Fiksut rahoituslaitokset ovat nyt jättämässä tämän mallin taakseen ja siirtymässä moderniin kyberturvallisuusnäkemykseen – Zero Trust -suojausmalliin. Zero Trust -suojausmallin pääperiaatteena on, että oletusarvoisesti ei pidä luottaa yhteenkään sisä- tai ulkopuoliseen toimijaan, ja jokainen henkilö tai laite on vahvistettava tiukasti ennen käyttöoikeuden myöntämistä.

Linnan edusta on edelleen tärkeä, mutta enää ei tehdä yhä uusia sijoituksia muurien vahvistamiseen ja vallihautojen leventämiseen; Zero Trust -suojausmalli hallitsee monivivahteisemmin sitä, millaisia käyttöoikeuksia identiteetit, data ja laitteet saavat ”linnassa”. Toimipa sisäinen käyttäjä vahingoittamistarkoituksessa tai huolimattomasti – tai pääsivätpä verhoutuneet hyökkääjät linnan muurien sisäpuolelle – dataan ei anneta automaattisia käyttöoikeuksia.

Linna ja vallihauta -käytännön rajoitukset

Mitä tulee nykyajan yritysten digitaalisen omaisuuden turvaamiseen, vallihautaratkaisuun liittyy vakavia puutteita, koska kyberuhkien kehitys on muuttanut puolustamisen ja suojaamisen merkitystä. Pankkien tapaiset suuret organisaatiot käsittelevät hajaantuneita dataverkostoja ja sovelluksia, joita käyttävät niin työntekijät, asiakkaat kuin kumppanitkin sekä paikan päällä että verkossa. Tämä vaikeuttaa linnan edustan suojaamista. Ja vaikka vallihauta pitäisikin viholliset ulkopuolella, se ei juurikaan auta käyttäjiä, joiden tiedot ovat vaarantuneet; se ei myöskään suojaa muilta sisäpiirin uhkilta, jotka lymyävät linnan muurien sisäpuolella.

Kaikki alla olevat käytännöt aiheuttavat paljastumisen riskin, ja niitä käytetään usein sellaisissa pankeissa, jotka ovat valinneet tietoturvaratkaisukseen vallihautakäytännön:

• Henkilöstön käyttöoikeudet sovelluksiin tarkistetaan vuosittain.
• Monitulkintaiset ja epäyhtenäiset käyttöoikeuskäytännöt määräytyvät esimiesten harkinnan mukaan – eikä niiden hallinta ole riittävää, jos työntekijät siirtyvät toisiin töihin.
• IT-osasto käyttää liikaa järjestelmänvalvojan etuoikeutettuja tilejä.
• Asiakastiedot tallennetaan jaettuihin tiedostoresursseihin eikä juuri kenelläkään ole tietoa siitä, ketkä voivat käsitellä niitä.
• Käyttäjien todentamisessa luotetaan liiaksi salasanoihin.
• Tietojen luokittelua tai raportointia ei toteuteta, joten ei ole selvillä, mitä tietoja on missäkin.
• Erittäin luottamuksellisia tietoja sisältäviä tiedostoja siirretään usein USB-muistitikuilla.

Kuinka Zero Trust -suojausmalli voimaannuttaa pankkiireita ja asiakkaita

Zero Trust -suojausmallin edut on dokumentoitu perusteellisesti, ja yhä useammat reaalimaailman esimerkit todistavat, että tämä menetelmä olisi voinut estää monimutkaisia kyberhyökkäyksiä. Monien pankkien käytössä on kuitenkin edelleen käytäntöjä, jotka poikkeavat Zero Trust -suojausmallin käytännöistä.

Zero Trust -suojausmallia hyödyntämällä pankit voivat vahvistaa suojauksensa tilaa, minkä seurauksena pankit voivat tukea aloitteita, jotka lisäävät joustavuutta työntekijöiden ja asiakkaiden toimintaympäristössä. Sanotaan esimerkiksi, että pankinjohtajat haluaisivat vapauttaa asiakkaiden kanssa tekemisissä olevat työntekijät – kuten suhteista vastaavat päälliköt ja rahoituskonsultit – työpöytiensä äärestä tapaamaan asiakkaita muuallakin kuin pankin tiloissa. Nykyään monet rahoituslaitokset tukevat tällaista maantieteellistä joustavuutta analogisilla työkaluilla, niin että neuvot esitetään paperitulosteilla tai staattisissa näkymissä. Sekä pankkien työntekijät että asiakkaat ovat kuitenkin tottuneet dynaamisempaan kokemukseen, jossa hyödynnetään reaaliaikaisia tietoja.

