כיום, מוסדות פיננסיים מנוסים עוזבים פרדיגמה זו ומיישמים גישה מודרנית לאבטחת סייבר – מודל 'אפס אמון'. הקו המנחה את המודל 'אפס אמון' הוא לא לתת אמון באף אחד – פנימי או חיצוני – כברירת מחדל, והוא מחייב אימות קפדני של כל אדם או מכשיר לפני שהוא מעניק לו גישה.

המערכות ההיקפיות של המצודה ממשיכות להיות חשובות, אולם במקום להשקיע עוד ועוד בחומות מבוצרות יותר ובתעלות רחבות יותר, מודל 'אפס אמון' נוקט גישה מגוונת יותר לניהול הגישה לזהויות, לנתונים ולמכשירים בתוך המצודה המפורסמת. לכן, בין שגורם פנימי הפועל בצורה זדונית או רשלנית, או גורם חיצוני סמוי מצליחים לחדור דרך חומות המצודה, הם לא מקבלים גישה אוטומטית לנתונים.

המגבלות של גישת 'המצודה והתעלה'

בכל הנוגע לנכס הדיגיטלי הארגוני של ימינו, גישת "המצודה והתעלה" כוללת מגבלות קריטיות משום שהתקדמות איומי הסייבר שינתה את המשמעות של "להדוף ולהגן". ארגונים גדולים, כולל בנקים, מתמודדים עם רשתות מבוזרות ויישומים שניגשים אליהם עובדים, לקוחות ושותפים באתר עצמו או באופן מקוון. עובדה זו מקשה את משימת ההגנה על המערכות ההיקפיות של המצודה. ואפילו אם התעלה יעילה בהדיפת האויבים, היא אינה מועילה מאוד למשתמשים שהזהות שלהם נחשפה לסכנה או מגנה מפני איומים פנימיים אחרים שאורבים בתוך חומות המצודה.

שיטות העבודה הבאות הן כולן מקורות לחשיפה והן נפוצות בבנקים שמסתמכים על גישת "המצודה והתעלה" לאבטחה:

• ביקורת שנתית יחידה של זכויות הגישה של הצוות ליישומים.
• מדיניות מעורפלת ולא עקבית בנושא זכויות גישה, התלויה בשיקול דעתו של המנהל ופיקוח מועט מדי על הפעולות של הצוות.
• שימוש מרובה מדי של חשבונות ניהוליים מורשים על-ידי מחלקת ה- IT.
• נתונים של לקוחות המאוחסנים בשיתופי קבצים מרובים ואי-ידיעה לגבי המשתמשים הניגשים אליהם.
• הסתמכות יתר על סיסמאות לאימות של משתמשים.
• העדר סיווג ודיווח נתונים המאפשרים לדעת באילו נתונים מדובר והיכן הם נמצאים.
• שימוש תכוף בכונני הבזק מסוג USB להעברת קבצים הכוללים נתונים רגישים במיוחד.

כיצד מודל 'אפס אמון' מעצים בנקאים ולקוחות

היתרונות של גישת 'אפס אמון' תועדו היטב ומספר הולך וגדל של דוגמאות בעולם האמיתי מגלות שגישה זו היתה יכולה למנוע מתקפות סייבר מתוחכמות. עם זאת, בנקים רבים כיום עדיין מאמצים שיטות עבודה שאינן מצייתות לעקרונות של 'אפס אמון'.

אימוץ של מודל 'אפס אמון' יכול לעזור לבנקים לחזק את מצב האבטחה שלהם, כדי שהם יוכלו לתמוך בבטחה ביוזמות שמעניקות לעובדים וללקוחות גמישות רבה יותר. לדוגמה, מנהלי בנקים היו רוצים לשחרר את עובדי הבנק שעובדים ישירות עם לקוחות – למשל מנהלים של קשרי גומלין ויועצים פיננסיים – משולחנות העבודה שלהם ולאפשר להם לפגוש לקוחות מחוץ לבנק. כיום, מוסדות פיננסיים רבים תומכים בגמישות גיאוגרפית זו בעזרת כלים אנלוגיים, כגון תדפיסי נייר או תצוגות סטטיות של פגישת הייעוץ שלהם. עם זאת, גם עובדי הבנק וגם הלקוחות התחילו לצפות לחוויה דינאמית יותר שעושה שימוש בנתונים בזמן אמת.

