Kombinasjonen av bare brukernavn og passord gir ikke god nok beskyttelse for brukerkontoer. Du trenger ytterligere én godkjenningsfaktor. Denne type pålogging går under mange navn: multifaktor-autentisering (MFA), totrinnsverifisering og godkjenning med flere faktorer. MFA reduserer faren for identitetsangrep med 99,9 prosent. Det er en rekke måter å benytte MFA på i Microsoft 365. Til generell bruk er godkjenner-appen Microsoft Authenticator et godt valg.
MFA bør settes opp med minst to alternativer. Her vises det hva brukere må foreta seg, og hva du som administrator må konfigurere. Du kan rulle ut MFA fra Microsoft 365-administrasjonssentret. En bedre opsjon er en relativt ny mekanisme som kalles Sikkerhetsstandarder. Mest fleksibilitet gir betinget tilgang, som faller utenfor fremstillingen. Men la oss først se på hva MFA er, hvilke problemer passord skaper, og bare antyde at fremtiden er passordløs.
Noe du vet, noe du har, noe du er
Totrinnsverifisering er basert på at du bruker to av følgende faktorer for å logge på:
- Noe du vet: passord eller PIN-kode
- Noe du har: mobil, smartkort eller maskinvare-token (bevis)
- Noe du er: fingeravtrykk, retinaskann eller annen biometrisk godkjenning
To ulike passord gir ikke MFA. Elementene kan ikke tilhøre samme kategori. Autentiseringen bør ikke foregå på samme kanal som påloggingen for å beskytte mot avlytting.
Multifaktor-autentisering i dagliglivet
Egentlig kjenner du metoden. Du logger deg på nettbanken med personnummer (noe du vet) og bekrefter identiteten med en bankbrikke (noe du har). Med Vipps er mobilappen noe du har, PIN-koden noe du vet, eller ansiktsgjenkjenning noe du er. Kontaktløs betaling (tæpping) sikres ikke med MFA. Det skjer først for beløp over 500 kroner, som krever en PIN.
Godkjenning med flere faktorer
Microsoft støtter et bredt spektrum av teknologier for MFA, i forlengelse av dét sikker tilkobling uten passord. Microsoft Authenticator godkjenner pålogginger fra en mobilapp som bruker push-varsler, biometri eller engangspassord. Windows Hello for bedrifter erstatter passord med trygg tofaktor-godkjenning på Windows 10. Legitimasjonen er knyttet til enheten med en PIN-kode, et fingeravtrykk eller ansiktsgjenkjenning.
En FIDO2-sikkerhetsnøkkel lar deg logge på uten brukernavn eller passord med en USB-brikke. Alternativt kan du benytte nærfeltskommunikasjon eller andre eksterne sikkerhetsnøkler som støtter Fast Identity Online-standarden (FIDO). Maskinvare- eller programvare-token genererer automatisk et engangspassord basert på åpne godkjenningsstandarder. Med SMS og tale mottar du en kode på mobilen via en tekstmelding eller et anrop for å bekrefte identiteten.
Passord og data-innbrudd
Problemene med passord skriker etter å bli avviklet. Samme passord brukes forskjellige steder, privat og på jobb. De skrives ned, noteres på Post-it-lapper, oppbevares elektronisk. Ofte er de enkle å huske, dermed enkle å gjette. Passordendringer oppfyller så vidt minstekriteriene og er forutsigbare: Sommer_01, Sommer_02 osv. Passord glemmes og belaster helpdesk.
I 2018 publiserte LastPass en studie basert på 2000 deltakere. Den viser: 92 % føler at sikkerhet knyttet til passord er viktig. 59 % opererer med samme passord på tvers av nettsteder. 42 % lagrer passord i en fil. 53 % har ikke endret passord i løpet av tolv måneder. 62 % bruker samme passord ved personlig og jobbrelatert pålogging.
I januar 2019 ble det funnet over én milliard kombinasjoner av e-postadresser og passord på en filhosting-tjeneste på Det mørke nettet. Det var over 87 GB med brukerdata som stammer fra flere innbrudd, omtalt som Collection #1. Noen måneder senere ble det oppdaget en enda større samling.
Hvert år utgir Verizon en rapport om data-innbrudd. I 2019 var 29 % av sikkerhetsbruddene relatert til stjålen legitimasjon. Det tok flere måneder – ofte lengre tid – å oppdage 56 % av innbruddene. 43 % involverte små og mellomstore bedrifter.
Passord stjeles ved store innbrudd, sosial manipulering, phishing og skadelig programvare. Folk er ikke flinke til å administrere passord, mens angripere er drevne i å få tak i dem. Hackere bruker passordet for å få tilgang til kontoer og nettverk. Det kan få kraftige økonomiske konsekvenser og føre til et frynsete rykte for virksomheten. Mindre organisasjoner er like sårbare som store. Det gjør det nødvendig med en enkel løsning for å øke bruken av MFA.
Microsoft Authenticator
Microsoft Authenticator er tilgjengelig for iOS, watchOS (Apple Watch) og Android. Til vanlig vil du benytte push-varsling. Når MFA er aktivert, får du opp en oppfordring om å trykke på Godkjenn eller Avslå. Om autentiseringen svikter, kan du falle tilbake på en tidsbasert engangskode som genereres på nytt hvert 30. sekund. Sistnevnte er en bransjestandard, som gjør at du kan legge til en hvilken som helst online-konto som støtter standarden for å sikre andre kontoer.
Godkjenner-appen kan benyttes sammen med brukernavn/passord. Av hensyn til sikkerheten må du ved passordløs pålogging bruke fingeravtrykk, ansiktsgjenkjenning eller en PIN-kode. For en personlig konto kan du aktivere eller deaktivere totrinnsverifisering og tilbakestille passordet. For en jobb- eller skolekonto er det IT-administrator som bestemmer. Bruker fullfører registreringsprosessen for MFA. Du kan sikkerhetskopiere og gjenopprette kontolegitimasjon.
Brukerregistrering for MFA
Brukere må selv registrere seg for MFA. Det krever god kommunikasjon og riktige instruksjoner. Dette kan de gjøre ved å gå til https://aka.ms/mfasetup eller https://mysignins.microsoft.com. Alternativt foretar de registreringen ved første pålogging etter at MFA er aktivert for dem.
Bruker logger på, taster inn passordet og får beskjed om at organisasjonen trenger mer informasjon.
MFA settes opp via en enkel veiviser. Bruker blir bedt om å skaffe seg Microsoft Authenticator fra Apple Store (iOS) eller Google Play (Android). Klikk på Neste når appen er på plass.
Du blir bedt om å konfigurere kontoen. Du må trykke på pluss-tegnet i mobilappen for å legge til en konto og velge Jobb eller skole. Klikk på Neste.
Skann inn QR-koden eller taste inn en kode. Klikk på Neste og prøv ut om det fungerer. Du må trykke på Godkjenn i Microsoft Authenticator. Hvis du ikke klarer å ta et foto av bildet, klikker du på koblingen under. Da får du en kode du legge inn i godkjenner-appen.
Et varsel sendes til Microsoft Authenticator. Trykk på Godkjenn. Da er varslingen testet og akseptert. Klikk på Neste.
Kontoen er sikret og satt opp med totrinnsverifisering. Klikk på Fullfør.
I Mine pålogginger (https://mysignins.microsoft.com) kan bruker endre standardmetoden for å logge på. Dette var brukersiden. Det er ingen alternativer for anrop eller SMS fordi vi ikke konfigurerte dem. Nå må vi se på hva du som administrator må gjøre for å sette opp MFA for brukerne dine.
Sette opp MFA
Gå inn i administrasjonssentret for Microsoft 365. Velg Aktive brukere. Klikk på ellipsen (...) og velg Godkjenning med flere faktorer. Ingen bruker må være valgt for å få frem menypunktet øverst.
På dette bladet kan vi nå sette opp MFA for én eller flere brukere ved å velge dem og klikke på Aktiver. Et bedre alternativ er å anvende Sikkerhetsstandarder. Det er den metoden Microsoft anbefaler om du ikke bruker betinget tilgang. Brukere vises her som deaktivert om det ikke er satt opp MFA for dem her. De er aktivert før de har registrert seg. Håndhevet betyr at de benytter totrinnsverifisering.
Ved å klikke på Behandle brukerinnstillinger kan du kreve at valgte brukere oppgir kontaktmetoder på nytt, sletter alle eksisterende app-passord og gjenoppretter godkjenning med flere faktorer på alle lagrede enheter.
Klikk på Tjenesteinnstillinger. Her konfigurerer du hvordan MFA kan benyttes av brukerne dine. Du bør ikke tillate brukere å opprette app-passord. Dette er engangspassord for apper som ikke støtter moderne autentisering (MFA). Om du benytter Sikkerhetsstandarder eller aktiverer brukere her, kan det være aktuelt å legge inn interne IP-adresser, dvs. at brukere kan hoppe over MFA fra angitte IP-områder. Vi huker bare av for to alternative metoder for brukere:
- Varsling via mobilapp
- Bekreftelseskode fra mobilapp eller maskinvaretoken
Anrop til telefon kan overhøres. Tekstmelding til mobil (SMS) ansees ikke som like sikkert som før. Dyktige hackere har vist at de klarer å tappe mobilnettet. SIM-kort-svindel blir stadig mer utbredt. Derimot ønsker vi å sørge for en optimal brukeropplevelse og minimere MFA-påminnelser. Vi lar brukere klarere enheter i 14 dager før de får en ny oppfordring. Med betinget tilgang skal dette ikke konfigureres her.
Sikkerhetsstandarder
Sikkerhetsstandarder er et sett med mekanismer for å sikre identiteter som er anbefalt av Microsoft. Hensikten er å sørge for at alle organisasjoner har aktivert et grunnleggende sikkerhetsnivå uten ekstra omkostninger. Beskyttelsen krever ikke Azure AD Premium og fungerer med gratis-versjonen. Den primære målgruppen er virksomheter som ønsker å bedre sikkerhetsinnstillingene, men ikke vet hvordan, eller hvor de skal begynne. Sikkerhetsstandarder går ikke sammen med betinget tilgang.
Gå inn i administrasjonssentret for Azure AD. Velg Properties. Nederst på bladet klikker du på Manage Security defaults. Aktiver tjenesten. Det er mulig du får opp en feilmelding som sier: Det ser ut som om du har aktivert policyer for betinget tilgang og identitetsbeskyttelse. Aktivering av disse policyene hindrer deg i å aktivere Sikkerhetsstandarder.
I så fall bør du helst ikke benytte deg av disse forenklede beskyttelsesmekanismene, men sette opp MFA med betinget tilgang. Det er noe mer omstendelig, men gir betydelig bedre kontroll. Da kan du i tillegg får med deg hvilke enheter brukere har anledning til å logge seg på fra. Sikkerhetsstandarder konfigurerer disse innstillingene:
- Krever at alle brukere registrerer seg for Azure MFA
- Krever at brukere benytter MFA når det er nødvendig
- Krever alltid MFA for administratorer
- Blokkerer eldre autentiseringsprotokoller
- Beskytter privilegerte aktiviteter i Azure-portalen
Enhetlig registrering for MFA
Samtlige brukere i organisasjonen din må registrere seg for Azure MFA. De har 14 dager på å gjøre det. De kan bare bruke Microsoft Authenticator-appen. Etter at de 14 dagene har gått, vil ikke brukeren kunne logge på før registreringen er fullført. Perioden begynner etter første vellykkede interaktive pålogging etter at Sikkerhetsstandardene er aktivert.
Sikkerhetsstandarder og basispolicyer
Sikkerhetsstandarder erstatter de fire basispolicyene for betinget tilgang som aldri har vært mer enn forhåndsversjoner, og som nå frarådes.
Avsluttende ord
Totrinnsverifisering (MFA) er uten tvil den enkleste og mest effektive måten å øke sikkerheten i virksomheten på. Den forsvarer deg mot forskjellige typer angrep. Men MFA innebærer også at brukere må utføre et ekstra trinn i autentiseringen. Det koster tid og gir dem ingen synlig gevinst. De risikerer å stå overfor samme oppfordring flere ganger om dagen. De blir trøtte av å kontinuerlig måtte oppgi en tilleggsfaktor. Det kan føre til en ny sikkerhetsrisiko som ikke ville eksistert uten MFA. I ren tankeløshet aksepterer de en godkjenningsforespørsel som ikke kommer fra dem.
Med Microsoft Authenticator kan det være smart å redusere MFA-oppfordringene. Du kan droppe MFA på ditt lokalnett om du anser det som trygt nok. Du kan tillate at brukere ikke trenger å oppgi MFA mer enn annenhver uke fra klarerte enheter. Du kan kombinere MFA med Azure Identity Protection og b
are benytte MFA hvis det er knyttet en risiko til påloggingen. Uansett bør privilegerte brukere med administrative roller alltid logge på med MFA. For Windows 10-enheter bør støtte for Windows Hello stå på innkjøpslisten. Du er en god idé se nærmere på sikkerhetsnøkler som YubiKey (FIDO). Begge løsninger sørger for passordløs pålogging, uten at bruker må godkjenne den.
Grafikken er fra Pluralsight og Microsoft, tilpasset og oversatt av oss
