Sådan gør du dine apps kodeordløse med Microsoft Authenticator og FIDO2

Hvorfor er adgangskoder forfærdelige? Microsofts Diana Kelley forklarer alt, hvad der er galt med vores adgangskoder.

Adgangskoder fungerer ikke: over 80 procent af sikkerhedsovertrædelser er ned til stjålne adgangskoder og legitimationsoplysninger. Brugere vælger rutinemæssigt adgangskoder, der er for enkle og lette at gætte, og hvis du tvinger folk til at bruge komplekse adgangskoder, gemmer de dem og genbruger dem. Det forværres ved at tvinge regelmæssige adgangskodændringer, og både NIST og National Cyber ​​Security Center rådgive mod regelmæssige ændringer af kodeord uden bevis for overtrædelse. Hvis systemer til nulstilling af kodeord er afhængige af mennesker, kan de også narre af social engineering. Adgangskodeadministratorer er et stop-gap.

Mere om Windows

  • Sådan bruges God Mode i Windows 10
  • Windows 10 PowerToys: Et snyderi
  • Microsofts største flopper i årtiet
  • 10 tricks og tweaks til tilpasning af Windows 10 (gratis PDF)

En bedre løsning er at bevæge sig væk fra adgangskoder helt med biometri, engangskoder, hardwaretokener og andre multifaktor-godkendelsesindstillinger, der udveksler tokens og certifikater uden, at brugerne behøver at huske noget.

Kodeordløs betyder ikke flere ting, som brugerne kan huske, og flere bøjler, som de kan hoppe igennem. Certifikater kan kombineres med kontekstuelle sikkerhedspolitikker, der kræver færre faktorer for adgang til lav værdi på pålidelige enheder og forbindelser. Flere faktorer kan tilføjes, når risikoen stiger - hvad enten det er baseret på indholdets værdi, brugerens opførsel, deres placering og forbindelse eller enhedens tilstand. Du kan allerede indstille det ved hjælp af Azure AD Conditional Access og MFA, men omfattende support til et komplet sæt adgangskodefri indstillinger er kun lige begyndt at ankomme.

FIDO2 (Fast Identity Online) er den tværgående platform, hvordan industrien opnår dette, men det tager tid at få standarderne udarbejdet og leveret, og Windows og Azure AD-support kommer også i stadier.

De første trin er afhængige af Microsoft Authenticator-appen, der bruger nøglebaseret autentificering til at oprette en brugeroplysning, der er knyttet til en enhed og bruger en pinkode eller biometrisk (så det er en softwareækvivalent til Windows Hello). I stedet for at bruge en adgangskode til at logge på, ser brugerne nummerkoden, der skal indtastes i Authenticator-appen, hvor de skal indtaste deres pinkode eller angive en biometrisk.

I stedet for at udfylde en adgangskode, har Microsoft Authenticator-appen og Azure AD brugere til at indtaste nummeret på skærmen i appen - på deres telefon eller endda smartwatch. Snart fungerer det også med FIDO2 hardwareenheder.

Billede: Microsoft

Adgangskodeløs login til Microsoft-konti med Microsoft Authenticator-appen er allerede tilgængelig, og support til at logge ind på Azure AD er nu i offentlig forhåndsvisning. Du skal bruge Azure MFA, og administratorer skal aktivere det for lejeren ved at tilføje AuthenticatorAppSignInPolicy vha. PowerShell. Der vil være en måde at gøre det på i portalen, når tjenesten er ude af forhåndsvisning.

I øjeblikket kan Authenticator-appen kun dække en enkelt konto, der er registreret hos Azure AD i en lejer, men understøttelse af flere konti er planlagt i fremtiden.

Den kodeordløse Azure AD-login dækker ikke kun Office 365 og Azure; det fungerer med enhver service, der understøtter føderation. Det betyder, at de hundreder af tusinder af sky-apps (fra Twitter til Salesforce) og mange lokale apps, der arbejder med Azure AD til single sign-on, nu alle kan være kodeordløse.

Du kan tilføje allerede aktiverede apps til din lejer ved hjælp af Azure AD-applikationsgalleriet. Hvis den app, du ønsker, ikke er angivet, skal du bruge applikationsintegrationsskabeloner til at konfigurere enkelt login til apps, der understøtter SAML 2.0, SCIM-brugerudvikling eller HTML-formular-login. Fra Active-portalen skal du vælge Active Directory> Enterprise Applications> New Application> Non-gallery-program og udfyld detaljerne i ruden til siden, startende med navnet. Du kan også tilføje applikationer, der har enkelt login via federationstjenester som Azure ADFS, og de vises i Office 365-appstarteren.

