Как сделать из флешки ключ безопасности

Включение секретных ключей (FIDO2) для вашей организации

Для предприятий, использующих пароли сегодня, секретные ключи (FIDO2) обеспечивают простой способ проверки подлинности работников без ввода имени пользователя или пароля. Секретные ключи обеспечивают улучшенную производительность для работников и имеют более высокую безопасность.

В этой статье перечислены требования и шаги для включения секретных ключей в организации. После выполнения этих действий пользователи в вашей организации могут зарегистрировать и войти в свою учетную запись Microsoft Entra с помощью секретного ключа, хранящегося в ключе безопасности FIDO2 или в Microsoft Authenticator.

Дополнительные сведения о включении секретных ключей в Microsoft Authenticator см. в статье «Как включить ключи доступа в Microsoft Authenticator».

Идентификатор Microsoft Entra в настоящее время поддерживает ключи доступа, привязанные к устройству, хранящиеся в ключах безопасности FIDO2 и в Microsoft Authenticator. Корпорация Майкрософт стремится защитить клиентов и пользователей с помощью секретных ключей. Мы инвестируем как в синхронизированные, так и привязанные к устройству ключи доступа для рабочих учетных записей.

Требования

• Многофакторная проверка подлинности (MFA) Microsoft Entra.
• Совместимые ключи безопасности FIDO2 или Microsoft Authenticator.
• Устройства, поддерживающие сквозную проверку подлинности (FIDO2). Для устройств Windows, присоединенных к идентификатору Microsoft Entra, лучше всего использовать windows 10 версии 1903 или более поздней. Устройства, присоединенные к гибридной среде, должны работать под управлением Windows 10 версии 2004 или более поздней.

Секретные ключи поддерживаются в основных сценариях в Windows, macOS, Android и iOS. Дополнительные сведения о поддерживаемых сценариях см. в разделе «Поддержка проверки подлинности FIDO2» в идентификаторе Microsoft Entra ID.

Включение метода проверки подлинности секретного ключа

1. Войдите в Центр администрирования Microsoft Entra как минимум политику проверки подлинности Администратор istrator.
2. Перейдите к политике >метода проверки подлинности проверки подлинности защиты.>
3. В разделе «Ключ безопасности FIDO2″ выберите «Все пользователи» или «Добавить группы», чтобы выбрать определенные группы. Поддерживаются только группы безопасности.
4. Сохраните конфигурацию.

Примечание. Если при попытке сохранения появляется сообщение об ошибке, причиной может быть число добавляемых пользователей или групп. В качестве обходного решения замените пользователей и группы, которые вы пытаетесь добавить, одной группой в той же операции, а затем нажмите кнопку Сохранить еще раз.

Необязательные параметры секретного ключа

На вкладке «Настройка» есть некоторые необязательные параметры, помогающие управлять способом использования ключей доступа для входа.

• Параметр Разрешить самостоятельную настройку должен сохранять значение Да. Если задано значение «Нет», пользователи не могут зарегистрировать пароль через MySecurityInfo, даже если включена политика методов проверки подлинности.
• Принудительное применение аттестации должно иметь значение Yes , если ваша организация хочет убедиться, что модель ключа безопасности FIDO2 или поставщик секретного ключа является подлинным и поступает от законного поставщика.
  • Для ключей безопасности FIDO2 требуется опубликовать и проверить метаданные ключа безопасности с помощью службы метаданных Альянса FIDO, а также передать другой набор проверки майкрософт. Дополнительные сведения см. в статье «Стать поставщиком ключей безопасности, совместимым с Майкрософт FIDO2».
  • Для секретных ключей в Microsoft Authenticator мы в настоящее время не поддерживаем аттестацию.

  Принудительное применение аттестации определяет, разрешен ли ключ доступа только во время регистрации. Пользователи, которые могут зарегистрировать секретный ключ без аттестации, не будут заблокированы во время входа, если принудительное аттестации установлено значение «Да » в дальнейшем.

  Политика ограничения ключей

  • Принудительное применение ограничений ключей должно быть задано только в том случае, если ваша организация хочет разрешить или запретить использование определенных моделей ключей безопасности или поставщиков секретных ключей, которые определяются идентификатором GUID аттестации аутентификатора (AAGUID). Вы можете работать с поставщиком ключей безопасности, чтобы определить AAGUID ключа доступа. Если ключ доступа уже зарегистрирован, можно найти AAGUID, просмотрев сведения о методе проверки подлинности для пользователя.
  • Если в центре администрирования отображается ограничение клавиш «Да«, можно выбрать Microsoft Authenticator (предварительная версия), если поле проверка box отображается в центре администрирования. Это автоматически заполняет приложения AAGUID приложения Authenticator для вас в списке ограничений ключей.

  Предупреждение Ключевые ограничения задают удобство использования определенных моделей или поставщиков для регистрации и проверки подлинности. При изменении ограничений ключа и удалении AAGUID, разрешенного ранее, пользователи, которые ранее зарегистрировали разрешенный метод, больше не могут использовать его для входа.

  Guid аттестации сквозного ключа Authenticator (AAGUID)

  Спецификация FIDO2 требует, чтобы каждый поставщик ключей безопасности предоставил guid аттестации Authenticator (AAGUID) во время регистрации. 128-разрядное значение идентификатора AAGUID определяет тип ключа, то есть модель и издателя. Поставщики секретных ключей на настольных и мобильных устройствах также должны предоставлять AAGUID во время регистрации.

  Поставщик должен убедиться, что AAGUID идентичен всем существенно идентичным ключам безопасности или поставщикам секретных ключей, сделанным этим поставщиком, и другим (с высокой вероятностью) от AAGUID всех других типов ключей безопасности или поставщиков ключей доступа. Чтобы убедиться, что AAGUID для данной модели ключей безопасности или поставщика секретного ключа следует создавать случайным образом. Дополнительные сведения см. в статье Web Authentication: An API for accessing Public Key Credentials — Level 2 (Проверка подлинности веб-приложений. API для доступа к учетным данным открытого ключа, уровень 2) на сайте w3.org.

  У вас есть два способа узнать значение AAGUID. Вы можете попросить ключа безопасности или поставщика ключей доступа или просмотреть сведения о методе проверки подлинности для каждого пользователя.

  

  Включение ключей доступа с помощью API Microsoft Graph

  Помимо использования Центра администрирования Microsoft Entra, вы также можете включить ключи доступа с помощью API Microsoft Graph. Чтобы включить ключи доступа, необходимо обновить политику методов проверки подлинности как глобальный Администратор istrator или Администратор istrator политики проверки подлинности.

  Чтобы настроить политику с помощью песочницы Graph, сделайте следующее:

  1. Войдите в Graph Обозреватель и согласились с разрешениями Policy.Read.All и Policy.ReadWrite.AuthenticationMethod.
  2. Получите политику методов проверки подлинности:

  GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2 

  PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2 Request Body: < "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration", "isAttestationEnforced": false, "keyRestrictions": < "isEnforced": true, "enforcementType": "allow", "aaGuids": [ "7e3f3d30-3557-4442-bdae-139312178b39", ] > > 

  GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2 

  Удаление ключа доступа

  Чтобы удалить секретный ключ, связанный с учетной записью пользователя, удалите ключ из метода проверки подлинности пользователя.

  

  1. Войдите в Центр администрирования Microsoft Entra и найдите пользователя, ключ доступа которого необходимо удалить.
  2. Выберите методы> проверки подлинности правой кнопкой мыши «Пароль» (привязанный к устройству) и нажмите кнопку«Удалить«.

  Принудительное выполнение входа в секретный ключ

  Чтобы сделать пользователей входить с помощью секретного ключа при доступе к конфиденциальному ресурсу, можно:

  • Использование встроенной защиты от фишинга проверки подлинности Or
  • Создайте индивидуальную силу проверки подлинности

  В следующих шагах показано, как создать настраиваемую политику условного доступа проверки подлинности, которая разрешает вход с ключом доступа только для определенной модели ключа безопасности или поставщика ключей доступа. Список поставщиков FIDO2 см. в разделе «Текущие партнеры по поставщику оборудования FIDO2».

  1. Войдите в Центр администрирования Microsoft Entra в качестве условного доступа Администратор istrator.
  2. Перейдите к преимуществам проверки подлинности методов>проверки подлинности защиты>.
  3. Выберите «Новая сила проверки подлинности».
  4. Укажите имя для новой силы проверки подлинности.
  5. При необходимости укажите описание.
  6. Выберите «Секретные ключи» (FIDO2).
  7. При необходимости, если вы хотите ограничить определенные идентификаторы AAGUID, выберите дополнительные параметры , а затем добавьте AAGUID. Введите разрешенные идентификаторы AAGUID. Выберите Сохранить.
  8. Нажмите кнопку «Далее » и просмотрите конфигурацию политики.

  Известные проблемы

  Пользователи для совместной работы B2B

  Регистрация учетных данных FIDO2 не поддерживается для пользователей службы совместной работы B2B в клиенте ресурсов.

  Подготовка ключа безопасности

  Администратор istrator подготовка и отмена подготовки ключей безопасности недоступна.

  Изменения имени субъекта-пользователя

  Если имя участника-пользователя изменяет имя участника-пользователя, вы больше не сможете изменить ключи доступа для учетной записи об изменении. Если у пользователя есть ключ доступа, он должен войти в my Security info, удалить старый секретный ключ и добавить новый.

  Как создать из флешки USB-ключ безопасного входа в Windows

  В интересах безопасности данных некоторые люди обращаются к сторонним USB-устройствам, которые служат ключами безопасности для их ПК. Без подключения такого устройства ваш компьютер не будет разблокирован. Это очень просто.

  Есть два способа получить один из этих ключей безопасности, чтобы добавить дополнительный уровень защиты: вы можете купить готовый или создать свой собственный.

  Давайте рассмотрим оба метода, а также то, как, на самом деле, создать свой собственный USB-ключ безопасности, используя старый флэш-накопитель.

  Что такое YubiKey

  В качестве примера укажем компанию Yubico, которая создала YubiKey – USB-флешку, совместимую с Windows Hello, и рядом других сервисов, которые необходимо поддерживать в безопасности, таких как LastPass, KeePass, Google, Dropbox и Evernote.

  

  Как только вы получите его, всё, что вам нужно сделать, это подключить к компьютеру, зарегистрировать, и вы готовы к работе. Есть несколько разных вариантов YubiKey. У вас есть стандартный YubiKey, который подключается через USB, Nano YubiKey, который намного меньше, и YubiKey NEO, который может подключаться как через NFC, так и через USB.

  Как создать USB-ключ безопасности

  Прежде чем приступить к этой работе, помните, что создание ключа безопасности USB для вашего ПК имеет некоторые недостатки. Если вы потеряете USB-ключ, вам будет нелегко попасть на ваш компьютер, особенно если вы отключите возможность ввода пароля в качестве резервной возможности. Вы также потеряете возможность использовать один из USB-портов на вашем ПК, пока активна блокировка.

  Существует несколько вариантов, когда речь заходит о программном обеспечении, используемом для этого процесса, но USB Raptor, Rohos Logon Key и Predator являются некоторыми из них, хотя последние два являются платными. Rohos Logon Key стоит 34 доллара, а Predator – 10 долларов.

  Поскольку USB Raptor бесплатен, мы покажем вам, как его настроить, используя Windows 10 и старый флэш-накопитель. На самом деле, не имеет значения, сколько места на флэш-накопителе, потому что всё, что будет создано, это файл размером 1 КБ.

  1. Скачайте USB Raptor с ресурса SourceForge.
  2. Извлеките содержимое загруженного архива.
  3. Дважды щелкните приложение USB Raptor.
  4. Нажмите на флажок рядом с Я прочитал отказ от ответственности .
  5. Нажмите Я согласен . USB Raptor откроется. На этом этапе вы можете подключить флэш-накопитель к компьютеру. Как только он подключен, вы сможете продолжить следующие шаги.
  6. Введите пароль. Убедитесь, что оно написано правильно, и запомните его!
  7. Нажмите стрелку раскрывающегося списка ниже Выберите USB-накопитель .
  8. Если к USB-порту подключен только USB-накопитель, должна быть доступна только одна опция.
  9. Нажмите Create k3y file .
  10. Нажмите на флажок рядом с Enable USB Raptor, когда вы будете готовы начать использовать USB Raptor. В правом нижнем углу экрана появится маленькое окно, сообщающее, что оно включено.
  11. Нажмите Свернуть в трей.