בנקים שמסתמכים על גישת "המצודה והתעלה" לאבטחה חוששים לפזר נתונים מחוץ לרשת הפיזית. לכן, הבנקאים והיועצים הפיננסיים שלהם יכולים להיעזר במודלים דינאמיים של אסטרטגיות השקעה מוכחות ומבוססות היטב רק אם הם מקיימים פגישות עם לקוחות בבנק עצמו.

היסטורית, בזמן נסיעות – בנקאים ויועצים פיננסיים התקשו לשתף עדכוני מודל בזמן אמת, או לשתף פעולה באופן פעיל עם בנקאים או סוחרים אחרים, לפחות לא בלי רשתות VPN. אולם הגמישות הזו הנה הכרחית כדי לקבל החלטות השקעה מבוססות ולהשיג שביעות רצון מצד הלקוחות. מודל 'אפס אמון' מאפשר למנהל קשרי גומלין או לאנליסט להיעזר בתובנות המגיעות מספקי נתונים בשוק, לשלב אותן עם המודלים שלהם ולעבוד בצורה דינאמית על תרחישי לקוח שונים בכל מקום ובכל זמן.

החדשות הטובות הן שזהו עידן חדש של אבטחה חכמה – המופעל באמצעות הענן וארכיטקטורת 'אפס אמון' – שיכול לייעל את האבטחה ואת התאימות של הבנקים ולהפוך אותן למודרניות.

Microsoft 365 עוזר לחולל שינוי יסוד באבטחה של בנקים

בעזרת Microsoft 365, בנקים יכולים לנקוט צעדים מיידיים לקראת אבטחה של 'אפס אמון' על-ידי פיתוח שלוש אסטרטגיות עיקריות:

• זיהוי ואימות—בראש ובראשונה, בנקים צריכים לוודא שהמשתמשים הם אכן מי שהם אומרים שהם ולהעניק להם גישה בהתאם לתפקידים שלהם. בעזרת Azure Active Directory‏ (Azure AD), בנקים יכולים להשתמש בכניסה יחידה (SSO) כדי לאפשר למשתמשים מאומתים להתחבר ליישומים מכל מקום ולאפשר לעובדים ניידים לגשת למשאבים בצורה מאובטחת מבלי להתפשר על הפרודוקטיביות שלהם.

בנקים יכולים גם לפרוס שיטת אימות חזקות, כגון אימות דו-גורמי, או אימות רב-גורמי (MFA) נטול סיסמה, שיכולים להקטין את הסיכון להפרה בשיעור של 99.9%. Microsoft Authenticator תומך בהודעות דחיפה, בקודי סיסמה חד-פעמיים ובביומטריה עבור כל אפליקציה המחוברת ל- Azure AD.

בכל הנוגע למכשירים של Windows, עובדי בנק יכולים להשתמש ב- Windows Hello, תכונה מאובטחת ונוחה של זיהוי באמצעות פנים לצורך כניסה למכשירים. לבסוף, בנקים יכולים להשתמש בגישה מותנית ב- Azure AD כדי להגן על משאבים מפני בקשות חשודות על-ידי החלת מדיניות הגישה המתאימה. Microsoft Intune ו- Azure AD עובדים יחדיו כדי לעזור להבטיח שרק מכשירים מנוהלים ותואמים יוכלו לגשת לשירותים של Office 365, כולל דואר אלקטרוני ואפליקציות מקומיות. באמצעות Intune, תוכל גם להעריך את מצב התאימות של המכשירים. מדיניות הגישה המותנית נאכפת בהתאם למצב התאימות של המכשיר בזמן שהמשתמש מנסה לגשת לנתונים.

איור של גישה מותנית.

