Entrada sem senha

• Aplica-se a:

  Windows 11

As palavras-passe são uma parte fundamental da segurança digital, mas são muitas vezes inconvenientes e vulneráveis a ciberataques. Com Windows 11, os utilizadores podem usufruir de proteção sem palavra-passe, o que oferece uma alternativa mais segura e simples de utilizar. Após um processo de autorização seguro, as credenciais são salvaguardadas por múltiplas camadas de segurança de hardware e software, proporcionando aos utilizadores acesso totalmente integrado e sem palavra-passe às suas aplicações e serviços cloud.

Windows Hello

Muitas vezes, as palavras-passe são fracas, roubadas ou esquecidas. As organizações estão a avançar para o início de sessão sem palavra-passe para reduzir o risco de violações, reduzir o custo de gestão de palavras-passe e melhorar a produtividade e a satisfação dos seus utilizadores e clientes. A Microsoft está empenhada em ajudar as organizações a avançarem para um futuro seguro e sem palavra-passe com Windows Hello, uma pedra angular da proteção de identidade e segurança do Windows.

Windows Hello pode ativar o início de sessão sem palavra-passe através da verificação biométrica ou do PIN e fornece suporte incorporado para a norma da indústria sem palavra-passe FIDO2. Como resultado, as pessoas já não precisam de transportar hardware externo como uma chave de segurança para autenticação.

A experiência de início de sessão segura e conveniente pode aumentar ou substituir palavras-passe por um modelo de autenticação mais forte com base num PIN ou dados biométricos, como reconhecimento facial ou de impressões digitais protegido pelo Trusted Platform Module (TPM). A orientação passo a passo facilita a configuração.

Ao utilizar chaves assimétricas aprovisionadas no TPM, Windows Hello protege a autenticação ao vincular as credenciais de um utilizador ao respetivo dispositivo. Windows Hello valida o utilizador com base numa correspondência de PIN ou biometria e só assim permite a utilização de chaves criptográficas vinculadas a esse utilizador no TPM.

Os dados biométricos e de PIN permanecem no dispositivo e não podem ser armazenados ou acedidos externamente. Uma vez que os dados não podem ser acedidos por ninguém sem acesso físico ao dispositivo, as credenciais estão protegidas contra ataques de repetição, phishing e spoofing, bem como a reutilização e fugas de palavras-passe.

Windows Hello podem autenticar utilizadores numa conta Microsoft (MSA), serviços de fornecedor de identidade ou entidades confiadoras que também implementam as normas FIDO2 ou WebAuthn.

Saiba mais

• Configurar Windows Hello

PIN do Windows Hello

O PIN Windows Hello, que só pode ser introduzido por alguém com acesso físico ao dispositivo, pode ser utilizado para uma autenticação multifator forte. O PIN está protegido pelo TPM e, tal como os dados biométricos, nunca sai do dispositivo. Quando um utilizador introduz o PIN, uma chave de autenticação é desbloqueada e utilizada para assinar um pedido enviado para o servidor de autenticação.

O TPM protege contra ameaças, incluindo ataques de força bruta pin em dispositivos perdidos ou roubados. Após demasiadas suposições incorretas, o dispositivo bloqueia. Os administradores de TI podem definir políticas de segurança para PINs, tais como requisitos de complexidade, comprimento e expiração.

Novidades no Windows 11, versão 24H2

Se o dispositivo não tiver biometria incorporada, Windows Hello foi melhorado para utilizar a Segurança Baseada em Virtualização (VBS) por predefinição para isolar as credenciais. Esta camada adicional de proteção ajuda a proteger-se contra ataques ao nível do administrador. Mesmo quando inicia sessão com um PIN, as suas credenciais são armazenadas num contentor seguro, garantindo proteção em dispositivos com ou sem sensores biométricos incorporados.

Windows Hello biometria

Windows Hello início de sessão biométrico melhora a segurança e a produtividade com uma experiência de início de sessão rápida e conveniente. Não é necessário introduzir o PIN; basta utilizar os seus dados biométricos para um início de sessão fácil e delicioso.