Tietosuojan vallihautaratkaisuun luottavat pankit eivät mielellään päästä tietoja fyysisen verkon ulkopuolelle. Näin ollen tällaisten pankkien työntekijät ja rahoituskonsultit voivat hyödyntää hyviksi todettujen ja kurinalaisten sijoitusstrategioiden dynaamisia malleja vain, jos asiakastapaamiset toteutetaan pankin tiloissa.

Historiallisesti pankkiirien ja rahoituskonsulttien on ollut hankalaa jakaa reaaliaikaisia mallipäivityksiä tai tehdä aktiivista yhteistyötä muiden pankkiirien tai konsulttien kanssa, ainakin ilman VPN-verkkoa. Tällainen toiminta on kuitenkin tärkeä tekijä perusteltujen sijoituspäätösten ja asiakastyytyväisyyden osalta. Zero Trust -suojausmallia käytettäessä suhteista vastaava päällikkö tai analyytikko voi hyödyntää markkinatietopalveluiden näkemyksiä, yhdistää niitä omiin malleihinsa sekä työstää dynaamisesti asiakkaiden erilaisia skenaarioita missä ja milloin tahansa.

Hyvinä uutisina voidaan todeta, että meneillään on uusi älykkään tietosuojan aikakausi, joka saa voimansa pilvestä ja Zero Trust -suojausmallin arkkitehtuurista – ja joka voi virtaviivaistaa ja nykyaikaistaa pankkien tietosuojan ja vaatimustenmukaisuuden.

Microsoft 365 auttaa muuntamaan pankkien tietoturvan

Microsoft 365:n avulla pankit voivat ottaa käyttöön kolme avainstrategiaa, joiden avulla ne voivat heti alkaa siirtyä kohti Zero Trust -suojausmallia:

• Identiteetti ja varmistaminen – Ensinnäkin pankkien on varmistettava, että käyttäjät ovat juuri sitä mitä he sanovat olevansa, ja annettava käyttöoikeuksia käyttäjien roolien mukaisesti. Kun käytössä on Azure Active Directory (Azure AD), pankit voivat käyttää kertakirjautumista (SSO), jonka avulla varmistetut käyttäjät voivat muodostaa yhteyden sovelluksiin mistä tahansa, niin että liikkuvat työntekijät voivat käsitellä resursseja suojatusti tuottavuudestaan tinkimättä.

Pankit voivat käyttää myös tehokkaita varmennusmenetelmiä, kuten kaksiosaista todennusmenetelmää tai salasanatonta monimenetelmäistä todentamista (MFA), joka voi vähentää tietomurron riskiä jopa 99,9 prosenttia. Microsoft Authenticator tukee Push-ilmoituksia, kertakäyttöisiä tunnuskoodeja ja biometriaa kaikille Azure AD:hen yhdistetyille sovelluksille.

Windows-laitteiden osalta pankkien työntekijät voivat käyttää Windows Hello -toimintoa, joka on turvallinen ja kätevä kasvojentunnistustoiminto laitteisiin kirjautumista varten. Lisäksi pankit voivat käyttää Azure AD:n ehdollisia käyttöoikeuksia, joiden avulla resurssit voidaan suojata epäilyttäviltä pyynnöiltä käyttämällä sopivia käyttöoikeuskäytäntöjä. Microsoft Intune ja Azure AD toimivat yhdessä ja varmistavat, että vain hallitut ja yhteensopivat laitteet voivat käyttää Office 365 -palveluita, kuten sähköpostia ja paikallisia sovelluksia. Intunen avulla voidaan myös arvioida laitteiden vaatimustenmukaisuutta. Ehdollista käyttöoikeuskäytäntöä sovelletaan laitteen vaatimustenmukaisuuden perusteella sillä hetkellä, kun käyttäjä yrittää käsitellä tietoja.