• הגנה מפני איומים—בעזרת Microsoft 365, בנקים יכולים גם לשפר את היכולת שלהם להגן ולזהות מתקפות ולהגיב אליהן בעזרת האבטחה המשולבת והאוטומטית של Microsoft Threat Protection. הוא ממנף אחד מהכלים הגדולים ביותר בעולם לציון איומים הזמין ב- Microsoft Intelligent Security Graph ואוטומציה מתקדמת המופעלים באמצעות בינה מלאכותית (AI) כדי לשפר את זיהוי האירועים והתגובה אליהם ולאפשר לצוותי אבטחה לפתור איומים בצורה מדויקת, יעילה ומהירה. מרכז האבטחה של Microsoft 365 מהווה מקום מרכזי אחד וסביבת עבודה מתמחה לניהול ולניצול היתרונות המלאים של פתרונות האבטחה החכמים של Microsoft 365 לצורך ניהול זהויות וגישה, הגנה מפני איומים, הגנה על מידע וניהול אבטחה.

מרכז האבטחה של Microsoft 365.

• הגנה על מידע—על אף שזהויות ומכשירים הם הווקטורים העיקריים לפגיעויות מבחינת מתקפות סייבר, בסופו של דבר מה שפושעי הסייבר מעוניינים בו הוא נתונים. בעזרת Microsoft Information Protection, בנקים יכולים לשפר את ההגנה שלהם על מידע רגיש – לא משנה היכן הוא מאוחסן או להיכן הוא נודד. Microsoft 365 מאפשר ללקוחות 1) לזהות ולסווג את הנתונים הרגישים שלהם; 2) להחיל מדיניות הגנה גמישה וכן 3) לפקח על נתונים רגישים הנמצאים בסכנה ולפתור את הבעיה.

דוגמה לתרחיש סיווג והגנה.

ניהול אבטחה פשוט יותר הודות ל'אפס אמון'

Microsoft 365 עוזר להפוך את ניהול האבטחה בארכיטקטורת 'אפס אמון' מודרנית לפשוט יותר, וממנף את הניראות, קנה המידה והבינה הדרושים כדי להיאבק בפשעי סייבר.

אם אתה בוחן אפשרות להגן על "המצודה" המודרנית שלך, קח בחשבון שסביבת 'אפס אמון' היא הסביבה האופטימלית לאיומים מודרניים בתחום אבטחת הסייבר. סביבת 'אפס אמון' דורשת פיקוח עדכני של מי ניגש למה, היכן ומתי – ואם בכלל הוא אמור לקבל גישה.

יכולות האבטחה והתאימות של Microsoft 365 עוזרות לארגונים לאמת פרטים לפני שהם נותנים אמון במשתמש או במכשיר מסוימים. Microsoft 365 גם מציע פתרון מלא לעבודת צוות ולפרודוקטיביות. לסיכום, Microsoft 365 מספק פתרון מקיף שעוזר למנהלי בנקים להתמקד בלקוחות ובחדשנות.

The post הסיבה שבגללה בנקים מאמצים גישה מודרנית לאבטחת סייבר – מודל 'אפס אמון' appeared first on Microsoft 365 Blog.

אנחנו גם מגדילים את תוכנית האחסון העצמאית של OneDrive מ- 50 GB ל- 100 GB ללא חיוב נוסף, ואנחנו נותנים למנויי Office 365 אפשרות חדשה להוספת אחסון לפי הצורך.

'כספת אישית' ב- OneDrive

OneDrive פועל בענן המהימן של Microsoft, שיש לו אמצעי אבטחה רבים לשמירה על בטיחות הקבצים שלך. אבל אנחנו מבינים שיש אנשים שרוצים הגנה נוספת לקבצים החשובים והרגישים ביותר שלהם, וזאת הסיבה שאנחנו מציגים את 'כספת אישית'.

'כספת אישית' היא אזור מוגן ב- OneDrive שניתן לגשת אליו רק עם שיטת אימות חזקה או עם שלב שני של אימות זהות כגון טביעת אצבע, פנים, מספר זיהוי אישי או קוד שנשלח אליך באמצעות דואר אלקטרוני או הודעת SMS‏.¹ לקבצים הנעולים ב'כספת אישית' יש שכבת אבטחה נוספת וכך הם יותר מאובטחים במקרה שמישהו מקבל גישה לחשבון או למכשיר שלך.

