Hvordan gjøre appene dine passordløse med Microsoft Authenticator og FIDO2

Hvorfor er passord forferdelig? Microsofts Diana Kelley forklarer alt som er galt med passordene våre.

Passord fungerer ikke: over 80 prosent av sikkerhetsbruddene er ned til stjålne passord og legitimasjon. Brukere velger rutinemessig passord som er for enkle og enkle å gjette, og hvis du tvinger folk til å bruke komplekse passord, lagrer de dem og bruker dem på nytt. Dette forverres ved å tvinge regelmessige passordendringer, og både NIST og National Cyber ​​Security Center råd mot vanlige passordendringer uten bevis for brudd. Hvis systemer for tilbakestilling av passord stoler på folk, kan de også lure av sosialteknikk. Passordledere er et stopp-gap.

Mer om Windows

  • Slik bruker du God Mode i Windows 10
  • Windows 10 PowerToys: Et jukseark
  • Microsofts største flopper i tiåret
  • 10 triks og finpusse for tilpasning av Windows 10 (gratis PDF)

En bedre løsning er å gå bort fra passord helt med biometri, engangskoder, maskinvaretokener og andre multifaktor-autentiseringsalternativer som utveksler tokens og sertifikater uten at brukere trenger å huske noe.

Passordløst betyr ikke flere ting for brukere å huske, og flere bånd for dem å hoppe gjennom. Sertifikater kan kombineres med kontekstuelle sikkerhetspolicyer som krever færre faktorer for tilgang til lav verdi på pålitelige enheter og tilkoblinger. Flere faktorer kan legges til når risikoen stiger - enten det er basert på verdien på innholdet, atferden til brukeren, deres beliggenhet og tilkobling eller enhetens tilstand. Du kan allerede konfigurere det ved å bruke Azure AD Conditional Access og MFA, men omfattende støtte for et komplett sett med passordløse alternativer er bare å begynne å komme.

FIDO2 (Fast Identity Online) er tverrplattformen hvordan bransjen oppnår dette, men det tar tid å få standardene utarbeidet og levert, og Windows og Azure AD-støtte kommer også i trinn.

De første trinnene er avhengige av Microsoft Authenticator-appen, som bruker nøkkelbasert godkjenning for å lage en brukeropplysning som er knyttet til en enhet og bruker en PIN-kode eller biometrisk (så det er en programvarekvivalent med Windows Hello). I stedet for å bruke et passord for å logge på, ser brukerne nummerkoden for å gå inn i Authenticator-appen, der de må oppgi PIN-koden sin eller oppgi en biometrisk.

I stedet for å fylle ut et passord, har Microsoft Authenticator-appen og Azure AD brukere til å legge inn nummeret på skjermen i appen - på telefonen eller smartwatch. Snart fungerer det også med FIDO2 maskinvareenheter.

Bilde: Microsoft

Passordløs pålogging for Microsoft-kontoer med Microsoft Authenticator-appen er allerede tilgjengelig, og støtte for å logge på Azure AD er nå i offentlig forhåndsvisning. Du må bruke Azure MFA, og administratorer må aktivere det for leietageren ved å legge til AuthenticatorAppSignInPolicy ved hjelp av PowerShell. Det vil være en måte å gjøre det i portalen når tjenesten er ute av forhåndsvisning.

Foreløpig kan Authenticator-appen bare dekke en enkelt konto registrert med Azure AD i en leietaker, men støtte for flere kontoer er planlagt i fremtiden.

Den passordløse Azure AD-påloggingen dekker ikke bare Office 365 og Azure; den fungerer med alle tjenester som støtter føderasjon. Det betyr at hundretusenvis av skyapper (fra Twitter til Salesforce) og mange lokale apper som jobber med Azure AD for enkeltpålogging, alle kan være passordløse.

Du kan legge til allerede aktiverte apper til leietakeren din ved å bruke Azure AD-applikasjonsgalleriet. Hvis appen du ønsker ikke er oppført, kan du bruke applikasjonsintegrasjonsmalene til å konfigurere enkeltpålogging for apper som støtter SAML 2.0, SCIM-brukerlevering eller HTML-skjemaer-pålogging. Velg Active Directory> Enterprise Applications> New Application> Non-gallery-applikasjon fra Azure-portalen, og fyll ut detaljene i ruten til siden, med navnet. Du kan også legge til applikasjoner som har enkeltpålogging gjennom føderasjonstjenester som Azure ADFS, og de vises i Office 365-appstarteren.