Ehdollisen käyttöoikeuden kuva.

• Suoja uhkilta – Microsoft 365:n avulla pankit voivat myös parantaa kykyään suojautua hyökkäyksiltä, havaita hyökkäykset ja vastata hyökkäyksiin, kun käytössä on Microsoft Threat Protectionin integroitu ja automatisoitu suojaus. Siinä käytetään erästä maailman suurimmista uhkasignaaleista, joka on saatavilla Microsoft Intelligent Security Graphin kautta, sekä edistynyttä automaatiota, joka tekoälyn (AI) avulla tehostaa tapausten tunnistamista ja niihin vastaamista, niin että tietoturvatiimit voivat selvittää uhkatilanteet tarkasti, tehokkaasti ja joutuisasti. Microsoft 365 -tietoturvakeskuksessa on keskitetty keskitin sekä erikoistunut työtila, niin että Microsoft 365:n älykkäitä tietoturvaratkaisuja voidaan hallita ja hyödyntää täysin niin käyttäjätietojen ja käytön hallinnan, uhkilta suojautumisen, tietojen suojauksen kuin tietoturvan hallinnankin osalta.

Kuvassa on Microsoft 365 -tietoturvakeskus.

• Tietojen suojaus – Käyttäjätiedot ja laitteet ovat alttiita kyberhyökkäyksille, mutta kyberrikolliset ovat ennen kaikkea tietojen perässä. Microsoft Information Protectionin avulla pankit voivat parantaa arkaluontoisten tietojensa suojausta – missä ne sitten sijaitsevat tai liikkuvatkaan. Microsoft 365:n avulla asiakkaat voivat 1) tunnistaa ja luokitella arkaluonteiset tietonsa, 2) hyödyntää joustavia suojauskäytäntöjä sekä 3) valvoa ja oikaista uhattuja arkaluonteisia tietoja.

Esimerkki luokittelu- ja suojausskenaariosta.

Yksinkertaista suojauksen hallintaa Zero Trust -suojausmallilla

Microsoft 365 auttaa yksinkertaistamaan tietosuojan hallintaa modernissa Zero Trust -suojausmallin arkkitehtuurissa hyödyntämällä läpinäkyvyyttä, skaalaa ja tietoja, joita tarvitaan kyberrikollisuuden vastustamiseen.

Kun pohdit, miten voisit suojata nykyajan ”linnasi”, Zero Trust -suojausmallia hyödyntävä ympäristö on paras mahdollinen ratkaisu kyberuhkien torjuntaan. Zero Trust -suojausmallin ympäristössä seurataan jatkuvasti sitä, kuka käsittelee mitä, missä ja milloin – ja pitäisikö kyseisellä käyttäjällä edes olla käyttöoikeutta.

Microsoft 365:n tietoturva- ja vaatimustenmukaisuustoimintojen avulla organisaatiot voivat suorittaa varmistuksen, ennen kuin käyttäjään tai laitteeseen luotetaan. Microsoft 365 tarjoaa myös täysin kattavan tiimityö- ja tuottavuusratkaisun. Kaiken kaikkiaan Microsoft 365 on kattava ratkaisu, jonka avulla pankinjohtajat voivat keskittyä asiakkaisiin ja innovointiin.

The post Pankit valitsevat modernin suhtautumisen kyberturvallisuuteen – Zero Trust -suojausmalli appeared first on Microsoft 365 Blog.

Lisäksi suurennamme erillisen OneDrive-palvelupaketin tallennustilan 50 Gt:sta 100 Gt:uun ilman lisämaksua, ja annamme Office 365 -tilaajille uuden vaihtoehdon tallennustilan lisäämiseen tarvittaessa.

OneDriven Henkilökohtainen säilö

OneDrive toimii luotetussa Microsoftin pilvipalvelussa, jossa tiedostosi pidetään turvassa monilla suojaustavoilla. Ymmärrämme kuitenkin, että jotkut ihmiset haluavat lisäsuojaa tärkeimmille ja luottamuksellisimmille tiedostoilleen. Siksi esittelemme Henkilökohtaisen säilön.

