Azure Active Directory (AD) er Microsofts skybaserte tjeneste for identitets- og tilgangsstyring. En sentral funksjon er å godkjenne legitimasjonen når en bruker logger på en enhet, applikasjon eller tjeneste. I Azure AD innebærer autentisering mer enn bare å verifisere brukernavn og passord. Det er innebygde mekanismer for passordbeskyttelse mot identitetsangrep med passordsprøyting eller rå kraft. Brukere kan selv endre eller tilbakestille passord.
Beskyttelsen lar seg utvide til å omfatte hybride miljøer. Passordendringer kan skrives tilbake til Windows AD. Passord som godkjenningsmetode kan ikke deaktiveres. Men du øker sikkerheten drastisk ved å plusse på med multifaktor-autentisering (MFA) eller totrinnsbekreftelse. Den mest brukervennlige og sikreste metoden er passordløs pålogging med Windows Hello for Business, mobilappen Microsoft Authenticator eller en FIDO2-sikkerhetsnøkkel.
Autentiseringsmetoder i Azure AD
Det er forskjellige måter en bruker kan legitimere seg på. Den svakeste er ved bare brukernavn og passord. Med moderne autentiserings- og sikkerhetsfunksjoner i Azure AD bør passordet suppleres eller erstattes med sikrere godkjenningsmetoder. Azure AD MFA legger til et ekstra sikkerhetslag. Brukere bør settes opp med minst to autentiseringsmåter i tilfellet den første svikter.
En kode tilsendt via SMS eller et anrop som bekreftes ved å trykke på firkant-tasten, anses i dag som mindre sikkert. Tekstmeldinger kan snappes opp, taleanrop avlyttes. En dreven kriminell kan kjapt ta ut et SIM-kort eller svindle til seg et i en telesjappe. Mange av angrepene er målrettet. Angriperne har i forkant sett seg ut brukerkontoer i virksomheten de ønsker å kompromittere.
Bedre er det å benytte mobilappen Microsoft Authenticator som annen faktor. Bruker får et push-varsel og kan trykke på Godkjenn. Authenticator genererer i tillegg en engangskode hvert 30. sekund. Alternativer er programvare- eller maskinvare-token OTP (one-time password). Best er passordløs autentisering, som Windows Hello, Microsoft Authenticator-appen og FIDO2-sikkerhetsnøkler.
Totrinnsbekreftelse og passordløs pålogging løser følgende problemer med passord:
- Brukere har vanskelig for å huske sterke passord og benytter svake som er lett å knekke.
- Samme passord brukes ofte på flere nettsteder. Med jevne mellomrom skjer det innbrudd, og konto-opplysninger kommer på avveie.
- Phishing-angrep og sosial manipulering kan lure folk til å oppgi legitimasjonen.
Angripere har liten glede av et passord for kontoer som er beskyttet med MFA. En enda bedre sikkerhet får du om du bare godtar pålogging fra klarerte enheter, som er Microsofts anbefaling.
Registrering av brukere
Du må begynne med MFA før du går over til passordløs pålogging. Administrator bestemmer hvilke metoder som bør godtas. Brukerne må registrere seg selv. Dette kan de gjøre sammen med registreringen for selvbetjent tilbakestilling av passord. Du bør i det lengste unngå å åpne opp for app-passord for eldre applikasjoner som ikke støtter moderne autentisering. For selvbetjent tilbakestilling av passord kan du foruten MFA-metodene benytte deg av sikkerhetsspørsmål og en ekstern e-postadresse.
Godkjenningsmetode – Styrke og sikkerhet
Tabellen nedenfor skisserer egenskapene ved de forskjellige autentiseringsmetodene. Tilgjengelighet refererer ikke til oppetiden for Azure AD, men gir en indikasjon på at brukere kan benytte metoden.