Os dispositivos Windows que suportam hardware biométrico, como câmaras de reconhecimento facial ou impressões digitais, integram-se diretamente com Windows Hello, permitindo o acesso aos recursos e serviços do cliente Windows. Os leitores biométricos para rosto e impressão digital têm de cumprir Windows Hello requisitos biométricos. Windows Hello reconhecimento facial foi concebido para autenticar apenas a partir de câmaras fidedignas utilizadas no momento da inscrição.

Se uma câmara periférica estiver ligada ao dispositivo após a inscrição, pode ser utilizada para autenticação facial uma vez validada ao iniciar sessão com a câmara interna. Para maior segurança, as câmaras externas podem ser desativadas para utilização com Windows Hello reconhecimento facial.

Saiba mais

• Windows Hello requisitos biométricos

Sensor de presença do Windows

A deteção de presença do Windows^[9] fornece outra camada de proteção de segurança de dados para as funções de trabalho híbridas. Windows 11 dispositivos podem adaptar-se de forma inteligente à presença de um utilizador para os ajudar a manterem-se seguros e produtivos, quer estejam a trabalhar em casa, no escritório ou num ambiente público.

A deteção de presença do Windows combina sensores de deteção de presença com Windows Hello reconhecimento facial para assinar o utilizador em modo mãos livres e bloqueia automaticamente o dispositivo quando o utilizador sai. Com o desativação adaptável, o PC esbate o ecrã quando o utilizador olha para o lado em dispositivos compatíveis com sensores de presença. Também é mais fácil do que nunca configurar sensores de presença em dispositivos, com fácil ativação na experiência inicial e novas ligações nas Definições para ajudar a encontrar funcionalidades de deteção de presença. Os fabricantes de dispositivos podem personalizar e criar extensões para o sensor de presença.

A privacidade está no topo da mente e é mais importante do que nunca. Os clientes querem ter maior transparência e controlo sobre a utilização das suas informações. As novas definições de privacidade da aplicação permitem aos utilizadores permitir ou bloquear o acesso às informações do sensor de presença. Os utilizadores podem decidir sobre estas definições durante a configuração do Windows 11 inicial.

Os utilizadores também podem tirar partido das definições mais granulares para ativar e desativar facilmente funcionalidades diferenciadas de deteção de presença, como reativação na abordagem, bloqueio durante a licença e desativação adaptável. Também suportamos programadores com novas APIs para deteção de presença para aplicações de terceiros. As aplicações de terceiros podem agora aceder às informações de presença do utilizador em dispositivos com sensores de presença.

Saiba mais

• Deteção de presença
• Gerir definições de deteção de presença no Windows 11

Windows Hello para Empresas

Windows Hello para Empresas expande Windows Hello para trabalhar com as contas do Active Directory e Microsoft Entra ID de uma organização. Fornece acesso de início de sessão único a recursos escolares ou profissionais, como o OneDrive, e-mail profissional e outras aplicações empresariais. Windows Hello para Empresas também dá aos administradores de TI a capacidade de gerir o PIN e outros requisitos de início de sessão para dispositivos que se ligam a recursos escolares ou profissionais.

Depois de Windows Hello para Empresas ser aprovisionada, os utilizadores podem utilizar um PIN, rosto ou impressão digital para desbloquear credenciais e iniciar sessão no respetivo dispositivo Windows.

Os métodos de aprovisionamento incluem:

• As chaves de acesso (pré-visualização), que proporcionam uma forma totalmente integrada de os utilizadores se autenticarem para Microsoft Entra ID sem introduzirem um nome de utilizador ou palavra-passe
• Passe de Acesso Temporário (TAP), um código de acesso com limite de tempo com requisitos de autenticação fortes emitidos através de Microsoft Entra ID
• Autenticação multifator existente com Microsoft Entra ID, incluindo a aplicação Microsoft Authenticator

Windows Hello para Empresas melhora a segurança ao substituir nomes de utilizador e palavras-passe tradicionais por uma combinação de uma chave de segurança ou certificado e um PIN ou dados biométricos. Esta configuração mapeia de forma segura as credenciais para uma conta de utilizador.

Existem vários modelos de implementação disponíveis para Windows Hello para Empresas, proporcionando flexibilidade para satisfazer as diversas necessidades de diferentes organizações. Entre estes, o modelo de confiança Kerberos da cloud híbrida é recomendado e considerado o mais simples para as organizações que operam em ambientes híbridos.