Henkilökohtainen säilö on OneDrivessa oleva suojattu alue, jota voi käyttää vain vahvalla todentamismenetelmällä tai toisella käyttäjätietojen tarkistusvaiheella, kuten sormenjäljellä, kasvoilla, PIN-koodilla tai sähköpostin tai tekstiviestin kautta lähetetyllä koodilla.¹ Henkilökohtaisessa säilössä olevilla tiedostoillasi on lisäsuojaustaso, mikä parantaa niiden suojausta, jos joku muu pääsee käyttämään tiliäsi tai laitettasi.

Tämä parannettu suojaus ei myöskään heikennä käyttömukavuutta. Kaikkia Henkilökohtaisessa säilössä olevia asiakirjojasi, valokuviasi ja videoitasi on helppo käyttää Onedrive.comissa, tietokoneessasi tai muissa yhteensopivissa laitteissa.²

Henkilökohtainen säilö parantaa OneDriven jo ennestään vahvaa suojausta ja tietoturvaa, johon kuuluvat sekä levossa säilytettävien että siirrettävien tiedostojen salaus, epäilyttävien toimintojen seuranta, kiristysohjelmien tunnistus ja palautus, tiedostojen massapoistoilmoitukset ja palauttaminen, ladattavien tiedostojen virustarkistus tunnettujen uhkien varalta ja kaikkien tiedostotyyppien versiohistoria.

Helppokäyttöinen

Anna PIN-koodi tai käytä sormenjälkeäsi, kasvojasi tai sähköpostin tai tekstiviestin kautta saamaasi koodia¹ tiedostojen lukituksen avaamiseen ja käyttöön. Salasanoja ei tarvitse muistaa. Henkilökohtaisen säilön lukitus voidaan avata lisäksi Microsoft Authenticator -sovelluksella. Minkä tavan valitsetkin, lukituksen avaaminen on nopeaa ja kätevää ja auttaa suojaamaan tietosi.

Skannaus ja kuvaus suoraan Henkilökohtaiseen säilöön

OneDrive-mobiilisovelluksen avulla voit skannata asiakirjoja, ottaa kuvia tai kuvata videoita suoraan Henkilökohtaiseen säilöösi ja siten pitää ne poissa laitteesi heikommin suojatuilta alueilta, kuten kameran kuvakansiosta. Matkustukseen, henkilöllisyyteen, ajoneuvoon, asuntoon tai vakuutuksiin liittyvät asiakirjat on helppo skannata suoraan Henkilökohtaiseen säilöösi. Voit käyttää näitä asiakirjoja kaikkialla kaikissa yhteensopivissa laitteissasi.²

Lisäsuojaus tietokoneessasi ja sen ulkopuolella

Henkilökohtainen säilö käyttää muutakin kuin vain kaksivaiheista tarkistamista tiedostojen pitämisessä turvassa ja yksityisinä. Windows 10 -tietokoneissa OneDrive synkronoi Henkilökohtaisessa säilössäsi olevat tiedostot paikallisen kiintolevysi BitLocker-salatun alueen kanssa. Kaikkien OneDrivessa olevien tiedostojen tapaan Henkilökohtaisen säilösi sisältö on salattua Microsoftin pilvipalvelussa sekä levossa säilytettäessä että laitteeseesi siirrettäessä. Mobiililaitteiden suojauksen parantamiseksi on suositeltavaa, että otat salauksen käyttöön iOS- tai Android-laitteessasi. Yhdessä nämä toimet auttavat pitämään tiedostosi suojattuina, vaikka Windows 10 -tietokoneesi tai mobiililaitteesi katoaisi tai varastettaisiin tai joku muu pääsisi käyttämään sitä.

Automaattinen lukitus lyhyen käyttämättömyysjakson jälkeen

Henkilökohtainen säilö lukkiutuu automaattisesti tietokoneessasi, laitteessasi tai verkossa lyhyen käyttämättömyysjakson jälkeen. Lukkiutumisen jälkeen myös kaikki käyttämäsi tiedostot ovat lukkiutuneita, ja niiden käyttö edellyttää uudelleentodennusta. Sinun ei siis tarvitse murehtia, jätitkö Henkilökohtaisen säilösi tai tiedostosi avoimiksi – molemmat sulkeutuvat ja lukkiutuvat automaattisesti käyttämättömyyden jälkeen.³

Saatavilla pian

Tarjoamme nämä uudet ominaisuudet ihmisille, jotka käyttävät OneDrivea verkossa mobiilisovelluksellamme tai Windows 10 -tietokoneessa. Henkilökohtaisen säilön käyttöönotto aloitetaan lähiaikoina Australiassa, Uudessa-Seelannissa ja Kanadassa, ja se on kaikkien käytettävissä vuoden loppuun mennessä.