בנוסף, האבטחה הנוספת לא מוסיפה חוסר נוחות נוספת. לכל המסמכים, התמונות והסרטונים ב'כספת אישית' ניתן לגשת בקלות דרך Onedrive.com, המחשב שלך או מכשירים מותאמים.²

הכספת האישית מוסיפה לאבטחה ולפרטיות היציבות ש- OneDrive מציע כרגע, כולל הצפנת קבצים במנוחה ובמעבר, ניטור פעילות חשודה, זיהוי תכונות כופר ושחזור קבצים, התראה בפני מחיקת קבצים בנפח גדול ושחזור קבצים, סריקת וירוסים בזמן הורדה מפני איומים ידועים והיסטוריית גירסאות לכל סוגי הקבצים.

קל לשימוש

רק הזן מספר זיהוי אישי או השתמש בטביעת אצבע, פנים או קוד שנשלח אליך באמצעות דואר אלקטרוני או הודעת SMS¹ כדי לבטל את נעילת הקבצים שלך ולגשת אליהם—ללא צורך לזכור סיסמאות מרובות. בנוסף, ניתן לבטל את נעילת 'כספת אישית' באמצעות האפליקציה Microsoft Authenticator. בכל דרך שתבחר, ביטול הנעילה הוא מהיר, נוח ועוזר לאבטח את הנתונים שלך.

סרוק וצלם ישירות אל 'כספת אישית'

אתה יכול להשתמש באפליקציית OneDrive לנייד כדי לסרוק מסמכים ולצלם תמונות וסרטונים ישירות אל הכספת האישית שלך וכך למנוע מהם להיות באזורים פחות מאובטחים במכשיר שלך—כמו סרט הצילום שלך. קל לסרוק מסמכים חשובים שקשורים בנסיעות, זיהוי, רכב, בית, ביטוח ועוד, ישירות לכספת האישית שלך. ותהיה לך גישה למסמכים האלה בכל מקום ומכל המכשירים המותאמים.²

הגנה נוספת על המחשב ומחוצה לו

'כספת אישית' עושה שימוש לא רק באימות דו-שלבי כדי לשמור על הבטיחות והפרטיות של הקבצים שלך. במחשבי Windows 10‏, OneDrive מסנכרן את קבצי הכספת האישית שלך אל BitLocker – אזור מוצפן של הכונן הקשיח המקומי שלך. וכמו כל הקבצים ב- OneDrive, התוכן של הכספת האישית שלך מוצפן במנוחה בענן של Microsoft ובמעבר אל המכשיר שלך. להגנה נוספת במכשירים ניידים, אנחנו ממליצים להפעיל הצפנה במכשיר ה- iOS או ה- Android שלך. ביחד, אמצעים אלה עוזרים לשמור על הגנת הקבצים שלך, גם אם מחשב ה- Windows 10 או המכשיר הנייד שלך נאבד או נגנב, או אם מישהו קיבל גישה אליו.

נעילה אוטומטית לאחר פרק זמן קצר של חוסר פעילות

הכספת האישית ננעלת מחדש באופן אוטומטי במחשב, במכשיר או באופן מקוון אחרי פרק זמן קצר של חוסר פעילות. לאחר הנעילה, כל הקבצים שהשתמשת בהם יינעלו גם כן ותצטרך אימות חוזר כדי לגשת אליהם. לא צריך לדאוג אם השארת את 'כספת אישית' או את הקובץ שלך פתוח—שניהם ייסגרו ויינעלו באופן אוטומטי לאחר פרק זמן של חוסר פעילות.³

זמין בקרוב

אנחנו שמחים לספק את היכולות החדשות האלה לאנשים שמשתמשים ב- OneDrive באינטרנט, עם האפליקציה שלנו לנייד או במחשב Windows 10. פריסת 'כספת אישית' תתחיל בקרוב באוסטרליה, ניו זילנד וקנדה והיא תהיה זמינה לכולם עד סוף השנה.