Saiba mais

• descrição geral do Windows Hello para Empresas
• Ativar as chaves de acesso (FIDO2) para a sua organização

Redefinição de PIN

O Serviço de Reposição de PIN da Microsoft permite que os utilizadores reponham os piNs Windows Hello esquecidos sem necessidade de reinscrição. Depois de registar o serviço no inquilino Microsoft Entra ID, a capacidade tem de ser ativada nos dispositivos Windows através da política de grupo ou de uma solução de gestão de dispositivos, como Microsoft Intune^[4].

Os utilizadores podem iniciar uma reposição do PIN a partir do ecrã de bloqueio do Windows ou a partir das opções de início de sessão nas Definições. O processo envolve autenticar e concluir a autenticação multifator para repor o PIN.

Saiba mais

• Reposição do PIN

Desbloqueio multifator

Para organizações que precisam de uma camada adicional de segurança de início de sessão, o desbloqueio multifator permite que os administradores de TI configurem o Windows para exigir uma combinação de dois sinais fidedignos exclusivos para iniciar sessão. Os exemplos de sinal fidedigno incluem um PIN ou dados biométricos (rosto ou impressão digital) combinados com um PIN, Bluetooth, configuração de IP ou Wi-Fi.

O desbloqueio multifator é útil para organizações que precisam de impedir os técnicos de informação de partilhar credenciais ou de cumprir os requisitos regulamentares para uma política de autenticação de dois fatores.

Saiba mais

• Desbloqueio multifator

Experiência sem palavra-passe do Windows

Windows Hello para Empresas agora suportam uma experiência totalmente sem palavra-passe.

Os administradores de TI podem configurar uma política em Microsoft Entra ID computadores associados para que os utilizadores deixem de ver a opção de introduzir uma palavra-passe ao aceder aos recursos da empresa. Assim que a política estiver configurada, as palavras-passe são removidas da experiência de utilizador do Windows, tanto para cenários de desbloqueio do dispositivo como de autenticação na sessão. No entanto, as palavras-passe ainda não são eliminadas do diretório de identidade. Espera-se que os utilizadores naveguem pelos seus principais cenários de autenticação através de credenciais fortes, resistentes à posse, como chaves de segurança FIDO2 e Windows Hello para Empresas. Se necessário, os utilizadores podem utilizar mecanismos de recuperação sem palavra-passe, como o serviço de reposição do PIN da Microsoft ou o início de sessão na Web.

Os utilizadores autenticam-se diretamente com Microsoft Entra ID, ajudando a acelerar o acesso a aplicações no local e a outros recursos.

Saiba mais

• Experiência sem palavra-passe do Windows

Segurança de Início de Sessão Avançada (ESS)

Windows Hello suporta a Segurança de Início de Sessão Avançada, que utiliza componentes especializados de hardware e software para aumentar ainda mais a barra de segurança para o início de sessão biométrico.

A biometria de Segurança de Início de Sessão Avançada utiliza a segurança baseada em Virtualização (VBS) e o TPM para isolar os dados e os processos de autenticação de utilizadores e proteger o caminho pelo qual as informações são comunicadas.

Estes componentes especializados protegem contra uma classe de ataques que inclui injeção, repetição e adulteração de amostras biométricas. Por exemplo, os leitores de impressões digitais têm de implementar o Protocolo de Ligação de Dispositivo Seguro, que utiliza a negociação principal e um certificado emitido pela Microsoft para proteger e armazenar de forma segura os dados de autenticação do utilizador. Para reconhecimento facial, componentes como a tabela Dispositivos Seguros (SDEV) e o isolamento de processos com fidedignidades ajudam a evitar mais classes de ataque.

A Segurança de Início de Sessão Avançada é configurada pelos fabricantes de dispositivos durante o processo de fabrico e é normalmente suportada em PCs de núcleo seguro. Para reconhecimento facial, a Segurança de Início de Sessão Avançada é suportada por combinações específicas de silício e câmara - marcar com o fabricante específico do dispositivo. A autenticação por impressão digital está disponível em todos os tipos de processador. Contacte os OEMs específicos para obter detalhes de suporte.