Jos sinulla on jo yksi OneDrive ennestään, Henkilökohtainen säilösi näkyy ominaisuuspäivityksenä, kun se otetaan käyttöön alueellasi myöhemmin tänä vuonna. Jos et vielä ole OneDrive-asiakas, voit ladata sovelluksen tai siirtyä osoitteeseen www.onedrive.com ja aloittaa sen käytön tietokoneessasi tai verkossa. Jos käytät OneDriven maksutonta versiota tai erillistä 100 Gt:n palvelupakettia, voit kokeilla Henkilökohtaista säilöä rajoitetulla tiedostomäärällä. Office 365 -tilaajat voivat tallentaa Henkilökohtaiseen säilöön niin monta tiedostoa kuin haluavat enimmäistallennusrajaansa saakka.

OneDrive saa lisää tallennusvaihtoehtoja

Nyt kerromme myös kahdesta tallennuspalvelupakettien päivityksestä.

Tallenna entistä enemmän OneDriven 100 Gt:n palvelupaketin avulla – suurennamme erillisen OneDrive-palvelupaketin tallennustilan 50 Gt:sta 100 Gt:uun⁴ kuukausihinnan $1,99 pysyessä samana. Tähän tilaan mahtuu yli 50 000 kuvaa (kunkin valokuvan koko 2 Mt). Tämä uusi palvelupaketti sopii erinomaisesti puhelimesi kameran kuvakansion varmuuskopiointiin ja esimerkiksi asiakirjojen ja kuittien tallentamiseen suoraan puhelimestasi. Voit myös käyttää sitä tiedostojesi varmuuskopiointiin, asiakirjojen jakamiseen ja yhteiskäyttöön. Uusi palvelupaketti otetaan käyttöön pian. Jos käytät tällä hetkellä 50 Gt:n palvelupakettiamme, saat automaattisesti 50 Gt lisää tallennustilaa tilillesi ilman lisämaksua. Lisätietoja on artikkelissa OneDrive-palvelupaketit.

Hanki lisää OneDrive-tallennustilaa, kun tarvitset sitä – Office 365 -tilauksessasi on aluksi 1 Tt OneDrive-tallennustilaa, mutta monet ovat pyytäneet vielä enemmän tilaa. Nyt ilmoitamme OneDrive-lisätallennustilasta, joka on saatavissa olemassa olevaan Office 365 -tilaukseesi ja jonka avulla voit tallentaa tarvittaessa entistäkin enemmän. Voit lisätä tallennustilaa 200 Gt:n askelin alkaen hintaan $1,99 kuukaudessa aina 1 Tt:uun saakka hintaan $9,99 kuukaudessa.

Jos tarvitset 2 Tt tallennustilaa, meillä on nyt sinulle vaihtoehto. Maksa vain siitä, mitä tarvitset, ja suurenna tai pienennä lisätallennustilaasi tai peruuta se milloin tahansa. OneDrive-lisätallennustila tulee saataville lähikuukausina kaikkialla, missä Office 365 on saatavilla.

Kerro meille mielipiteesi

Jos haluat kertoa ajatuksistasi tai jakaa ajatuksesi ja ideasi, siirry OneDriven UserVoice-keskustelupalstalle. Tukisivullamme on lisätietoja kaikista Office 365 Home- ja Office 365 Personal -tilausten kehittyneistä suojausominaisuuksista.

Huomautuksia
¹ Kasvojen ja sormenjälkien tunnistaminen edellyttää erikoislaitteistoa, johon sisältyy Windows Hello -yhteensopiva laite, sormenjälkilukija, valaistu infrapunatunnistin tai muita biometrisiä tunnisteita ja yhteensopivia laitteita.
² Androidin ja iOS:n OneDrive-mobiilisovellus vaatii joko Android 6.0:n tai uudemman version tai iOS 11.3:n tai uudemman version.
³ Automaattisen lukituksen aikaväli määräytyy laitteen mukaan ja on käyttäjän määritettävissä.
⁴ 100 Gt:n palvelupaketti tarjoaa 102 400 Mt tallennustilaa.