אם כבר יש לך OneDrive, 'כספת אישית' תופיע כעדכון תכונה לאחר השקתה במהלך השנה באזור שלך. ואם עדיין אינך לקוח של OneDrive, אתה יכול להוריד את האפליקציה או לעבור אל www.onedrive.com כדי להתחיל להשתמש בו במחשב שלך או באינטרנט. אם אתה משתמש בתוכנית העצמאית או החינמית של OneDrive בנפח 100 GB, אתה יכול לנסות את 'כספת אישית' עם מספר מוגבל של קבצים. מנויי Office 365 יכולים לאחסן מספר בלתי מוגבל של קבצים ב'כספת אישית', עד למגבלת האחסון.

OneDrive מקבל אחסון נוסף

היום, אנחנו גם שמחים לשתף שני עדכונים של תוכניות אחסון.

אחסן יותר עם תוכנית 100 GB של OneDrive—אנחנו מגדילים את כמות האחסון בתוכנית העצמאית של OneDrive מ- 50 GB ל- 100 GB⁴ בעלות זהה של $1.99 לחודש. זה מספיק שטח לאחסון של יותר מ- 50,000 תמונות (בגודל 2 MB לכל תמונה). תוכנית חדשה זו מושלמת לגיבוי אוטומטי של סרט הצילום בטלפון שלך ולסריקה ושמירה של מסמכים, קבלות ועוד, ישירות מהטלפון. אתה גם יכול להשתמש בה לגיבוי הקבצים שלך ולשיתוף תוכן ושיתוף פעולה הנוגע למסמכים. פריסת תוכנית חדשה זו תתרחש בקרוב. אם אתה משתמש כרגע בתוכנית 50 GB שלנו, תקבל באופן אוטומטי לחשבון שלך 50 GB נוספים לאחסון, ללא עלות נוספת. למידע נוסף, ראה תוכניות OneDrive.

קבל אחסון OneDrive נוסף לפי הצורך—המנוי שלך ל- Office 365 מתחיל עם 1 TB של אחסון OneDrive, ואנשים רבים ביקשו אחסון נוסף. היום, אנחנו מכריזים על אחסון נוסף ב- OneDrive, שמאפשר לך להוסיף עוד אחסון—לפי הצורך—למנוי Office 365 הקיים שלך. אתה יכול להוסיף אחסון בקפיצות של 200 GB בעלות של $1.99 לחודש, עד ל- 1 TB של אחסון נוסף תמורת $9.99 לחודש.

אם אתה צריך אחסון בנפח 2 TB, עכשיו יש לנו את האפשרות הזו עבורך. שלם רק עבור מה שאתה צריך והגדל, הקטן או בטל את תוכנית האחסון הנוסף בכל עת. האחסון הנוסף של OneDrive יהיה זמין בחודשים הקרובים בכל מקום שבו Office 365 זמין.

ספר לנו מה דעתך

כדי לספר לנו מה דעתך או לשתף מחשבות ורעיונות, בקר ב- UserVoice עבור OneDrive. כדי לקבל מידע נוסף אודות כל תכונות ההגנה המתקדמות הכלולות במנויי Office 365 Home ו- Office 365 Personal, ראה את דף התמיכה שלנו.

הערות
¹ אימות פנים וטביעת אצבע מחייב שימוש בחומרה מיוחדת, כולל מכשיר שמותאם ל- Windows Hello, קורא טביעות אצבע, חיישן IR מואר או חיישנים ביומטריים ומכשירים תואמים אחרים.
² עבור אפליקציית OneDrive לנייד ב- Android ו- iOS נדרשת גירסת Android 6.0 ואילך או גירסת iOS 11.3 ואילך.
³ מרווח הנעילה האוטומטית משתנה לפי מכשיר והמשתמש יכול להגדיר אותו.
⁴ תוכנית 100 GB מציעה נפח של 102,400 MB לאחסון.

The post 'כספת אישית' ב- OneDrive מביאה אבטחה נוספת לקבצים החשובים ביותר שלך ו- OneDrive מקבל אפשרויות אחסון נוספות appeared first on Microsoft 365 Blog.