Saiba mais

• Segurança de Entrada Aprimorada do Windows Hello

FIDO2

A FIDO Alliance, o organismo de normas da indústria Fast Identity Online, foi criada para promover tecnologias e normas de autenticação que reduzem a dependência de palavras-passe. A FIDO Alliance e a World Wide Web Consortium (W3C) trabalharam em conjunto para definir as especificações Client to Authenticator Protocol (CTAP2) e Web Authentication (WebAuthn). Estas especificações são o padrão da indústria para fornecer autenticação segura, resistente a phishing, amigável e de privacidade em toda a Web e aplicações. As normas e certificações FIDO estão a tornar-se reconhecidas como o principal padrão para criar soluções de autenticação seguras entre empresas, governos e mercados de consumidores.

Windows 11 também pode utilizar chaves de segurança FIDO2 externas para autenticação juntamente ou para além de Windows Hello e Windows Hello para Empresas, que é também uma solução sem palavra-passe certificada fiDO2. Como resultado, Windows 11 podem ser utilizadas como um autenticador FIDO para muitos serviços de gestão de identidades populares.

Chaves de acesso

Windows 11 torna muito mais difícil para os hackers que exploram palavras-passe roubadas através de ataques de phishing, ao permitir que os utilizadores substituam palavras-passe por chaves de acesso. As chaves de acesso são o futuro entre plataformas do início de sessão seguro. A Microsoft e outros líderes tecnológicos estão a suportar chaves de acesso nas suas plataformas e serviços.

Uma chave de acesso é um segredo criptográfico único e inutilizável armazenado em segurança no dispositivo. Em vez de utilizar um nome de utilizador e palavra-passe para iniciar sessão num site ou aplicação, Windows 11 utilizadores podem criar e utilizar uma chave de acesso com Windows Hello, um fornecedor de chave de acesso de terceiros, uma chave de segurança FIDO2 externa ou o respetivo dispositivo móvel. As chaves de acesso no Windows funcionam em quaisquer browsers ou aplicações que as suportem para iniciar sessão.

As chaves de acesso criadas e guardadas com Windows Hello são protegidas por Windows Hello ou Windows Hello para Empresas. Os utilizadores podem iniciar sessão no site ou na aplicação com o seu rosto, impressão digital ou PIN do dispositivo. Os utilizadores podem gerir as respetivas chaves de acesso a partir das Chaves de Acesso dasContas> de Definições>.

Brevemente^[7]

O modelo de plug-in para fornecedores de chave de acesso de terceiros permite aos utilizadores gerir as respetivas chaves de acesso com gestores de chaves de acesso de terceiros. Este modelo garante uma experiência de plataforma totalmente integrada, independentemente de as chaves de acesso serem geridas diretamente pelo Windows ou por um autenticador de terceiros. Quando é utilizado um fornecedor de chave de acesso de terceiros, as chaves de acesso são protegidas e geridas de forma segura pelo fornecedor de terceiros.

Saiba mais

• Suporte para chaves de acesso no Windows
• Ativar as chaves de acesso (FIDO2) para a sua organização

Microsoft Authenticator

A aplicação Microsoft Authenticator, que é executada em dispositivos iOS e Android, ajuda a manter Windows 11 utilizadores seguros e produtivos. O Microsoft Authenticator com Microsoft Entra passkeys pode ser utilizado como um método resistente a phish para bootstrap Windows Hello para Empresas.

O Microsoft Authenticator também permite início de sessão fácil e seguro para todas as contas online através da autenticação multifator, início de sessão por telefone sem palavra-passe, autenticação resistente a phishing (chaves de acesso) ou preenchimento automático de palavras-passe. As contas na aplicação Authenticator estão protegidas com um par de chaves públicas/privadas no armazenamento com hardware, como o Keychain no iOS e o Keystore no Android. Os administradores de TI podem utilizar ferramentas diferentes para deslocar os seus utilizadores para configurar a aplicação Authenticator, fornecer-lhes contexto adicional sobre a origem da autenticação e garantir que estão a utilizá-la ativamente.

Os utilizadores individuais podem fazer uma cópia de segurança das credenciais para a cloud ao ativar a opção de cópia de segurança encriptada nas definições. Também podem ver o histórico de inícios de sessão e as definições de segurança das contas pessoais, profissionais ou escolares da Microsoft.