The post OneDriven Henkilökohtainen säilö tuo lisäsuojaa tärkeimmille tiedostoillesi, ja OneDrive saa lisää tallennusvaihtoehtoja appeared first on Microsoft 365 Blog.

Tervehdys

Olen innoissani voidessani jakaa uusimmat uutiset! Otimme juuri käyttöön mahdollisuuden kirjautua sisään suojatusti Microsoft-tilille standardeihin perustuvaa FIDO2-yhteensopivaa laitetta käyttämällä – käyttäjänimeä tai salasanaa ei tarvita! FIDO2:n avulla käyttäjät voivat standardeihin perustuvia laitteita hyödyntämällä kirjautua verkkopalveluihin helposti – sekä mobiili- että työpöytäympäristöissä. Palvelu on tällä hetkellä saatavana Yhdysvalloissa, maailmanlaajuinen käyttöönotto on lähiviikkoina.

Tämä helppokäyttöisyyden, suojauksen ja toimialan laajan tuen yhdistelmä on mullistava niin kotona kuin modernilla työpaikallakin. Joka kuukausi yli 800 miljoona ihmistä käyttää Microsoft-tiliä luomiseen, yhteyden muodostamiseen ja jakamiseen mistä tahansa Outlookiin, Officeen, OneDriveen, Bingiin, Skypeen ja Xbox Liveen niin työ- kuin vapaa-ajankin asioissa. Nyt kaikki nämä käyttäjät hyötyvät tästä yksinkertaisesta käyttökokemuksesta ja parannetusta suojauksesta.

Tästä päivästä lähtien voit kirjautua sisään Microsoft-tilille FIDO2-laitteella tai Windows Hellon avulla Microsoft Edge -selainta käyttämällä.

Tässä lyhyessä videossa esitellään sen toimintaa:

Microsoft on pyrkinyt poistamaan käytöstä salasanoja ja auttamaan käyttäjiä suojaamaan tietonsa ja tilinsä uhkilta. Fast Identity Online (FIDO) Alliancen ja World Wide Web Consortiumin (W3C) jäsenenä olemme tehneet yhteistyötä muiden toimijoiden kanssa avoimien standardien kehittämiseksi todentamisen uudelle sukupolvelle. Minulla on ilo kertoa, että Microsoft on ensimmäinen Fortune 500 -yritys, joka tukee salasanatonta kirjautumista WebAuthn- ja FIDO2-määrityksiä käyttämällä, ja Microsoft Edge tukee laajinta todentajajoukkoa muihin suuriin selaimiin verrattuna.

Lisätietoja käytöstä ja aloittamisesta saat jatkamalla tämän artikkelin lukemista.

Aloittaminen

Kirjautuminen Microsoft-tilille FIDO2-suojausavaimella:

1. Varmista, että teet Windows 10:n lokakuun 2018 päivityksen, jos et ole sitä vielä tehnyt.
2. Siirry Microsoft-tilin sivulle Microsoft Edgessä ja kirjaudu sisään normaalin tapaan.
3. Valitse Suojaus> Lisää suojausasetuksia. Windows Hello ja suojausavaimet -kohdassa näet ohjeet suojausavaimen määrittämiseen. (Voit ostaa suojausavaimen joltakin kumppaneistamme, kuten Yubicolta tai Feitian Technologiesilta, jotka tukevat FIDO2-standardia.*)
4. Kun seuraavan kerran kirjaudut sisään, voit valita joko Lisäasetukset > Käytä suojausavainta tai kirjoittaa käyttäjänimesi. Siinä vaiheessa sinua pyydetään käyttämään suojausavainta sisäänkirjautumiseen.

Seuraavassa on muistutuksena ohjeet Microsoft-tilille kirjautumisesta Windows Hellon avulla:

1. Varmista, että käytössäsi on Windows 10:n lokakuun 2018 päivitys.
2. Sinun pitää määrittää Windows Hello, jos et ole sitä vielä tehnyt. Kun Windows Hellon määritys on valmis, olet valmis aloittamaan!
3. Kun seuraavan kerran kirjaudut Microsoft Edgessä, voit valita joko Lisäasetukset > Käytä Windows Helloa tai suojausavainta tai kirjoittaa käyttäjänimesi. Siinä vaiheessa sinua pyydetään käyttämään Windows Helloa tai suojausavainta sisäänkirjautumiseen.

Lisätietoja aloittamisesta on yksityiskohtaisessa ohjeartikkelissamme.

*FIDO2-määrityksessä on muutama valinnainen ominaisuus, jotka ovat mielestämme olennaisia suojauksen kannalta, joten ainoastaan suojausavaimet, joissa nämä ominaisuudet ovat käytössä, toimivat. Lisätietoja on artikkelissa Mikä Microsoft-yhteensopiva suojausavain on?.

Miten se toimii?

Otimme taustalla WebAuthn- ja FIDO2 CTAP2 -määritykset käyttöön palveluissamme tämän kaiken toteuttamiseksi.

Salasanoista poiketen FIDO2 suojaa käyttäjien tunnistetietoja julkisella tai yksityisellä avaimen salauksella. FIDO2-tunnistetiedon luomisen ja rekisteröimisen jälkeen laite (tietokoneesi tai FIDO2-laite) luo yksityisen ja julkisen avaimen laitteeseen. Yksityinen avain tallennetaan laitteeseen suojatusti, ja sitä voidaan käyttää vasta, kun sen lukitus on poistettu paikallisella eleellä, kuten biometrisellä tunnistamisella tai PIN-koodilla. Ota huomioon, että biometrinen tunnistus tai PIN-koodi ei koskaan poistu laitteesta. Samaan aikaan yksityisen avaimen tallentamisen kanssa julkinen avain lähetetään Microsoft-tilin järjestelmään pilvipalveluun ja rekisteröidään käyttäjätilisi kanssa.

Kun myöhemmin kirjaudut sisään, Microsoft-tilin järjestelmä antaa noncen tietokoneeseesi tai FIDO2-laitteeseen. Tietokone tai laite käyttää sitten yksityistä avainta noncen allekirjoittamiseen. Allekirjoitettu nonce ja metatiedot lähetetään takaisin Microsoft-tilin järjestelmään, jossa se todennetaan julkista avainta käyttämällä. Allekirjoitetut metatiedot tarjoavat WebAuthn- ja FIDO2-määritteiden määritysten mukaisesti tietoja esimerkiksi käyttäjän läsnäolosta ja vahvistavat todentamisen paikallisen eleen kautta. Näiden ominaisuuksien ansiosta tietojen kalastelu ei ole mahdollista eivätkä haittaohjelmistot pysty helposti varastamaan tietoja todennettaessa Windows Hellon ja FIDO2-laitteiden avulla.

Miten tämä on otettu käyttöön Windows Hellossa ja FIDO2-laitteissa? Windows 10 -laitteesi ominaisuuksien mukaan käytössäsi on joko sisäinen, suojattu enklaavi eli laitteiston TPM (trusted platform module) tai ohjelmiston TPM. TPM sisältää yksityisen avaimen, jonka lukituksen poistaminen edellyttää kasvo-, sormenjälki- tai PIN-koodi-tunnistusta. FIDO2-laite on suojausavaimen tapaan pieni ulkoinen laite, jonka sisäiseen, suojattuun enklaaviin on tallennettu yksityinen avain ja jonka lukituksen poistaminen edellyttää biometristä tunnistusta tai PIN-koodia. Kummassakin on saatavana kaksiosainen todentaminen yhdessä vaiheessa. Se edellyttää onnistunutta kirjautumista sekä rekisteröidyllä laitteella että biometrisellä tunnistamisella tai PIN-koodilla.

Tutustu tähän käyttäjätietojen standardeista kertovassa blogissamme olevaan artikkeliin, jossa kerrotaan tarkemmin käyttöönoton teknisistä yksityiskohdista.