  Как только вы извлечёте USB-накопитель, включится USB Raptor. Появится фиолетовый экран с логотипом USB Raptor. Только когда вы снова подключите USB-ключ, он разблокируется практически мгновенно.

  Чтобы отключить USB Raptor, просто откройте приложение и снимите флажок Enable USB Raptor .

  Расширенные настройки USB Raptor

  Выше представленная инструкция охватывает простую конфигурацию, которую рекомендует USB Raptor, но есть довольно много расширенных настроек, которые вы можете изменить, установив флажок рядом с Advanced configuration в правом верхнем углу окна.

  

  Здесь вы можете выбрать, хотите ли вы использовать пароль в качестве резервной копии в случае, если вы потеряете USB-накопитель, должна ли быть задержка блокировки при извлечении USB-накопителя или нет, должен ли проверяться серийный номер USB-накопителя (для предотвращения копирования файла) и многое другое.

  Конечно, USB Raptor прекрасно работает без изменения расширенных настроек, поэтому вам не нужно настраивать то, что вам не нужно.

  Как работает аппаратный ключ безопасности — и почему не сделать программируемый ключ с улучшенной защитой?

  

  Как известно, пароль — только первый этап аутентификации, причём наименее надёжный. Пароль можно перехватить во время ввода (с клавиатуры или экрана), в процессе передачи на сервер, подобрать брутфорсом, скопировать из места хранения (в том числе с сервера компании, безопасность которого нам не подконтрольна) или узнать у человека. Даже наличие парольного менеджера не слишком улучшает ситуацию.

  Двухфакторная аутентификация (2FA) сегодня обязательна, потому что второй фактор и на порядок увеличивает усилия для взлома. Стандартный второй фактор — это телефон, куда приходит дополнительный код. Ещё один дополнительный фактор — аппаратный ключ безопасности, который невозможно скопировать. Такой ключ может защищать доступ к вашему парольному менеджеру.

  Давайте посмотрим, как сделаны такие ключи, кто их выпускает. И самое главное — как их сделать ещё лучше.

  Стандарт U2F

  Стандартом открытой аутентификации сейчас считается U2F (Universal 2nd Factor), его продвижением занимается альянс FIDO.

  U2F — это открытый, бездрайверный протокол 2FA, позволяющий интернет-пользователям использовать U2F-устройство как второй фактор для аутентификации на большом количестве онлайн-сервисов.

  Используется вызов-ответная схема аутентификации:

  1. Проверяющая сторона отправляет некоторые данные (то есть генерирует вызов) и дескриптор ключа для подписи браузеру.
  2. Браузер добавляет к этому URI, с которого был произведён запрос на подпись и ID канала TLS и отправляет на U2F устройство.
  3. Используя дескриптор ключа, устройство выбирает соответствующий ему закрытый ключ для подписи.
  4. Для предотвращения клонирования устройства, внутри него находится счётчик, который при каждой аутентификации увеличивает своё значение. Его значение тоже подписывается и отправляется проверяющей стороне.

  

  Для подписи используется алгоритм ECDSA над кривой P-256, для хеширования — SHA-256.

  Производители

  Ключи для U2F выпускает несколько компаний, в том числе:

  

  • Yubico: Security Key, Security Key NFC, Security Key C NFC, YubiKey 5C, 5C NFC, 5Ci, 5 NFC)
  • Google: линейка ключей Titan (USB-A/NFC, USB-C/NFC);
  • Thetis (FIDO U2F и BLE U2F)
  • SoloKeys (Solo USB-C, Solo USB-A, Solo Tap USB-C, Solo Tap USB-A)

  На практике использование такого ключа интуитивно понятно и просто:

  Собственные ключи безопасности

  Но ничто не останавливает инженеров от того, чтобы искать лучшие решения вместо существующих.

