Όπως φαίνεται τα Windows 10 θα χρησιμοποιήσουν πρότυπα που βασίζονται σε έλεγχο ταυτότητας δύο παραγόντων για κάθε συσκευή. Η εταιρεία θεωρεί το μέτρο απαραίτητο για την αποτελεσματική άμυνα στις επιθέσεις phishing και γενικότερα στις παραβιάσεις δεδομένων μέσω ενός μη ισχυρού κωδικού πρόσβασης. Η εταιρεία ανακοίνωσε νέες δυνατότητες που αποσκοπούν στη διασφάλιση των εταιρικών συστημάτων από επιθέσεις malware και διαρροές δεδομένων.
Οι περισσότεροι για την πρώιμη κυκλοφορία των Windows 10 Technical Preview, αναφέρουν σαν “γεγονός της χρονιάς” την επιστοφή του μενού Έναρξης, τα virtual desktops, και άλλα ορατά σημεία που έρχονται για μια καλύτερη και μια πιο διαισθητική εμπειρία του χρήστη. Η εταιρεία όμως αναφέρει ότι το νέο λειτουργικό θα φέρει πολύ πιο σημαντικές αλλαγές, ειδικά στον κρίσιμο τομέα της ασφάλειας.
Αν ψάξετε πραγματικά στα νέα Windows, θα δείτε μια νέα υπηρεσία που ονομάζεται Διαπιστευτήρια Νέας Γενιάς ή Next Generation Credentials, η οποία ναι μεν είναι εγκατεστημένη, αλλά δεν λειτουργεί στα preview builds.
Σήμερα, η Microsoft αποκάλυψε περισσότερες λεπτομέρειες σχετικά με τα σχέδιά της να “μεταφέρει κόσμο μακριά από τη χρήση των ενιαίων επιλογών ελέγχου ταυτότητας, όπως τους κωδικούς πρόσβασης.” Η λειτουργία, η οποία δεν είναι προς το παρόν ενεργοποιημένη στα Windows 10 Technical Preview builds, θα επιτρέπει στους ιδιοκτήτες των συστημάτων με το νέο λειτουργικό (PC, tablet ή κινητό) για να χαρακτηρίζουν αυτή τη συσκευή τους σαν αξιόπιστη για τους σκοπούς μιας πιστοποίησης. Σε συνδυασμό με ένα PIN με κάποιο βιομετρικό αποδεικτικό μέσο, όπως ένα δακτυλικό αποτύπωμα παραδείγματος χάρη, ο χρήστης θα είναι σε θέση να συνδεθεί με οποιαδήποτε υποστηριζόμενη κινητή υπηρεσία.
Το ΡΙΝ, αναφέρει η Microsoft, μπορεί να είναι οποιοσδήποτε συνδυασμός από αλφαριθμητικούς χαρακτήρες – δεν θα περιορίζεται σε ένα μικρό αριθμητικό κωδικό. Αν αυτό το PIN κλαπεί σε μια παραβίαση δεδομένων ή επίθεση phishing, ο κλέφτης δεν θα είναι σε θέση να έχει πρόσβαση σε οποιαδήποτε υπηρεσία, επειδή το υλικό μέρος (το μηχάνημα με την συσκευή για τον βιομετρικό έλεγχο, όπως μια οθόνη αφής) της απαίτησης ελέγχου ταυτότητας δύο παραγόντων δεν είναι παρόν. Ομοίως, μια κλεμμένη συσκευή χωρίς το απαραίτητο PIN θα είναι άχρηστη.
Το σύστημα ελέγχου ταυτότητας δεν κατασκευάστηκε εξολοκλήρου από την Microsoft. Είναι βασισμένο σε πρότυπα της FIDO Alliance, την οποία στηρίζουν γίγαντες της πληροφορικής γίγαντες (Google, Microsoft, Lenovo, και άλλοι), τράπεζες και εταιρείες πληρωμών (BofA, PayPal, Visa και MasterCard), αλλα και καθιερωμένες επιχειρήσεις ασφαλείας όπως η RSA και η IdentityX.
Στην ίδια τη συσκευή, τα απαιτούμενα δημόσια και ιδιωτικά κλειδιά μπορούν να εκδίδονται κατευθείαν από μια επιχείρηση, χρησιμοποιώντας την υπάρχουσα υποδομή PKI, ενώ οι καταναλωτικές συσκευές θα μπορούν να τα έχουν από τα Windows 10 τα οποία θα μπορούν επίσης να τα παράγουν.