שלום לכולם,

אני מאוד שמח לחלוק איתכם את החדשות להיום! הפעלנו לאחרונה את היכולת לבצע כניסה מאובטחת לחשבון Microsoft באמצעות מכשיר שתואם ל- FIDO2 ומבוסס על תקנים – ללא צורך בשם משתמש או בסיסמה! ‏FIDO2 מאפשר למשתמשים להשתמש במכשירים המבוססים על תקנים כדי לבצע אימות בקלות עבור שירותים מקוונים – בסביבות ניידות ושולחניות כאחד. יכולת זו זמינה עכשיו בארצות הברית ותיפרס ברחבי העולם במהלך השבועות הקרובים.

שילוב זה של נוחות שימוש, אבטחה ותמיכה נרחבת של הענף יחולל מהפך של ממש גם בקרב משתמשים ביתיים וגם במקום העבודה המודרני. מדי חודש, למעלה מ- 800 מיליון אנשים משתמשים בחשבון Microsoft כדי ליצור תוכן, לשמור על קשר ולשתף פריטים מכל מקום ב- Outlook,‏ Office,‏ OneDrive,‏ Bing,‏ Skype ו- Xbox Live, למטרות עבודה והנאה. ועכשיו, כולם יכולים ליהנות מחוויית המשתמש הפשוטה ומהשיפור המשמעותי באבטחה.

החל מהיום, תוכלו להשתמש במכשיר FIDO2 או ב- Windows Hello כדי להיכנס לחשבון Microsoft שלכם באמצעות הדפדפן Microsoft Edge.

צפו בסרטון הקצר שמציג כיצד זה פועל:

Microsoft יצאה למשימה לבטל את השימוש בסיסמאות ולעזור לאנשים להגן על הנתונים והחשבונות שלהם מפני איומים. כחברה ב- Fast Identity Online (FIDO) Alliance וב- World Wide Web Consortium‏ (W3C), עבדנו עם חברות אחרות כדי לפתח תקנים פתוחים עבור הדור הבא של האימות. אני שמח לספר ש- Microsoft היא החברה הראשונה ברשימת Fortune 500 שתומכת באימות ללא סיסמה באמצעות מפרטי WebAuthn ו- FIDO2, ו- Microsoft Edge תומך במערך הרחב ביותר של אמצעי אימות בהשוואה לשאר הדפדפנים הנפוצים.

אם אתם מעוניינים לקבל פרטים נוספים לגבי התהליך ואופן תחילת העבודה, המשיכו לקרוא.

תחילת העבודה

כדי להיכנס עם חשבון Microsoft שלכם באמצעות מפתח אבטחה של FIDO2:

1. אם טרם עשיתם זאת, הקפידו לעדכן למהדורת אוקטובר 2018 של Windows 10.
2. עברו אל דף 'חשבון Microsoft' ב-Microsoft Edge והיכנסו באופן הרגיל.
3. בחרו אבטחה > אפשרויות אבטחה נוספות. תחת Windows Hello ומפתחות אבטחה, תראו הוראות להגדרת מפתח אבטחה (תוכלו לרכוש מפתח אבטחה מאחד מהשותפים שלנו שתומכים בתקן FIDO2‏*, כגון Yubico ו- Feitian Technologies).
4. בפעם הבאה שתיכנסו, תוכלו ללחוץ על אפשרויות נוספות > השתמש במפתח אבטחה או להקליד את שם המשתמש שלכם. בנקודה זו, תתבקשו להשתמש במפתח אבטחה כדי להיכנס.

כתזכורת, כך ניתן להיכנס לחשבון Microsoft באמצעות Windows Hello:

1. ודאו שביצעתם עדכון למהדורת אוקטובר 2018 של Windows 10.
2. אם טרם עשיתם זאת, תצטרכו להגדיר את Windows Hello. אם כבר הגדרתם את Windows Hello, הכל מוכן!
3. בפעם הבאה שתיכנסו ב- Microsoft Edge, תוכלו ללחוץ על אפשרויות נוספות > השתמש ב- Windows Hello או במפתח אבטחה או להקליד את שם המשתמש שלכם. בנקודה זו, תתבקשו להשתמש ב- Windows Hello או במפתח אבטחה כדי להיכנס.

