic pe ID-ul Apple, apoi pe Password & Security pentru a modifica parola pentru contul dvs. Apple real și pentru a activa autentificarea în doi factori – lucru pe care ar trebui să-l faceți cu siguranță.

Dacă utilizați un MacBook cu Touch Bar și Touch ID, veți vedea o pictogramă Touch ID în panoul System Preferences. Selectați această opțiune pentru a utiliza amprenta ca mod de conectare la Mac, care este atât mai sigur, cât și mai convenabil decât utilizarea unei parole. Aceeași amprentă digitală poate fi utilizată și pentru autentificarea plăților Apple Pay.

Cealaltă opțiune pe care o aveți pentru conectarea la macOS este să folosiți un Apple Watch ca dispozitiv de autentificare. Mac-ul dvs. este suficient de inteligent pentru a ști dacă purtați de fapt ceasul inteligent și că vă aflați la o distanță foarte mică, deci este un mod foarte sigur de a proteja accesul la computerul dvs. (precum și a fi mai convenabil pentru dvs.).

Pentru a configura acest lucru pe macOS, trebuie să deschideți meniul Apple și System Preferences, apoi să alegeți Security & Privacy și General. Bifați Use your Apple Watch to unlock apps and your Mac și, odată ce ați confirmat această decizie cu parola macOS, ar trebui să vă conectați automat ori de câte ori Apple Watch și Mac sunt în imediata apropiere.

Chrome OS

Puteți configura un cod PIN pentru a vă conecta la sistemul de operare Chrome, care funcționează alături de o parolă.

Când configurați un Chromebook pentru prima dată, contul dvs. de utilizator va fi protejat de parola asociată contului dvs. Google. Odată ce ati intrat, vă puteți verifica opțiunile de conectare făcând clic pe indicatorul de timp, Wi-Fi și baterie (dreapta jos), apoi pe pictograma roată, apoi People. Sub numele dvs. ar trebui să existe o opțiune de Security and sign-in.

Odată ce ați introdus parola, veți găsi o opțiune care obligă sistemul de operare Chrome să solicite o parolă de fiecare dată când Chromebookul se trezește, pe care ar trebui să îl porniți. Veți găsi, de asemenea, o opțiune pentru a configura un cod PIN pentru a accesa Chromebookul, precum și parola – aceasta nu este cu adevărat mai sigură, dar este mai convenabilă pentru dvs.

De asemenea, vă puteți conecta la ChromeOS folosind telefonul (Android). În același panou de setări, trebuie să faceți clic pe Connected devices – de aici puteți configura o conexiune la orice telefon Android înregistrat cu contul dvs. Google și faceți clic pe opțiunea Smart Lock, ceea ce înseamnă că Chromebookul dvs. este deblocat când telefonul este din apropiere.

Depinde de dvs. dacă decideți dacă acest lucru este mai sigur decât să introduceți parola de fiecare dată, dar este important să rețineți că telefonul dvs. va trebui să fie deblocat pentru ca încercarea de conectare să funcționeze. Nu este cazul ca cineva să vă poată lua telefonul și apoi să îl folosească pentru a intra în Chromebook, atâta timp cât telefonul este blocat.

Ca întotdeauna, este important să urmați regula unei parole bune, deoarece aceasta poate fi utilizată în continuare pentru a intra în Chromebook, indiferent de ce altceva ați configurat ca metodă de conectare. Din pagina contului dvs. Google de pe web, puteți alege Security pentru a vă schimba parola și pentru a vă asigura că autentificarea în doi factori este activată pentru dispozitivele noi (ceea ce ar trebui să fie absolut).

Sursa: https://www.wired.com/story/safest-ways-log-in-computer/