Du kan bruke passordløs pålogging med apper som ikke allerede er i Azure AD-appgalleriet.

Bilde: Microsoft

For å legge til enkeltpåloggingsstøtte til dine egne applikasjoner, kan utviklere bruke Azure Active Directory Authentication Library (ADAL), Microsoft Authentication Library (MSAL) eller forskjellige open-source biblioteker som støtter OAuth 2.0 og OpenID Connect 1.0, og deretter registrere det gjennom samme portal.

FIDO2 og Azure AD

Hvis Microsoft Authenticator-appen ikke dekker alle dine behov, kommer også støtte for FIDO2 maskinvaresikkerhetsenheter. Det kan være en Yubikey, eller til og med en fitness-tracker som Motiv Ring.

Igjen kommer dette først for Microsoft-kontoer, med den generelle tilgjengeligheten av FIDO2-passordløs støtte for Microsoft-kontoer i Windows 10 denne uken. Det betyr at du kan logge på Windows 10 og deretter på nettsteder som Office 365 i nettleseren (Edge, Chrome eller Firefox) ved å bruke en FIDO2-nøkkel i stedet for et passord, slik du kan med Windows Hello og biometri, med sikkerhetsnøkkelens maskinvare bundet til TPM på PC-en. Ettersom flere nettsteder bruker W3C FIDO autentiseringsstandarder, får du passordløs pålogging på dem også.

"Vi gjør alltid Microsoft-kontoversjonene først, både for å eksperimentere og lære raskt, og også fordi de ikke krever den omfattende administratoren som Azure AD-versjonene gjør, " forklarte Alex Simons, konserndirektør i Microsofts identitetsavdeling, til TechRepublic .

Neste trinn vil være FIDO2 passordløs støtte for Azure AD-kontoer i Windows 10, for Windows-kontoen og Office 365, og alle de tilknyttede sky- og lokaltjenestene som får enkelt pålogging gjennom Azure AD. Det har vært i privat forhåndsvisning siden sommeren 2018; organisasjoner vil kunne bruke den i offentlig forhåndsvisning i første kvartal av 2019.

Mange FIDO maskinvaretokener kan også lage tidsbaserte engangskodekoder (TOTP) ved å bruke OATH-standarden. Det er spesielt nyttig for brukere som ikke vil kunne (eller bare ikke vil) motta en telefonsamtale eller en tekstmelding.

Du kan nå bruke maskinvare-OATH-symboler som et alternativ for Azure AD MFA og tilbakestilling av passord for selvbetjening, så lenge du har en premium (P1 eller P2) Azure AD-lisens - og passord tilbakestilling støtter nå Windows 7, 8 og 8.1 med tilbakestilling av passord fra innloggingsskjermen.

OATH-støtte for maskinvare erstatter ikke eksisterende alternativer for godkjenning. Brukere kan ha opptil fem maskinvare- og programvarealternativer, hver inkludert Microsoft Authenticator-appen (og forhåndsvisningen inkluderer andre godkjenningsapper som Authy som støtter OATH), tekstmelding og taleanrop. Hvis du bruker en YubiKey, som ikke har et batteri og ikke kan spore tid, trenger du Yubico Authenticator-appen også. OATH-støtten er i forhåndsvisning, så forvent at grensesnittet for å administrere det skal endres (og flytt ut av MFA-serverdelen av Azure-grensesnittet, som ellers er for å sette opp Azure MFA-støtte på stedet).

Ikke forvent FIDO U2F-støtte; Microsoft mener at det å gå uten passord er et bedre alternativ enn bare å ha enda en ekstra faktor støttet.

Microsoft Weekly Newsletter

Vær din virksomhets Microsoft-innsider ved hjelp av disse Windows- og Office-opplæringsprogrammene og våre eksperters analyser av Microsofts bedriftsprodukter. Leveres mandager og onsdager

Registrer deg i dag

SENESTE OG RELATERT DEKKING

  • Vil Microsoft endelig drepe passordet med Authenticator-oppgraderingen?
  • Hvordan forhindre problemer med ekstern skrivebordsautentisering etter nylige oppdateringer til Windows-servere
  • Hvordan tilbakestille Windows 10-passordet ditt når du glemmer det
  • Hvordan gå utover passord i Windows 10
  • Windows 10 etter tre år: Et sterkt forbedret rapportkort (ZDNet)
  • Office 365-administratorer: Slik reduserer du nytt angrep som omgår 2FA på Windows-systemer

© Copyright 2020 | mobilegn.com