A utilização desta aplicação segura para autenticação e autorização permite que as pessoas controlem como, onde e quando são utilizadas as respetivas credenciais. Para acompanhar um cenário de segurança em constante mudança, a aplicação é constantemente atualizada e são adicionadas novas capacidades para se manter à frente dos vetores de ameaças emergentes.

Saiba mais

• Métodos de autenticação no Microsoft Entra ID – aplicação Microsoft Authenticator

Logon da Web

Com o suporte do início de sessão na Web, os utilizadores podem iniciar sessão sem uma palavra-passe através da aplicação Microsoft Authenticator ou de um Passe de Acesso Temporário (TAP). O início de sessão na Web também permite o início de sessão federado com um fornecedor de identidade SAML-P.

Saiba mais

• Credenciais da Web para Windows

Entrada federada

Windows 11 suporta o início de sessão federado com serviços de gestão de identidades de educação externa. Para os estudantes que não conseguem escrever facilmente ou memorizar palavras-passe complexas, esta capacidade permite o início de sessão seguro através de métodos como códigos QR ou imagens.

Saiba mais

• Configurar a entrada federada para dispositivos Windows

Cartões inteligentes

As organizações também podem optar por smart cards, um método de autenticação que existia antes da autenticação biométrica. Estes dispositivos de armazenamento portáteis resistentes a adulterações melhoram a segurança do Windows ao autenticar utilizadores, assinar código, proteger e-mails e iniciar sessão com contas de domínio do Windows.

Os smart cards fornecem:

• Facilidade de utilização em cenários como cuidados de saúde, em que os utilizadores precisam de iniciar e terminar sessão rapidamente sem usar as mãos ou ao partilhar uma estação de trabalho
• Isolamento de cálculos críticos de segurança que envolvem autenticação, assinaturas digitais e troca de chaves de outras partes do computador. Estes cálculos são efetuados na card inteligente
• Portabilidade de credenciais e outras informações privadas entre computadores no trabalho, em casa ou em viagem

Os smart cards só podem ser utilizados para iniciar sessão em contas de domínio ou contas de Microsoft Entra ID.

Quando uma palavra-passe é utilizada para iniciar sessão numa conta de domínio, o Windows utiliza o protocolo Kerberos Versão 5 (V5) para autenticação. Se utilizar uma card inteligente, o sistema operativo utiliza a autenticação Kerberos V5 com certificados X.509 V3. Em dispositivos associados Microsoft Entra ID, pode utilizar uma card inteligente com Microsoft Entra ID autenticação baseada em certificados. Os smart cards não podem ser utilizados com contas locais.

Windows Hello para Empresas e as chaves de segurança FIDO2 são métodos de autenticação de dois fatores modernos para o Windows. Os clientes que utilizam smart cards virtuais são encorajados a mudar para Windows Hello para Empresas ou FIDO2. Para novas instalações do Windows, recomendamos que Windows Hello para Empresas ou chaves de segurança FIDO2.

Saiba mais

• Referência técnica do Smart Card

Proteção de phishing melhorada no Microsoft Defender SmartScreen

À medida que a proteção contra malware e outras salvaguardas evoluem, os cibercriminosos procuram novas formas de contornar as medidas de segurança. O phishing é uma das principais ameaças, com aplicações e sites concebidos para roubar credenciais ao enganar as pessoas para introduzirem voluntariamente palavras-passe. Como resultado, muitas organizações estão a transitar para a facilidade e segurança do início de sessão sem palavra-passe com Windows Hello ou Windows Hello para Empresas.

Sabemos que as pessoas estão em partes diferentes do seu percurso sem palavra-passe. Para ajudar nesse percurso para pessoas que ainda utilizam palavras-passe, Windows 11 oferece uma proteção de credenciais avançada. Microsoft Defender SmartScreen agora inclui proteção de phishing melhorada para detetar automaticamente quando a palavra-passe microsoft de um utilizador é introduzida em qualquer aplicação ou site. Em seguida, o Windows identifica se a aplicação ou o site está a autenticar-se de forma segura na Microsoft e avisa se as credenciais estão em risco. Uma vez que o utilizador é alertado no momento do potencial roubo de credenciais, pode tomar medidas preventivas antes de a palavra-passe ser utilizada na mesma ou na organização.

Saiba mais

• Proteção de phishing melhorada no Microsoft Defender SmartScreen