Du kan bruge kodeordløs login med apps, der ikke allerede findes i Azure AD-appgalleriet.

Billede: Microsoft

For at tilføje support til single sign-on til dine egne applikationer kan udviklere bruge Azure Active Directory Authentication Library (ADAL), Microsoft Authentication Library (MSAL) eller forskellige open-source biblioteker, der understøtter OAuth 2.0 og OpenID Connect 1.0, og derefter registrere det gennem den samme portal.

FIDO2 og Azure AD

Hvis Microsoft Authenticator-appen ikke dækker alle dine behov, kommer support til FIDO2 hardware-sikkerhedsenheder også. Det kan være en Yubikey eller endda en fitness tracker som Motiv Ring.

Igen kommer dette først for Microsoft-konti med den generelle tilgængelighed af FIDO2-kodeordløs support til Microsoft-konti i Windows 10 denne uge. Det betyder, at du kan logge på Windows 10 og derefter på websteder som Office 365 i browseren (Edge, Chrome eller Firefox) ved hjælp af en FIDO2-nøgle i stedet for en adgangskode, som du kan med Windows Hello og biometri, med sikkerhedsnøglen hardware bundet til TPM på pc'en. Efterhånden som flere websteder bruger W3C FIDO-godkendelsesstandarder, får du også adgangskodeløs login på dem.

"Vi foretager altid Microsoft-kontoversionerne først, både for at eksperimentere og lære hurtigt, og også fordi de ikke kræver den omfattende admin-kontrol, som Azure AD-versionerne gør, " forklarede Alex Simons, koncerndirektør i Microsofts identitetsafdeling til TechRepublic .

Det næste trin vil være FIDO2-kodeordløs support til Azure AD-konti i Windows 10, for Windows-kontoen og Office 365, og alle de fødererede cloud- og lokale-tjenester, der får enkelt login via Azure AD. Det har været i privat forhåndsvisning siden sommeren 2018; organisationer vil kunne bruge det i offentlig forhåndsvisning i første kvartal af 2019.

Mange FIDO-hardwaretokener kan også oprette tidsbaserede engangskodekoder (TOTP) ved hjælp af OATH-standarden. Det er især nyttigt for brugere, der ikke kan (eller bare ikke vil) modtage et telefonopkald eller en tekstmeddelelse.

Du kan nu bruge OATH-tokens til hardware som en mulighed for Azure AD MFA og nulstille adgangskode til selvbetjening, så længe du har en premium (P1 eller P2) Azure AD-licens - og nulstilling af adgangskode understøtter nu Windows 7, 8 og 8.1 med nulstilling af adgangskode fra loginskærmen.

OATH-support til hardware erstatter ikke eksisterende indstillinger til godkendelse. Brugere kan have op til fem hardware- og softwaremuligheder, hver inklusive Microsoft Authenticator-appen (og forhåndsvisningen inkluderer andre godkendelsesapps som Authy, der understøtter OATH), tekstbesked og stemmekald. Hvis du bruger en YubiKey, som ikke har et batteri og ikke kan spore tid, skal du også Yubico Authenticator-appen. OATH-understøttelsen er i forhåndsvisning, så forvent, at grænsefladen til styring af den ændres (og flyttes ud af MFA-server-sektionen i Azure-grænsefladen, som ellers er til at konfigurere Azure MFA-support på stedet).

Forvent dog ikke FIDO U2F-støtte; Microsoft mener, at det at gå med adgangskode er en bedre mulighed end blot at have endnu en anden faktor understøttet.

Microsoft ugentlig nyhedsbrev

Vær din virksomheds Microsoft-insider ved hjælp af disse Windows- og Office-tutorials og vores eksperters analyser af Microsofts virksomhedsprodukter. Leveres mandage og onsdage

Tilmeld dig i dag

NYTT OG RETTET DÆKNING

  • Vil Microsoft endelig dræbe adgangskoden med sin Authenticator-opgradering?
  • Sådan forhindres problemer med autentificering på fjernt skrivebord efter nylige opdateringer til Windows-servere
  • Sådan nulstilles din Windows 10-adgangskode, når du glemmer det
  • Hvordan man går ud over adgangskoder i Windows 10
  • Windows 10 efter tre år: Et stærkt forbedret rapportkort (ZDNet)
  • Office 365-administratorer: Sådan afhjælpes nyt angreb, der omgår 2FA på Windows-systemer

© Copyright 2020 | mobilegn.com