Passord er blant de svakeste leddene innen moderne cybersikkerhet. Entra ID, identitetstjenesten i Microsoft 365 og Azure, klarer seg ikke helt uten, men har flere mekanismer for å beskytte dem.
Selvbetjent tilbakestilling av passord lar sluttbrukere selv endre det eller låse opp kontoen.
Microsofts passordbeskyttelse hindrer brukere i å lage svake eller vanlige passord som er enkle å gjette eller er avslørt i tidligere datainnbrudd.
Smart lockout stenger antatte angripere ute og tillater legitime brukere å logge på. Det er innebygde tjenester for å oppdage, hindre og administrere lekket legitimasjon.
Microsoft jobber intenst for at virksomheterskal gå bort fra pålogginger basert på bare brukernavn og passord. Nye organisasjoner er satt opp med Sikkerhetsstandarder, som krever at alle er registrert for multifaktor-autentisering (MFA). Selskapet fraråder tekstmeldinger og taleanrop som annen faktor. Det samme gjelder automatisk genererte engangspassord og Microsoft Authenticator med standard push-varsler. Microsoft anbefaler i stedet forskjellige passordløse godkjenningsmetoder. Enkelte av dem, så som Hello for Business og FIDO2-sikkerhetsnøkler, er fullstendig motstandsdyktige mot phishing.
Passord og Microsoft Entra ID
Sikkerhetsutfordringene knyttet til passord står i kø. Brukere opplever dem som problematiske. De glemmer dem, skriver dem ned på gule lapper og velger gjerne svake passord, ofte basert på personlig informasjon – lett å huske, lett å knekke. Angrep med rå makt anvender programvare med gigantiske passordlister for å foreta utallige påloggingsforsøk til det riktige er funnet. Passordsprøyting går mer forsiktig frem for ikke å bli oppdaget og prøver en tre–fire vanlige passord på alle brukere i bedriften og har gode sjanser til å få napp på to av tusen.
Sosial manipulering med phishing og skuldersurfing er andre metoder for å kapre brukerlegitimasjon. Tastaturloggere og spionvare registrerer tastetrykk, fanger opp passord og sender dem til angripere. Gjenbruk av passord på flere nettsteder kan lede til at angripere etter et datainnbrudd benytter stjålen legitimasjon for å få tilgang til kontoer på andre plattformer. Krav om hyppig passordendring fører til brukertretthet og får folk til å velge dårligere passord eller endre dem på forutsigbare måter. Entra ID har flere funksjoner for å beskytte passord og tilbyr sterkere former for autentisering.
Selvbetjent tilbakestilling av passord
Selvbetjent tilbakestilling av passord (SSPR) lar sluttbrukere endre passord eller låse opp kontoen uten å involvere helpdesk eller systemadministrator. Det sørger for forbedret produktivitet ved å redusere nedetid og behovet for støtteanrop. Det styrker sikkerheten ved å la brukere tilbakestille sine egne passord umiddelbart ved mistanke om at legitimasjonen er kompromittert. Kombinert med Entra ID Identitetsbeskyttelse kan en evaluering av brukerrisiko automatisk føre til at bruker blir oppfordret til å oppgi MFA og endre passordet (krever Premium P2).
I administrasjonssentret for Microsoft Entra setter du opp påkrevd antall autentiseringsmetoder og hvilke brukere kan velge. Du bør angi to for ågi bedre beskyttelse mot phishing. Ideelt sett tillater du kun mobilappkode og mobiltelefon. Alternativ e-postadresse eller sikkerhetsspørsmål bør unngås siden de lettere kan misbrukes. Under Registration ruller du ut tjenesten til alle brukere med krav om at de må registrere seg når de logger på. Dette gjelder bare for sluttbrukere; administratorer er alltid aktivert for Selvbetjent tilbakestilling av passord og må benytte to metoder for å identifisere seg.
Når brukere har glemt eller ønsker å endre passordet sitt, går de til påloggingssiden og klikker på lenken «Jeg har glemt passordet». De bekrefter identiteten sin og kan angi et nytt passord for å få tilgang til kontoene sine. I hybride miljøer med lokalt Active Directory (AD) kan du sette opp tilbakeskriving av passord i Entra ID Connect eller CloudSync og dermed endre passordet i AD.
Passordbeskyttelse
Microsoft Passordbeskyttelse hjelper deg med å beskytte organisasjonen din mot svake, vanlige og kompromitterte passord. Funksjonen er utformet for å eliminere sannsynligheten for et vellykket passordangrep med rå kraft eller passordsprøyting. Det hindrer brukere i å velge passord fra en global forbudt liste eller tilpasset liste over bannlyste passord definert av virksomheten.