På Windows 10 er Hello for Business den ultimate løsning om maskinvaren har støtte for det. Ellers anbefaler vi for fleksibilitet og brukervennlighet at du bruker Microsoft Authenticator-appen. Denne autentiseringsmetoden gir den beste brukeropplevelsen og flere moduser, som MFA-push-varsler, engangskoder og passordløs autentisering.
Hvordan hver autentiseringsmetode fungerer
Enkelte autentiseringsmetoder kan benyttes som primær faktor ved pålogging. Andre kan bare brukes som sekundær. SSPR står for Self-Service Password Reset – Selvbetjent tilbakestilling av passord. Tabellen gir en sammenfatning.
Windows Hello for Business
Hello for Business sørger for en sterk form for multifaktor-autentisering som ikke krever passord. I stedet logger du deg på med ansiktsgjenkjenning eller fingeravtrykk. Enkelte ganger under uheldige lysforhold eller med fuktige fingrer må du falle tilbake til å bruke en PIN-kode. Dette er sikrere enn et passord fordi det bare er knyttet til enheten. Ingenting sendes over nettverket. Du kan stille krav til PIN-koder, men dessverre finnes det ingen mulighet for å hindre brukere i å benytte samme PIN-kode på forskjellige enheter.
Windows Hello for Business støtter både kontoer i Windows AD og Azure AD. Krav til maskinvare er en TPM-brikke, versjon 1.2, 2.0 eller høyere (selv om det teoretisk går uten). I tillegg må du ha et infrarødt (IR) kamera eller en fingeravtrykksavleser. Begge må være sertifisert for Windows Hello.
Støtten for Hello for Business blir stadig mer utbredt. For å kontrollere den og sette den opp velg Windows-innstillinger, Kontoer, Påloggingsalternativer. Det er her brukere går inn for å skanne inn ansikt og fingeravtrykk og sette opp en PIN-kode.
- Windows Hello-legitimasjon er basert på et sertifikat med asymmetrisk nøkkelpar (offentlig og privat) som er bundet til enheten. Det gjelder også tokenet fra identitetsleverandøren.
- Identitetsleverandøren (Windows AD, Azure AD eller en Microsoft-konto) validerer bruker og tilordner en offentlig nøkkel til en brukerkonto under registreringstrinnet.
- Nøkler kan genereres i maskinvare (TPM 1.2 eller 2.0 for bedrifter og TPM 2.0 for forbrukere) eller i programvare, avhengig av policy.
- Autentiseringen er en sterk form for totrinnsbekreftelse, kombinert med en nøkkel eller et sertifikat. Den representerer noe personen vet (PIN-kode) og noe personen er (biometri).
- PIN-koden eller en biometrisk gest låser opp Windows 10 til å bruke den private nøkkelen til kryptografisk å signere data som sendes til identitetsleverandøren.
- Identitetsleverandøren verifiserer brukerens identitet og autentiserer brukeren.
Microsoft Authenticator
Mobilappen Microsoft Authenticator-appen gir en enkel metode for å sette opp autentisering uten passord. Du aktiverer passordløs pålogging i administrasjonsportalen for Azure AD. Velg Security, Authentication methods, Policies. Konfigurer autentiseringsmetode som vist i skjermbildet. Neste trinn er å sette opp funksjonen i Microsoft Authenticator. Trykk på Aktiver telefonpålogging i alternativene. Enheten må være registrert i Azure.
Etter at du har aktivert passordløs pålogging for en konto og logger på, presenteres en kode på påloggingssiden. Et varsel popper opp i mobilappen som tilbyr deg tre tall å velge mellom. Du må trykke på tallet som svarer til det som vises på skjermen for å låse opp tokenet fra enheten og fullføre påloggingen. Dette er uhyre elegant. Du ser hvor påloggingen kommer fra (macOS, Norge), noe du dessverre ikke gjør med push-varsler fra Authenticator.
