Microsoft Entra wprowadza passkey do logowania w Windows i wzmacnia ochronę przed phishingiem - Security Bez Tabu

Microsoft Entra wprowadza passkey do logowania w Windows i wzmacnia ochronę przed phishingiem

Cybersecurity news

Wprowadzenie do problemu / definicja

Microsoft rozszerza strategię uwierzytelniania bezhasłowego, dodając obsługę passkey dla kont Microsoft Entra na urządzeniach z Windows. To rozwiązanie ma ograniczyć ryzyko phishingu oraz przejęcia poświadczeń, zastępując tradycyjne hasła mechanizmem opartym na kryptografii asymetrycznej i lokalnym potwierdzeniu tożsamości za pomocą Windows Hello.

W praktyce oznacza to, że użytkownik nie musi przekazywać hasła do usługi podczas logowania. Zamiast tego urządzenie wykorzystuje lokalnie chroniony klucz prywatny, a sama autoryzacja odbywa się w modelu odpornym na typowe kampanie wyłudzające dane logowania.

W skrócie

  • Microsoft uruchamia obsługę passkey dla kont Entra w środowisku Windows.
  • Nowa funkcja ma charakter opt-in i będzie udostępniana etapami.
  • Wsparcie obejmuje również urządzenia niezarządzane, co ma znaczenie dla modelu BYOD i pracy hybrydowej.
  • Passkey są powiązane z konkretnym urządzeniem i przechowywane lokalnie w kontenerze Windows Hello.
  • Rozwiązanie ma zwiększyć odporność organizacji na phishing i ataki wymierzone w hasła.

Kontekst / historia

Rozszerzenie obsługi passkey wpisuje się w długofalową strategię Microsoftu, której celem jest ograniczanie roli haseł w procesie uwierzytelniania. To odpowiedź na stale rosnącą liczbę ataków phishingowych, credential stuffing oraz technik omijania klasycznego MFA.

Wcześniej firma rozwijała wsparcie dla logowania bezhasłowego w kontach osobistych oraz integrowała menedżera passkey z ekosystemem Windows. Teraz podobny model trafia szerzej do środowisk korporacyjnych zarządzanych przez Microsoft Entra, co ma szczególne znaczenie dla organizacji działających w modelu hybrydowym.

Nowa funkcja jest istotna zwłaszcza tam, gdzie użytkownicy korzystają z urządzeń prywatnych lub niezarejestrowanych w infrastrukturze przedsiębiorstwa. To właśnie takie scenariusze najczęściej pozostawały dotąd bardziej zależne od tradycyjnych haseł i przez to były łatwiejszym celem dla cyberprzestępców.

Analiza techniczna

Mechanizm passkey w Microsoft Entra dla Windows opiera się na standardach FIDO2 i WebAuthn. Zamiast tworzenia wspólnego sekretu w postaci hasła, urządzenie generuje parę kluczy kryptograficznych. Klucz prywatny pozostaje lokalnie na endpointcie i jest zabezpieczony przez Windows Hello, na przykład kodem PIN, odciskiem palca lub rozpoznawaniem twarzy. Klucz publiczny trafia do usługi tożsamości.

Podczas logowania użytkownik potwierdza swoją obecność na urządzeniu, a system podpisuje wyzwanie kryptograficzne. Dzięki temu żaden sekret możliwy do prostego skopiowania lub ponownego użycia nie jest przekazywany przez sieć. To fundamentalna różnica względem haseł, które można wyłudzić na fałszywej stronie lub przechwycić przez malware.

Istotnym elementem wdrożenia jest lokalny charakter passkey. Są one powiązane z konkretnym urządzeniem, co oznacza brak automatycznej przenośności między komputerami oraz konieczność oddzielnej rejestracji dla każdego konta Entra na każdym endpointcie. Zwiększa to bezpieczeństwo, ale jednocześnie podnosi wymagania operacyjne związane z onboardingiem, wymianą sprzętu i odzyskiwaniem dostępu.