Her kan du også oppgi en terskelverdi for hvor mange mislykkede pålogginger du godtar for en konto før den låses. Hvis den første påloggingen etter en lockout feiler igjen, begynner tellingen på nytt. Du angir minimumslengden for hver lockout. Hvis en konto gjentatte ganger låses, øker lengden. Den globale forbudte passordlisten er aktivert som standard og kan ikke endres eller deaktiveres. Listen er ikke hentet fra tredjeparter som haveIbeenpwned.com, men er basert på telemetri fra Microsofts enorme infrastruktur på tvers av nettjenester. Det gir selskapet en god oversikt over hvilke passord man bør unngå.
Forsøk på å endre passordet til ett som er bannlyst, gir en melding om at Microsoft har sett passordet for mange ganger før, og at du bør forandre det til ett som er vanskeligere å gjette.Administrator kan opprette en egendefinert liste med opptil 1000 forbudte passord, som inkluderer varianter der ett eller flere tegn erstattes, som for eksempel et @ med en a, en 1 med en l, en 0 med en o osv. Du kan koble tjenesten til lokalt Windows Active Directory.
Entra ID Smart Lockout
Smart Lockout er en funksjon for å beskytte brukerkontoer. Hensikten er å stenge ute trusselaktører og goda pålogginger fra legitime brukere, så det oppstår minst mulig friksjon. Det demper virkningen av passordsprayangrep. Under Passordbeskyttelse angir du egendefinerte terskler for antall mislykkede påloggingsforsøk som vil utløse en lockout, basert på brukeradferd og sikkerhetsbehov i virksomheten. Det smarte aspektet er Entra IDs evne til å skjelne mellom ondsinnede og legitime påloggingsforsøk.
Smart Lockout bruker heuristikk (sannsynlighetsvurderinger) som analyserer pålogginger på kontoen. Den ser på faktorer som type enhet som brukes, plassering og påloggingshistorikk for å identifisere mønstre som tyder på et illegitimt forsøk. Hvis Entra ID fastslår at påloggingsforsøkene er mistenkelige eller ondsinnede, vil den låse kontoen for angriperne, men la den være åpen for en gyldig bruker. Administrator kan motta varsler og få tilgang til rapporter om lockout-hendelser.
Lekket legitimasjonsdeteksjon
Tjenesten for å oppdage lekket legitimasjon beskytter brukerkontoer i Entra ID mot å bli kompromittert. Ved massive datainnbrudd ender ofte store sett med brukernavn og passord opp på det mørke nettet. Folk har en tendens til å bruke samme påloggingpå tvers av nettkontoer. Dette utnytter trusselaktører i credentialstuffing-angrep. Stuffingen eller fyllet er legitimasjon som er kommet på avveie; angrepene er rettet mot et stort antall nettsteder.
Microsoft vedlikeholder en kontinuerlig oppdatert database med påloggingsopplysninger som er kjent for å ha blitt kompromittert i ulike innbrudd og lekkasjer. Når en bruker prøver å logge på Entra ID, kontrolleres legitimasjonen mot denne databasen. Hvis tjenesten finner ut at brukerinformasjonen er lekket eller kompromittert i et sikkhetsbrudd selskapet har kjennskap til, utløses et varsel. Kombinert med Entra ID Identitetsbeskyttelse må bruker oppgi MFA og tilbakestille passordet.
Multifaktor-autentisering
Mekanismene for å beskytte brukerkontoer og passord i Entra ID bør inngå i et mer omfattende forsvar mot identitetsangrep. Helt sentralt står multifaktor-autentisering (MFA), også kjent som godkjenning med flere faktorer eller totrinnsverifisering.
Prinsippet bygger på noe du vet (passord, PIN), noe du har (enhet, brikke, mobil) og noe du er (ansiktsgjenkjenning, fingeravtrykk), enkelte ganger også lokasjon (på kontret, land osv.). Dette er det grunnleggende, men kan utvides med andre faktorer og metoder.
MFA kan gi en beskyttelse på rundt 99 prosent, men ikke alle former er like sikre. Microsoft har lenge advart mot tekstmeldinger og taleanrop som annen faktor. Kommunikasjonen er ikke kryptert og kan fanges opp. Svindel med SIM-kort er blitt mer utbredt. Nettkriminelle kan drive brukere til vanvidd med stadige telefonoppringninger for en pålogging de ikke selv har initiert. Det samme gjelder standard push-varsler i Microsoft Authenticator. Enkelte kan komme i skade for å godkjenne forespørselen. Sikkerheten for engangspassord varierer, avhengig av hvordan de overføres, men er ikke immune mot avanserte phishing-angrep. Bedre er passordløs pålogging, som her illustreres med Authenticatorog Windows Hello for Business.