FIDO2-sikkerhetsnøkler
FIDO (Fast IDentity Online) Alliance er en åpen bransjeforening som består av ulike organisasjoner. Målet er å utvikle og fremme passordløse autentiseringsstandarder. Den mest kjente er FIDO 2.0. I skrivende stund tilbys FIDO2-nøkler av leverandører som Yubico, eWBM og AuthenTrend.
Når du logger deg inn på et nettsted med FIDO2, blir dette autentiseringsflyten:
Brukeren plugger inn sikkerhetsnøkkelen i enheten. Den oppdager at det er lagt til en FIDO2-sikkerhetsnøkkel. Det sendes en forespørsel om godkjenning til Azure AD, som svarer med å sende et tilfeldig tall (nonce) tilbake. Bruker oppgir en PIN-kode eller et fingeravtrykk for å låse opp den private nøkkelen som er lagret i sikkerhetsnøkkelen.
FIDO2-sikkerhetsnøkkelen signerer noncen med den private nøkkelen. En PRT-forespørsel (Primary Refresh Token) med signert nonce sendes til Azure AD. Azure verifiserer den. Hvis den er bekreftet, returnerer Azure AD et PRT og en Ticket Granting Ticket (TGT) for å gi tilgang til ressursene.
Du må først ha satt opp sikkerhetsnøkkelen i Azure AD. Velg Påloggingsalternativer, Logg på med en sikkerhetsnøkkel.
Tekstmelding (forhåndsversjon)
Et annet alternativ i Azure AD for å bruke godkjenning uten passord er SMS-basert autentisering. Bruker logger på bare ved å oppgi telefonnummeret. Microsoft sender en kode eller ringer opp for å autentisere deg. For tiden er dette bare kompatibelt med Teams. SMS-basert autentisering støttes ikke som første faktor ved totrinnsbekreftelse.
Midlertidig adgangskort (forhåndsversjon)
Men hva skjer hvis en bruker ikke har tilgang til autentiseringsenheten eller til og med mister den? Med et midlertidig adgangskort kan en bruker logge på med et tidsbegrenset passord som lar ham eller henne registrere en ny passordløs autentiseringsmetode. Konfigurasjonsmulighetene er fleksible. Du setter opp minimum og maks levetid i minutter, timer og dager. Det beste er å holde tidsintervallet så kort som mulig. Lengden på koden i det midlertidige tilgangspasset kan ha mellom 8 og 48 tegn. Du kan bestemme om adgangskortet skal brukes én eller flere ganger.
Avsluttende ord
I bunn og grunn kan bloggen sammenfattes i denne figuren. Passord pluss multifaktor-autentisering (MFA) oppleves av mange brukere som masete og forstyrrende i arbeidet, uten at det gir dem en synlig gevinst. Passordløst med Windows Hello for Business er en genial løsning. Men det krever Windows 10 og maskinvarestøtte. Passordløst med Microsoft Authenticator er en mulighet. Om det er så mye mer praktisk enn MFA med push-varsling, er en annen sak. Men det er sikrere fordi man ser hvor påloggingen kommer fra. Det minker risikoen for at man godkjenner en pålogging man ikke selv har initiert, noe som kan skje med push-varsling.
Sikkerhetsnøkler basert på FIDO2-standarden, vil vi se mye mer av i årene som kommer. Det er støtte for Windows, macOS, Android og iOS/iPadOS. Forhåpentlig vil Microsoft integrere Face ID på iPhone og tilsvarende på Android i en passordløs pålogging. Uansett kan man fastslå to ting: Det kommer til å ta en god stund til vi helt er kvitt passord. Da må vi tekke veksler på passordbeskyttelse og smart utestenging, funksjoner som er innebygd i Azure AD. Men teknologiene for trygg pålogging er der. De eliminerer 99,9 prosent av faren for identitetsangrep. Det gjelder å ta sikkerhetsmekanismene i bruk. Du hindrer dermed de mest utbredte formene for phishing og inntrenging.