אם אתם זקוקים לעזרה נוספת, עיינו במאמר העזרה המפורט שמתאר כיצד להגדיר את השירות.

* קיימות כמה תכונות אופציונליות במפרט FIDO2 שלדעתנו חיוניות לאבטחה, ולכן רק מפתחות שיישמו את התכונות הללו יפעלו. קראו את המאמר מהו מפתח אבטחה שתואם ל- Microsoft? לקבלת מידע נוסף.

כיצד זה פועל?

מאחורי הקלעים, יישמנו את מפרטי WebAuthn ו- FIDO2 CTAP2 בשירותים שלנו כדי להפוך את החזון למציאות.

בניגוד לסיסמאות, FIDO2 מגן על אישורי משתמשים באמצעות הצפנה של מפתח ציבורי/פרטי. בעת יצירה ורישום של אישור FIDO2, המכשיר שלכם (מחשב או מכשיר FIDO2) יוצר מפתח פרטי ומפתח ציבורי במכשיר. המפתח הפרטי מאוחסן באופן מאובטח במכשיר וניתן להשתמש בו רק לאחר ביטול נעילתו באמצעות מחווה מקומית, כגון אמצעי ביומטרי או מספר זיהוי אישי. שימו לב שהאמצעי הביומטרי או מספר הזיהוי האישי נשארים במכשיר בלבד. בעת אחסון המפתח הפרטי, המפתח הציבורי נשלח אל מערכת חשבונות Microsoft בענן ונרשם עם חשבון המשתמש שלכם.

כאשר תיכנסו לאחר מכן, מערכת חשבונות Microsoft תספק Nonce למחשב או למכשיר FIDO2 שלכם. לאחר מכן, המחשב או המכשיר ישתמשו במפתח הפרטי כדי לחתום על ה- Nonce. ה- Nonce והמטה-נתונים החתומים נשלחים בחזרה אל מערכת חשבונות Microsoft, שבה הם מאומתים באמצעות המפתח הציבורי. המטה-נתונים החתומים, כפי שצוינו במפרטי WebAuthn ו- FIDO2, מספקים מידע – כגון האם המשתמש היה נוכח – ומוודאים את האימות באמצעות המחווה המקומית. הודות למאפיינים הללו, האימות באמצעות Windows Hello ומכשירי FIDO2 אינו "ניתן לדיוג" ואינו חשוף לגניבה על-ידי תוכנות זדוניות.

כיצד Windows Hello ומכשירי FIDO2 מיישמים זאת? בהתבסס על היכולות של מכשיר Windows 10 שלכם, תהיה ברשותכם מובלעת מאובטחת מוכללת: Trusted Platform Module ‏(TPM) של חומרה או TPM של תוכנה. ה- TPM מאחסן את המפתח הפרטי. ביטול נעילת מפתח זה מצריך את הפנים, טביעת האצבע או מספר הזיהוי האישי שלכם. בדומה לכך, מכשיר FIDO2, כמו מפתח אבטחה, הוא מכשיר חיצוני קטן עם מובלעת מאובטחת מוכללת שמאחסנת את המפתח הפרטי, אשר ביטול נעילתו מצריך את האמצעי הביומטרי או מספר הזיהוי האישי. שתי האפשרויות הללו מציעות אימות דו-גורמי בשלב אחד ומצריכות גם מכשיר רשום וגם אמצעי ביומטרי או מספר זיהוי אישי כדי להיכנס בהצלחה.

עיינו במאמר בבלוג Identity Standards שלנו, שמציין את כל הפרטים הטכניים בנוגע ליישום.

מה בהמשך

אנו עובדים על יכולות נהדרות רבות כחלק מהמאמצים שלנו לצמצם – ואפילו לבטל לחלוטין – את השימוש בסיסמאות. אנו בונים כעת את אותה חוויית כניסה מדפדפן עם מפתחות אבטחה עבור חשבונות בעבודה ובבית ספר ב- Azure Active Directory. בתחילת השנה הבאה, לקוחות ארגוניים יוכלו להשתמש בחוויה זו בגירסת Preview, שבמסגרתה הם יוכלו לאפשר לעובדים להגדיר מפתחות אבטחה משלהם עבור החשבונות שלהם כדי להיכנס ל- Windows 10 ולענן.

בנוסף, מאחר שיותר ויותר דפדפנים ופלטפורמות מתחילים לתמוך בתקני WebAuthn ו- FIDO2, אנו מקווים שחוויית הכניסה ללא סיסמה – שזמינה ב- Microsoft Edge וב- Windows כבר עכשיו – תהיה זמינה בקרוב בכל מקום!

נפרסם פרטים נוספים בתחילת השנה הבאה!

בברכה,
אלכס סימונס (Twitter: ‏‎@Alex_A_Simons)
סמנכ"ל ניהול תוכניות
חטיבת הזהויות של Microsoft

The post כניסה מאובטחת ללא סיסמה עבור חשבון Microsoft באמצעות מפתח אבטחה או Windows Hello appeared first on Microsoft 365 Blog.

מערכת ElitePOS היא מכשיר POS קמעוני במהדורה מודרנית, בעל עיצוב מודולרי חלק וחדשני, התומך לא רק בתשלום בקופה אלא גם במקרי שימוש נוספים, כדי לעזור לחברות בענפי הקמעונאות והאירוח לספק חוויה עקבית ומשכנעת. הודות לאפשרויות כגון מדפסת קבלות המשתלבת במעמד וקורא פס מגנטי שניתן לכלול אותו בצג, הקמעונאים יכולים להוסיף לסביבת החנות שטח דלפק מסודר.

ElitePOS מיועד לאפשר שימוש נרחב, והקמעונאים יכולים להסתמך על מחזור החיים הארוך שלו. המערכת תוכננה לעמוד בבדיקות של תקנים צבאיים שונים – או MIL-STD – יכולה לטפל בשפיכת נוזלים על-ידי תיעול הנוזלים אל מחוץ לרכיבי המכשיר, ומספקת קירור יעיל באמצעות אוורור צדדי כדי לשפר את המהימנות. בנוסף, ניתן יהיה להשתמש בנקודות מכירה ניידות בקלות רבה הודות ל- Windows 10 או Windows IoT, זיכרון DDR4 מהיר, ומעבדי Intel Core מדור שביעי עם טכנולוגיית vPro אופציונלית.

לאור העובדה שהאבטחה ממשיכה להוות דאגה מרכזית בענפי הקמעונאות והאירוח, מערכת ElitePOS מספקת תכונות אבטחת תוכנה משולבות ותכונות אבטחה המבוססות על חומרה, לרבות:

• אבטחת המכשיר ברמת ה- BIOS כדי לספק הגנה במקרה של מתקפת תוכנה זדונית באמצעות HP Sure Start Gen3, ה- BIOS הראשון בענף שיש לו יכולת ריפוי עצמי, ו- HP BIOSphere Gen3, האקוסיסטמות המובילות של קושחה.
• טכנולוגיה לאימות משתמשים, כולל קורא טביעות אצבע אופציונלי עם Windows Hello, כדי לעזור למנוע גישה בלתי מורשית; Credential Guard כדי לספק אימות משתמשים והגנה על סיסמאות בצורה מאובטחת, ו- Device Guard, המאפשר למנהלי IT ליצור כללים כך שיופעלו רק יישומים חתומים, מהימנים ומאושרים במערכת ה- POS כדי לסייע בהגנה מפני מתקפות walk-up ומתקפות "נמוכות" (low-level) דרך יציאות USB.
• אבטחה פיזית של המכשיר עצמו באמצעות תצורה אופציונלית של הברגה לדלפק, או תלייה בתקן VESA ותכונות K-Lock.

מערכת ElitePOS צפויה להיות זמינה באוגוסט 2017. לקבלת מידע נוסף על מערכת נקודת המכירה, בקר בכתובת hp.com/go/elitepos או ראה את ElitePOS באופן ממשי ב- 6-9 באוגוסט באירוע RetailNow 2017 בדוכנים 410-412.

The post HP מכריזה על מערכת חדשה של נקודת מכירה (POS) המופעלת באמצעות Windows 10 appeared first on Microsoft 365 Blog.