Seuraavaksi

Tulossa on runsain määrin hienoja asioita, jotka ovat osa ponnistelujamme vähentää salasanojen käyttöä ja jopa lopettaa niiden käyttö kokonaan. Olemme parhaillaan luomassa samaa sisäänkirjautumiskokemusta selaimesta suojausavaimella työpaikka- ja oppilaitostileille Azure Active Directoryssa. Tämä tulee esikatseltavaksi yritysasiakkaille ensi vuoden alussa, jolloin yritykset voivat antaa työntekijöidensä määrittää omat suojausavaimet tililleen sisäänkirjautumista varten Windows 10:een ja pilvipalveluun.

Lisäksi kun yhä useammat selaimet ja ympäristöt alkavat tukea WebAuthn- ja FIDO2-standardeja, salasanaton käyttökokemus – tällä hetkellä saatavana Microsoft Edgessä ja Windowsissa – on toivottavasti saatavana kaikkialla!

Lisää tietoja ensi vuoden alussa – pysy kuulolla!

Ystävällisin terveisin
Alex Simons (@Twitter: @Alex_A_Simons)
Varapääjohtaja – ohjelman hallinta
Microsoftin käyttäjätietojen osasto

The post Suojattu salasanaton kirjautuminen Microsoft-tilille suojausavaimen tai Windows Hellon avulla appeared first on Microsoft 365 Blog.

ElitePOS modernisoi jälleenmyynnin myyntipistelaitteen innovatiivisella, tyylikkäällä ja modulaarisella muotoilullaan. Se tukee muitakin käyttötapoja kuin kassapalveluita, jotta jälleenmyynti- ja palvelualoilla voidaan tarjota yhdenmukainen ja vaikuttava palvelukokemus. Jälleenmyyjät voivat pitää myymälätilan palvelutiskin siistinä lisävarusteiden avulla. Niitä ovat esimerkiksi jalustaan integroitu kuittitulostin ja näyttöön sisäänrakennettu magneettinauhan lukulaite.

ElitePOS kestää kovaa käyttöä ja sen elinkaari on pitkä, mikä on tärkeää jälleenmyyjille. Järjestelmä on saanut useita Yhdysvaltain armeijan MIL-STD-kestävyysluokituksia, se käsittelee nesteroiskeet kanavoimalla nesteen pois laitteen komponenteista ja takaa tehokkaan jäähdytyksen ja tuuletuksen luotettavuuden parantamiseksi. Asiakaspalvelu helpottuu Windows 10:n tai Windows IoT:n, nopean DDR4-muistin sekä 7. sukupolven Intel Core -suorittimien ja valinnaisen vPro-teknologian ansiosta.

Tietoturva on edelleen suuri huolenaihe jälleenmyynti- ja palvelualoilla, joten ElitePOS sisältää sekä laitteistopohjaisia että integroituja ohjelmistojen suojaustoimintoja. Näitä ovat esimerkiksi seuraavat:

• BIOS-hyökkäyksiltä suojaava HP Sure Start Gen3, alan ensimmäinen itsekorjautuva BIOS ja alan johtava HP BIOSphere Gen3 -laitteistoekosysteemi.
• Käyttäjien todennusteknologia, mukaan lukien valinnainen sormenjälkilukija ja Windows Hello, luvattoman käytön estämiseksi, Credential Guard käyttäjien turvalliseen todentamiseen ja salasanasuojaukseen sekä Device Guard, jonka avulla IT-päälliköt voivat luoda sääntöjä sille, että myyntipistejärjestelmässä suoritetaan vain luotettuja ja hyväksyttyjä sovelluksia, jotta voidaan suojautua USB-portin kautta tapahtuvilta matalan tason hyökkäyksiltä.
• Laitteen fyysinen suojaus ja valinnainen myyntitiskiin kiinnitys tai VESA-kiinnitys ja K-Lock-ominaisuudet.

ElitePOS tulee näillä näkymin saataville elokuussa 2017. Jos haluat lisätietoja myyntipistejärjestelmästä, mene osoitteeseen hp.com/go/elitepos, tai tule tutustumaan ElitePOS-järjestelmään RetailNow-tapahtumaan 6.–9. elokuuta 2017 paikalle 410–412.

The post HP julkistaa Windows 10:een perustuvan uuden myyntipistejärjestelmän appeared first on Microsoft 365 Blog.