Aby uruchomić funkcję, administratorzy muszą odpowiednio skonfigurować polityki Authentication Methods w Entra, włączyć Passkeys jako metodę FIDO2, przygotować profil passkey z właściwymi identyfikatorami AAGUID dla Windows Hello oraz przypisać konfigurację do wybranych grup użytkowników. Oznacza to, że skuteczne wdrożenie zależy nie tylko od samego systemu Windows, ale także od spójnej konfiguracji warstwy IAM.

Konsekwencje / ryzyko

Z perspektywy bezpieczeństwa najważniejszą korzyścią jest ograniczenie skuteczności phishingu oraz przejęć poświadczeń. Passkey utrudniają działanie fałszywych stron logowania, reverse proxy phishing kits i części ataków bazujących na ponownym wykorzystaniu danych uwierzytelniających.

Nie oznacza to jednak pełnej eliminacji ryzyka. Cyberprzestępcy nadal mogą próbować atakować sam endpoint, wykorzystywać socjotechnikę, nadużywać procesów rejestracji nowych metod logowania albo działać z poziomu złośliwego oprogramowania uruchomionego w kontekście użytkownika. Jeśli organizacja wdroży passkey tylko częściowo, pozostawiając równolegle słabsze ścieżki dostępu, realny poziom ochrony może być niższy od oczekiwanego.

Dodatkowym wyzwaniem jest zarządzanie cyklem życia urządzeń. W środowiskach korporacyjnych trzeba uwzględnić scenariusze utraty laptopa, wymiany sprzętu, reprovisioningu systemu oraz odwoływania dostępu. Bez dopracowanych procedur operacyjnych organizacja może zyskać większą odporność na phishing, ale jednocześnie zwiększyć złożoność obsługi użytkowników i helpdesku.

Rekomendacje

Organizacje planujące wdrożenie powinny rozpocząć od pilotażu obejmującego użytkowników o podwyższonym profilu ryzyka, takich jak administratorzy, kadra kierownicza oraz zespoły pracujące na danych wrażliwych. Równolegle warto przeanalizować istniejące polityki uwierzytelniania i upewnić się, że słabsze metody logowania nie pozostają aktywne bez uzasadnienia.

W środowiskach BYOD i pracy hybrydowej kluczowe będzie zdefiniowanie, z jakich urządzeń i na jakich warunkach można uzyskiwać dostęp do zasobów firmowych. Passkey powinny być wdrażane razem z politykami Conditional Access, kontrolą stanu urządzenia oraz monitoringiem zdarzeń tożsamościowych.

  • ograniczyć użycie haseł tam, gdzie passkey są dostępne,
  • monitorować rejestrację nowych metod uwierzytelniania,
  • wzmocnić procedury odzyskiwania dostępu do kont,
  • szkolić użytkowników z rozpoznawania socjotechniki,
  • utrzymywać telemetrię z endpointów i systemów IAM,
  • zaktualizować dokumentację helpdesku pod kątem modelu passwordless.

Podsumowanie

Wprowadzenie passkey dla Microsoft Entra w Windows to ważny krok w stronę ograniczenia jednej z najczęściej wykorzystywanych powierzchni ataku, czyli haseł. Rozszerzenie wsparcia na urządzenia niezarządzane może istotnie poprawić bezpieczeństwo organizacji działających w modelu hybrydowym i BYOD.

Jednocześnie samo wdrożenie technologii nie zastępuje kompleksowej strategii ochrony tożsamości. O skuteczności rozwiązania zdecydują dopracowane polityki dostępu, bezpieczeństwo endpointów, monitoring oraz gotowość operacyjna do obsługi nowego modelu logowania.

Źródła

  1. Microsoft brings phishing-resistant Windows sign-ins via Entra passkeys — https://www.bleepingcomputer.com/news/microsoft/microsoft-entra-brings-phishing-resistant-sign-in-to-windows/
  2. Microsoft 365 Message Center: Microsoft Entra passkeys on Windows — https://mc.merill.net/message/MC
  3. Windows Hello overview — https://learn.microsoft.com/windows/security/identity-protection/hello-for-business/
  4. Passkeys developer and identity guidance — https://learn.microsoft.com/entra/identity/authentication/concept-authentication-passwordless
  5. FIDO Alliance: Passkeys — https://fidoalliance.org/passkeys/