  Например, шведская компания Multivad, которая занимается программными решениями в области информационной безопасности, недавно решила спроектировать и изготовить собственный ключ безопасности на платформе RISC-V со 128 КБ RAM. Для этого была зарегистрирована отдельная дочерняя фирма Tillitis AB. Первым её продуктом станет Tillitis Key — ключ безопасности нового типа, созданный с применением технологий DICE и Measured Boot.

  Для справки, Measured Boot — это функция проверки аппаратной прошивки во время каждой загрузки, с сохранением информации в Trusted Platform Module (TPM), впервые представленная в Windows 8.

  DICE (Device Identifier Composition Engine) aka RIoT (Robust | Resilient | Recoverable — IoT) — промышленный стандарт Trusted Computing Group для микроконтроллеров на базе TPM.

  

  Ключ Tillitis

  Tillitis Key предполагает функцию программирования пользователем и использования произвольных пользовательских приложений (на 128 КБ RAM). Как сказано в описании, во время использования микропрограмма на Tillitis Key извлекает уникальный ключ для каждого запускаемого приложения, проверяя его перед выполнением:

  Это делается путём комбинирования хеш-значения приложения с уникальным секретом для каждого устройства. Приложения загружаются на устройство с главного компьютера во время использования и не хранятся на устройстве постоянно.

  Секрет, предоставляемый пользователем или хостом, также может быть подмешан в функцию генерации нового ключа (key derivation function), что обеспечивает дополнительную защиту. Предполагается, что продвинутый аппаратный взломщик знает хеш целевого приложения и, скорее всего, в конечном итоге сумеет извлечь UDS из аппаратного обеспечения. При добавлении секрета, предоставляемого хостом, знания используемого приложения, а также UDS ключа безопасности будет недостаточно для получения секрета приложения. Таким образом, влияние потери или кражи ключа Tillitis Key на безопасность меньше, чем в случае обычных ключей безопасности.

  Приложения устройства могут быть загружены по цепочке, когда первый этап приложения передаёт свой секрет второму этапу. Это повышает удобство работы пользователей, поскольку позволяет сохранить секрет приложения (и его открытый ключ) неизменным даже при обновлении приложения на устройстве. Это также позволяет разработчикам определять собственные политики доверия к обновлению ПО. Простое приложение первого этапа может выполнять проверку подписи кода на втором этапе, в то время как более продвинутое приложение потребует m-из-n подписей кода или доказательство включения Sigsum с учётом встроенных сценариев использования.

  В общем, с учётом таких сценариев программируемый ключ безопасности может использоваться в более продвинутых политиках безопасности, чем современные ключи U2F.

  Самое главное, что Tillitis Key разрабатывается на открытом дизайне, то есть схемы и материалы/компоненты для изготовления аппаратного ключа публикуются в открытом доступе. С одной стороны, это гарантирует отсутствие в нём аппаратных закладок и повышает доверие к продукту. С другой стороны, любой желающий теоретически может заказать производство точно таких же изделий или даже собрать нечто подобное в единственном экземпляре конкретно для себя.

  Можно вспомнить ещё одну попытку спроектировать ключ безопасности с открытым дизайном и применением надёжной криптографии — ключи Solo V2 от компании SoloKeys, которые в 2021 году успешно собрали финансирование на Кикстартере и сейчас запущены в производство.

  

  

  Ключи Solo V2 изготавливаются на опенсорсном фреймворке Trussed для современных криптографических приложений. Идея в том, что все криптографические примитивы собраны в прошивку. Исходный код опубликован на GitHub.

  Эти криптографические примитивы, а также прошивки от SoloKeys любой желающий может использовать в разработке своих криптографических продуктов, как аппаратных, так и программных. Например, немецкая фирма Nitrokey скопировала весь этот стек — и выпустила собственные ключи. Наладить такое производство может любой стартап. Всё совершенно легально, при этом используется проверенная криптография.

  Открытая экосистема

  В целом, разработчики Trussed хотели бы сформировать большую открытую экосистему «доверенных приложений безопасности», куда войдут WireGuard, менеджеры паролей, GPG, карманные HSM и другое оборудование и софт на открытом стеке. «Всё это в итоге заменит JavaCard и перенесёт встроенные криптографические прошивки в современную эпоху», — рассчитывают они.

  • Блог компании GlobalSign
  • Информационная безопасность
  • Криптография
  • Open source
  • Производство и разработка электроники

  Настройка ключа безопасности в качестве метода проверки

  Ключи безопасности можно использовать в организации в качестве метода входа без пароля. Ключ безопасности — это физическое устройство, которое используется с уникальным ПИН-кодом для входа в рабочую или учебную учетную запись. Так как для ключей безопасности требуется физическое устройство и то, что известно только вам, это считается более надежным методом проверки, чем имя пользователя и пароль.

  Использование ключа безопасности в качестве метода проверки подлинности без пароля в настоящее время находится в общедоступной предварительной версии. Если то, что вы видите на экране, не совпадает с тем, что рассматривается в этой статье, это означает, что администратор еще не включил эту функцию. Пока эта функция не будет включена, необходимо выбрать другой способ проверки подлинности на странице Сведения для безопасности. Дополнительные сведения о предварительных версиях см. в разделе Дополнительные условия использования предварительных версий Microsoft Azure.

  • Если параметр ключа безопасности не отображается, возможно, ваша организация не разрешает использовать этот параметр для проверки. В этом случае вам потребуется выбрать другой способ или обратиться в службу поддержки вашей организации за дополнительной помощью.
  • Прежде чем зарегистрировать ключ безопасности, необходимо зарегистрировать по крайней мере один дополнительный метод проверки безопасности.

  Что такое ключ безопасности?

  В настоящее время мы поддерживаем несколько проектов и поставщиков ключей безопасности, использующих протоколы проверки подлинности fast Identity Online (FIDO2) без пароля. Эти ключи позволяют войти в рабочую или учебную учетную запись для доступа к облачным ресурсам вашей организации на поддерживаемом устройстве и в веб-браузере.

  Администратор или ваша организация предоставит вам ключ безопасности, если он требуется для вашей рабочей или учебной учетной записи. Существуют различные типы ключей безопасности, которые можно использовать, например USB-ключ, который вы подключаете к устройству, или NFC-ключ, который вы нажимаете на считыватель NFC. Дополнительные сведения о ключе безопасности, в том числе о его типе, см. в документации производителя.

  Примечание: Если вам не удается использовать ключ безопасности FIDO2, существуют другие методы проверки без пароля, например приложение Microsoft Authenticator или Windows Hello. Дополнительные сведения о Windows Hello см. в Windows Hello обзоре.

  Перед началом работы

  Прежде чем зарегистрировать ключ безопасности, необходимо выполнить следующие условия:

  • Администратор включил эту функцию для использования в организации.
  • Вы находитесь на устройстве с обновление Windows 10 за май 2019 г. и используете поддерживаемый браузер.
  • У вас есть физический ключ безопасности, утвержденный администратором или вашей организацией. Ключ безопасности должен быть как fido2, так и microsoft-совместимый. Если у вас возникли вопросы о ключе безопасности и его совместимости, обратитесь в службу поддержки вашей организации.

  Регистрация ключа безопасности

  Чтобы войти в рабочую или учебную учетную запись с помощью ключа, необходимо создать ключ безопасности и присвоить ему уникальный ПИН-код. В вашей учетной записи может быть зарегистрировано до 10 ключей.

  1. Перейдите на страницу «Мой профиль» на странице «Моя учетная запись» и войдите в систему, если вы еще этого не сделали.
  2. Выберите Сведения для безопасности, Добавить метод, а затем выберите Ключ безопасности в списке Добавить метод.

  

  

  Примечание: Если вы не знаете, какой тип ключа безопасности у вас есть, обратитесь к документации производителя. Если вы не уверены в изготовителе, обратитесь за помощью в службу поддержки вашей организации.

  • Если ключ безопасности является USB-устройством, вставьте ключ безопасности в USB-порт устройства.
  • Если ваш ключ безопасности является устройством NFC, коснитесь ключа безопасности в своем средстве чтения.

  

  

  

  

  Удаление ключа безопасности из сведений безопасности

  Если вы потеряли или больше не хотите использовать ключ безопасности, его можно удалить из сведений безопасности. Хотя это не позволяет использовать ключ безопасности с рабочей или учебной учетной записью, он продолжает хранить ваши данные и учетные данные. Чтобы удалить данные и учетные данные из самого ключа безопасности, следуйте инструкциям в разделе «Сброс ключа безопасности» этой статьи.

  1. Выберите ссылку Удалить в удаляемом ключе безопасности.
  2. В поле Удалить ключ безопасности нажмите кнопку ОК.

  Ключ безопасности будет удален, и вы больше не сможете использовать его для входа в рабочую или учебную учетную запись.

  Важно: Если вы удалили ключ безопасности по ошибке, его можно зарегистрировать снова, следуя инструкциям в разделе «Регистрация ключа безопасности» этой статьи.

  Управление параметрами ключа безопасности из параметров Windows

  Вы можете управлять параметрами ключа безопасности из приложения «Параметры Windows», включая сброс ключа безопасности и создание ПИН-кода ключа безопасности.

  Сброс ключа безопасности

  Если вы хотите удалить все сведения об учетной записи, хранящиеся в физическом ключе безопасности, необходимо вернуть ключ обратно в заводские значения по умолчанию. При сбросе ключа безопасности удаляются все элементы из ключа, что позволяет начать все сначала.

  Важно: При сбросе ключа безопасности удаляются все элементы из ключа, а затем до заводских значений по умолчанию. Все данные и учетные данные будут очищены.

  1. Откройте приложение «Параметры Windows» , выберите Учетные записи, параметры входа, ключ безопасности и управление.
  2. Вставьте ключ безопасности в USB-порт или коснитесь устройства чтения NFC, чтобы проверить свою личность.
  3. Следуйте инструкциям на экране, основанным на конкретном изготовителе ключа безопасности. Если изготовитель ключа не указан в инструкциях на экране, дополнительные сведения см. на сайте изготовителя.
  4. Нажмите кнопку Закрыть, чтобы закрыть экран Управление.

  Создание ПИН-кода ключа безопасности

  Вы можете создать ПИН-код ключа безопасности для ключа безопасности.

  1. Откройте приложение «Параметры Windows» , выберите Учетные записи, параметры входа,ключ безопасности и управление.
  2. Вставьте ключ безопасности в USB-порт или коснитесь устройства чтения NFC, чтобы проверить свою личность.
  3. Выберите Добавить в области ПИН-код ключа безопасности, введите и подтвердите новый ПИН-код ключа безопасности, а затем нажмите кнопку ОК.
  4. Ключ безопасности обновляется новым ПИН-кодом ключа безопасности для использования с рабочей или учебной учетной записью. Если вы решите изменить ПИН-код еще раз, можно нажать кнопку Изменить.
  5. Нажмите кнопку Закрыть, чтобы закрыть экран Управление.

  Проверка безопасности и проверка подлинности сброса пароля

  Методы сведений безопасности используются как для двухфакторной проверки безопасности, так и для сброса пароля. Однако для обоих методов можно использовать не все методы.

  Используется для

  Двухфакторная проверка подлинности и проверка подлинности для сброса пароля.

  Двухфакторная проверка подлинности и проверка подлинности для сброса пароля.

  Двухфакторная проверка подлинности и проверка подлинности для сброса пароля.

  учетная запись Email

  Только проверка подлинности для сброса пароля. Вам потребуется выбрать другой метод для двухфакторной проверки.

  Только проверка подлинности для сброса пароля. Вам потребуется выбрать другой метод для двухфакторной проверки.

  Дальнейшие действия

  • Дополнительные сведения о методах проверки без пароля см. в Azure AD Корпорации Майкрософт начинает общедоступную предварительную версию ключей безопасности FIDO2, включение входа без пароля или прочитайте обзорнуюстатью Windows Hello.
  • Подробные сведения о ключах безопасности, соответствующих требованиям Майкрософт.
  • Сбросьте пароль, если вы потеряли или забыли его, на портале сброса паролей или выполните действия, описанные в статье Сброс рабочего или учебного пароля.
  Похожие публикации:

  1. Unity 2019 что это
  2. Как из visual studio отправлять проект на github
  3. Как из презентации вытащить текст
  4. Как установить windows рядом с linux