Σύμφωνα με τη Microsoft, οι χρήστες των Windows 10 θα είναι σε θέση να προσθέσουν στον αξιόπιστο υπολογιστή τους, οποιαδήποτε ή όλες τις συσκευές τους με αυτές τις νέες πιστοποιήσεις. Ως εναλλακτική λύση, θα μπορούν να επιλέξουν να προσθέσουν μία μόνο συσκευή, η οποία στη συνέχεια θα χρησιμεύει σαν μια εικονική έξυπνη κάρτα. Ένα κινητό τηλέφωνο, για παράδειγμα, θα μπορεί να προσφέρει ελέγχο ταυτότητας δύο παραγόντων μέσω Bluetooth ή Wi-Fi για την προσθήκη τοπικών συσκευών ή πρόσβαση σε απομακρυσμένους πόρους.
Τα tokens πρόσβασης των χρηστών θα αποθηκεύονται σε ένα εικονικό ασφαλές μέρος που θα τρέχει με τεχνολογία Hyper-V, εξαλείφοντας την αποτελεσματικότητα κοινών επιθέσεων όπως το Pass The Hash.
Στις σημερινές ανακοινώσεις η Microsoft ανέφερε επίσης δύο νέα χαρακτηριστικά των Windows 10 που θα ενισχύσουν την ασφάλεια στις επιχειρήσεις των πελατών της.
Το πρώτο είναι ένα σύνολο δυνατοτήτων πληροφόρησης-προστασίας που θα καθιστά δυνατή την προστασία των εταιρικών δεδομένων, ακόμη και στις συσκευές που ανήκουν στους εργαζόμενους. Τα Windows 10, όπως αναφέρει η εταιρεία, θα επιτρέπουν στους διαχειριστές δικτύου να μπορούν να καθορίσουν τις πολιτικές που θα κρυπτογραφούν αυτόματα ευαίσθητες πληροφορίες, συμπεριλαμβανομένων των εταιρικών εφαρμογών, δεδομένων, ηλεκτρονικό ταχυδρομείο, καθώς και το περιεχόμενο των intranet sites.
Επειδή αυτή η κρυπτογράφηση θα κατασκευαστεί σε κοινά πάνελ ελέγχου των Windows, όπως το Άνοιγμα και Αποθήκευση διαλόγου, θα είναι διαθέσιμη σε όλες τις εφαρμογές των Windows που χρησιμοποιούν αυτά τα στοιχεία ελέγχου. Για την ενίσχυση της ασφάλειας, οι διαχειριστές θα μπορούν να δημιουργήσουν λίστες των εφαρμογών που επιτρέπεται να έχουν πρόσβαση σε κρυπτογραφημένα δεδομένα, καθώς και εκείνων που δεν θα έχουν πρόσβαση στη διαχείριση του δικτύου και θα μπορούν να επιλέξουν να μην παραχωρούν πρόσβαση σε υπηρεσίες cloud όπως το Dropbox, για παράδειγμα.
Τέλος ένα μέτρο ασφαλείας που είναι φτιαγμένο για εταιρείες υψηλού προφίλ με ανάγκες υψηλής ασφάλειας, όπως οι τράπεζες, ή ο τομέας της άμυνας και οι κυβερνητικοί οργανισμοί. Με τα Windows 10 Enterprise και ένα ειδικά διαμορφωμένο OEM hardware, οι διαχειριστές θα είναι σε θέση να κλειδώνουν τελείως όλες τις συσκευές, για να μην είναι σε θέση να εκτελέσουν μη αξιόπιστο κωδικό.
Με αυτήν τη ρύθμιση, οι μόνες εφαρμογές που θα επιτρέπεται να εκτελέσετε είναι εκείνες που έχουν συνάψει συμφωνία με τη Microsoft που εξέδωσε και υπέγραψε το πιστοποιητικό ασφαλείας (certificate). Οι εφαρμογές αυτές περιλαμβάνουν κάθε app από το κατάστημα των Windows, καθώς και desktop εφαρμογές που έχουν εγκριθεί από τη Microsoft. Επιχειρήσεις με εσωτερικές γραμμές και εταιρικές εφαρμογές θα μπορούν να έχουν τη δική τους γεννήτρια για κλειδιά ασφαλείας, η οποία θα επιτρέψει σε αυτές τις εφαρμογές να τρέχουν στο δίκτυό τους, αλλά δεν θα λειτουργούς εκτός δικτύου.