Microsoft Authenticator
Til generell bruk for passordløs pålogging er Microsoft Authenticator med nummer-matching ditt beste og tryggeste valg. Dialogen på mobilenber deg om å taste inn nummeret som vises på dataskjermen. En nettkriminell som forsøker å bryte seg inn, vil få opp et nummer. Men du vet ikke hva det er, og kan ikke engang i vanvare komme i skade for å bekrefte at det er deg. Du har den ekstra sikkerheten at du kan se hvor påloggingen geografisk kommer fra (i hvert all omtrentlig), og hvilken app som er brukt.
Standard pushvarsler i Authenticator gir deg bare alternativene Godkjenn og Avvis. Du kan gå lei av alle forespørsler en hacker sender, og godkjenner én av dem til slutt. Eller så bommer du. Da er det gjort. Angrepsmetoden er utbredt og undergraver alt du måtte ha hørt om hvor sikkert det er med MFA.
Dette bør være innstilligene for Authenticator: Ikke tillat bruk av Microsoft Authenticator OTP. Microsoft har slått på at du skal kreve nummermatching for pushvarsler. Funksjonsstatusen for de neste punktene kan være satt til Microsoft-administrert, og da vil den bli aktivert på et passende tidspunkt etter forhåndsvisningen. Her er det valgt å gjør det med det samme: Vis applikasjonsnavn i push- og passordløse varsler og Vis geografisk plassering i push- og passordløse varsler. Det siste punktet er ikke på skjermbildet: Microsoft Authenticator på følgeapplikasjoner. Slå også på denne funksjonen.
I Authenticator bør du kreve skjermlås når du åpner appen, godkjenner et varsel eller autofyll på nettsteder. Velg Innstillinger i appen. Under Sikkerhet finner du Applås. Slå den på om det ikke er gjort. Naturligvis forutsetter det at mobilen er satt opp for fingeravtrykk eller ansiktsgjenkjenning. Biometrisk beskyttelse av Authenticator legger til et ekstra sikkerhetslag som sørger for at bare noen med dine fysiske egenskaper kan få tilgang til sensitiv informasjon og autentiseringskoder.
Windows Hello for Business
Under Windows er Hello for Business den sikreste og mest brukervennlige metoden for passordløs pålogging. Den godkjenner brukere ved hjelp av ansiktsgjenkjenning eller skanning av fingeravtrykk og faller tilbake på en enhetsspesifikk PIN-kode om biometrien svikter. Under panseret benyttes et asymmetrisk nøkkelpar for sertifikatbasert autentisering. Nøklene er unike for hver enkelt bruker og enhet. Den offentlige nøkkelen sendes til Entra ID (Azure AD) og benyttes til å verifisere forespørsler fra klienten som er signert med den private.
All brukerlegitimasjon lagres lokalt på enheten, innbefattet privat nøkkel og PIN.Ikke noe av det blir overført over nettverket, til forskjell fra tradisjonelle passord som kan fanges opp. Phishing-nettsteder kan ikke lure brukere til å oppgi biometriske data. For angripere er det ingenting å gripe tak i uten at de har direkte tilgang til Windows-maskinen. Hello for Business er integrert med enhetens Trusted Platform Module (TPM), en sikker kryptoprosessor som beskytter mot en rekke angrep ved å generere og lagre de kryptografiske nøklene som brukes til autentisering på en sikker måte.
Avsluttende ord
Passord er ikke til å unngå, selv om vi beveger oss mot en hverdag uten. Brukere må læres opp i trygg passordpraksis. Samtidig bør alle benytte en passordbehandler, som for eksempel LastPass, for å generere komplekse passord og lagre dem i et hvelv som er beskyttet med MFA. I et rent Apple-miljø sørger Nøkkelring (Keychain) sammen med iCloud for denne oppgaven på tvers av Mac, iPhone og iPad.
Microsofts skyplattformer har flere mekanismer for å beskytte passord og brukere, men der det er mulig, bør man gå over til passordløse løsninger. Snart vil også Mac-brukere nyte godt av biometrisk pålogging til Entra ID, med en teknologi som er beslektet med Windows Hello.
Les også: