עולם ללא סיסמאות Azure AD Password Less

תארו לכם עולם ללא סיסמאות? אז אנו כבר נמצאים בעולם כזה, רק להפעיל!

סיסמאות נמצאות איתנו כבר כמה עשורים וליתר דיוק מתחילת שנות ה60, ועד היום לא נמצאו להן חלופות מתאימות וכאלה שנוכל להיפתר מהם, סיסמאות הם אחד הגורמים הבעיתיים והעיקריים בגניבת זהויות.

מצב כיום

כיום חשבונות וסיסמאות הם אחת החולשות המשמעותיות בארגונים והמצב הוא כזה:

  • לכל משתמש קיימים מספר חשבונות שחלקן עם סיסמאות שונות
  • לצד זה לכל משתמש ישנם באותם חשבונות סיסמאות זהות
  • אדמינים משתמשים באותם סיסמאות ולאורך תקופה (Reuse Credetntials)
  • סיסמאות נפרצות באופן יומיומי, כגון: התקפת פישינג או מימוש חלקי של Replay Attacks
  • עדיין ישנו שימוש בסיסמאות פשוטות Top 500 Worst Passwords

סיסמאות הם דבר בעייתי, מטריד וברוב המקרים גורמים לבזבוז זמן אצל אנשי IT ולכן זה המנגנון שלא אוהבים לטפל בו בארגון, אבל מי כן אוהב זהויות, חשבונות וסיסמאות? האקרים.

2019-01-26_15h59_26.png

מכיוון שכיום לכל אחד מאיתנו ישנם לפחות 10 חשבונות שונים, ניהול הסיסמאות הוא משהו שאי אפשר לבצע כלל. נסו לזכור את הסיסמה החדשה שהחלפתם לאחרונה באחד החשבונות??? בוא נאמר אם הדפדפן לא זוכר את הסיסמאות היינו נמצאים במצב שאנו מאפסים סיסמאות באופן יומיומי.

ישנן לא מעט תהיות ושאלות שטח כאשר מנסים למצוא את הדרך הנכונה להקטין את שטח המתקפה ולא לאפשר לתוקף לבצע מימושים רבים מול חשבונות של משתמשי קצה? בין היתר עולות הנקודות הבאות:

  • האם כדאי לעבוד עם רכיבי חומרה ייעודים? כגון Yubiko
  • האם להפעיל MFA לכלל המשתמשים בארגון? ואם כן לאפשר SMS
  • האם להפעיל מדיניות סיסמאות מורכבת וארוכה (20 תווים + שלושה תנאי סיסמה)
  • מה עושים עם אפליקציות שונות ושרתי טרמינל? איך לבצע לוגין?
  • באיזה אופן מתחברים מתוך מכשירי מובייל (iOS + Android)?

2019-01-26_16h07_36.png

עולם ללא סיסמאות

לשאלות הנ"ל ונוספות ישנם תשובות אך הכל נובע ממדיניות ארגונית, אלא אם כן אנו מאמצים את היכולות החדשות אשר מבוססות על שלושה מנגנונים ומקטינים את שטח התקיפה ואופן המימוש בצורה משמעותית:

2019-01-26_16h13_27.png

Windows Hello for Business

מנגנון לניהול זהויות וחשבונות של משתמשי קצה המאפשר לנהל את צורת האוטנטיקציה של משתמשים בצורה מאובטחת יותר על גבי אפשרויות, כגון: Pin, שילוב עם MFA, זיהוי ביומטרי, זיהוי פנים.

השינוי שמגיע עם Windows Hello והאפשרויות של זיהוי פנים וכן זיהוי ביומטרי הוא צורת האוטנטיקציה אשר שומרת באופן מוצפן את המזהה אשר נעשה בו שימוש וחשוב מכך אינה שולחת סיסמאות על גבי הרשת בשום צורה שהיא, יתרה מכך כל התקשורת שנעשית לאחר מכן מול Windows Hello נעשית על גבי TLS.

FIDO2

הזדהות מול סטנדרט עולמי ועל גבי רכיב חומרה חיצוני, כדוגמת Yubiko שאינו מצריך סיסמאות.

FIDO הוא למעשה סטנדרט עולמי שמטרתו היא להחליף את הסיסמאות במזהה אחר, מאובטח, מהיר ומעורבות מינימלית של המשתמש. Microsoft היא חלק מתוך הסטנדרט של FIDO ועל סמך האינטגרציה מאפשרת ללא סיסמאות

Authneticator ללא סיסמה

אפשרות פושטה ומדליקה שמאפשרת ביצוע הזדהות על סמך מנגנון MFA וללא צורך בסיסמה כלל, המנגנון עובד בצורה כזאת שמתמש צריך רק להקליד שם משתמש ארגוני וללא סיסמא ולאחר מכן צריך לאמת את המשתמש על גבי מזה חד ערכי. בסיום הזדהות ראשוני נבצע גם אישור הזדהות על גבי MFA בנוסף.

איך עובד המנגנון?

בהפעלת מנגנון Password Less אשר נעשה על גבי Azure AD Policy אנו יוצרים ערכים מותאמים בין הערך MFA של אותו משתמש לבין AuthenticatorAppSignInPolicy, על גבי ערכים אלה כל בקשה וזיהוי של משתמש מותאמת לפי מזהה חד ערכי.

חווית המשתמש כאשר נבצע לוגין לפורטל בשירות Office 365 או אפילו נגדיר פרופיל Outlook חדש, מנגנון הזיהוי יפעל לפי השלבים הבאים:

הקלדת שם משתמש מול פורטל Office 365 מתוך תחנת קצה

2019-01-26_16h47_30.png

לאחר מכן לא נצטרך להקליד סיסמה אלא לאשר מול המכשיר הנייד את הלוגין ע"י אותו מזהה חד ערכי מתוך תחנת קצה

2019-01-26_16h47_44.png

מתוך המכשיר הנייד נצטרך לאשר את אותו מזהה חד ערכי

2019-01-26_16h56_26.png

לאחר ביצוע הלוגין על סמך אותו מזהה נצטרך לבצע אישור נוסף של ההזדהות על גבי MFA.

הגדרת Azure AD Password Less

בכדי להגדיר Password Less על גבי Authenticator יש לבצע את הפעולות הבאות:

התקנת מודול AzureADPreview

Install-Module -Name AzureADPreview -RequiredVersion 2.0.0.114 -Force

לאחר מכן נבצע לוגין באמצעות הפקודה הבאה

Connect-AzureAD

לאחר מכן נגדיר פוליסי המבוסס על Azure AD Policy

New-AzureADPolicy -Type AuthenticatorAppSignInPolicy -Definition '{"AuthenticatorAppSignInPolicy":{"Enabled":true}}' -isOrganizationDefault $true -DisplayName AuthenticatorAppSignIn

הפוליסי מוגדר לפי הערכים הבאים:

  • במצב דיפולטי לכלל הארגון ואפשר לבחור שאינו יהיה דיפולטי
  • ניתן להגדיר את האפשרות של מזהה אלנטרנטיבי
  • יצירת הפוליסי מתעדכנת לאחר 45 דקות

2019-01-26_09h33_33.png

בסיום יש לבצע אנרול למכשיר בכדי שיוכל להשתמש באפשרות של Password Less על גבי Authenticator באופן הבא:

2019-01-26_17h02_042019-01-26_17h02_422019-01-26_17h03_16

בסיום נוכל לאפשר למשתמש לעבוד ללא סיסמאות ועל גבי Authenticator בלבד.

מידע נוסף Configure Azure AD Password-less



:קטגוריותAzure AD

תגים: , , ,

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

מתחבר ל-%s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d בלוגרים אהבו את זה: