עולם ללא סיסמאות Azure AD Password Less

by אלי שלמה · 16/04/2019

תארו לכם עולם ללא סיסמאות? אז אנו כבר נמצאים בעולם כזה, רק להפעיל!

סיסמאות נמצאות איתנו כבר כמה עשורים וליתר דיוק מתחילת שנות ה60, ועד היום לא נמצאו להן חלופות מתאימות וכאלה שנוכל להיפתר מהם, סיסמאות הם אחד הגורמים הבעיתיים והעיקריים בגניבת זהויות.

מצב כיום

כיום חשבונות וסיסמאות הם אחת החולשות המשמעותיות בארגונים והמצב הוא כזה:

לכל משתמש קיימים מספר חשבונות שחלקן עם סיסמאות שונות
לצד זה לכל משתמש ישנם באותם חשבונות סיסמאות זהות
אדמינים משתמשים באותם סיסמאות ולאורך תקופה (Reuse Credetntials)
סיסמאות נפרצות באופן יומיומי, כגון: התקפת פישינג או מימוש חלקי של Replay Attacks
עדיין ישנו שימוש בסיסמאות פשוטות Top 500 Worst Passwords

סיסמאות הם דבר בעייתי, מטריד וברוב המקרים גורמים לבזבוז זמן אצל אנשי IT ולכן זה המנגנון שלא אוהבים לטפל בו בארגון, אבל מי כן אוהב זהויות, חשבונות וסיסמאות? האקרים.

מכיוון שכיום לכל אחד מאיתנו ישנם לפחות 10 חשבונות שונים, ניהול הסיסמאות הוא משהו שאי אפשר לבצע כלל. נסו לזכור את הסיסמה החדשה שהחלפתם לאחרונה באחד החשבונות??? בוא נאמר אם הדפדפן לא זוכר את הסיסמאות היינו נמצאים במצב שאנו מאפסים סיסמאות באופן יומיומי.

ישנן לא מעט תהיות ושאלות שטח כאשר מנסים למצוא את הדרך הנכונה להקטין את שטח המתקפה ולא לאפשר לתוקף לבצע מימושים רבים מול חשבונות של משתמשי קצה? בין היתר עולות הנקודות הבאות:

האם כדאי לעבוד עם רכיבי חומרה ייעודים? כגון Yubiko
האם להפעיל MFA לכלל המשתמשים בארגון? ואם כן לאפשר SMS
האם להפעיל מדיניות סיסמאות מורכבת וארוכה (20 תווים + שלושה תנאי סיסמה)
מה עושים עם אפליקציות שונות ושרתי טרמינל? איך לבצע לוגין?
באיזה אופן מתחברים מתוך מכשירי מובייל (iOS + Android)?

עולם ללא סיסמאות

לשאלות הנ"ל ונוספות ישנם תשובות אך הכל נובע ממדיניות ארגונית, אלא אם כן אנו מאמצים את היכולות החדשות אשר מבוססות על שלושה מנגנונים ומקטינים את שטח התקיפה ואופן המימוש בצורה משמעותית:

Windows Hello for Business

מנגנון לניהול זהויות וחשבונות של משתמשי קצה המאפשר לנהל את צורת האוטנטיקציה של משתמשים בצורה מאובטחת יותר על גבי אפשרויות, כגון: Pin, שילוב עם MFA, זיהוי ביומטרי, זיהוי פנים.

השינוי שמגיע עם Windows Hello והאפשרויות של זיהוי פנים וכן זיהוי ביומטרי הוא צורת האוטנטיקציה אשר שומרת באופן מוצפן את המזהה אשר נעשה בו שימוש וחשוב מכך אינה שולחת סיסמאות על גבי הרשת בשום צורה שהיא, יתרה מכך כל התקשורת שנעשית לאחר מכן מול Windows Hello נעשית על גבי TLS.

FIDO2

הזדהות מול סטנדרט עולמי ועל גבי רכיב חומרה חיצוני, כדוגמת Yubiko שאינו מצריך סיסמאות.

FIDO הוא למעשה סטנדרט עולמי שמטרתו היא להחליף את הסיסמאות במזהה אחר, מאובטח, מהיר ומעורבות מינימלית של המשתמש. Microsoft היא חלק מתוך הסטנדרט של FIDO ועל סמך האינטגרציה מאפשרת ללא סיסמאות

Authneticator ללא סיסמה

אפשרות פושטה ומדליקה שמאפשרת ביצוע הזדהות על סמך מנגנון MFA וללא צורך בסיסמה כלל, המנגנון עובד בצורה כזאת שמתמש צריך רק להקליד שם משתמש ארגוני וללא סיסמא ולאחר מכן צריך לאמת את המשתמש על גבי מזה חד ערכי. בסיום הזדהות ראשוני נבצע גם אישור הזדהות על גבי MFA בנוסף.

איך עובד המנגנון?

בהפעלת מנגנון Password Less אשר נעשה על גבי Azure AD Policy אנו יוצרים ערכים מותאמים בין הערך MFA של אותו משתמש לבין AuthenticatorAppSignInPolicy, על גבי ערכים אלה כל בקשה וזיהוי של משתמש מותאמת לפי מזהה חד ערכי.

חווית המשתמש כאשר נבצע לוגין לפורטל בשירות Office 365 או אפילו נגדיר פרופיל Outlook חדש, מנגנון הזיהוי יפעל לפי השלבים הבאים:

הקלדת שם משתמש מול פורטל Office 365 מתוך תחנת קצה

לאחר מכן לא נצטרך להקליד סיסמה אלא לאשר מול המכשיר הנייד את הלוגין ע"י אותו מזהה חד ערכי מתוך תחנת קצה

מתוך המכשיר הנייד נצטרך לאשר את אותו מזהה חד ערכי

20190126 144750000 iOS

לאחר ביצוע הלוגין על סמך אותו מזהה נצטרך לבצע אישור נוסף של ההזדהות על גבי MFA.

הגדרת Azure AD Password Less

בכדי להגדיר Password Less על גבי Authenticator יש לבצע את הפעולות הבאות:

התקנת מודול AzureADPreview

Install-Module -Name AzureADPreview -RequiredVersion 2.0.0.114 -Force

לאחר מכן נבצע לוגין באמצעות הפקודה הבאה

Connect-AzureAD

לאחר מכן נגדיר פוליסי המבוסס על Azure AD Policy

New-AzureADPolicy -Type AuthenticatorAppSignInPolicy -Definition '{"AuthenticatorAppSignInPolicy":{"Enabled":true}}' -isOrganizationDefault $true -DisplayName AuthenticatorAppSignIn

הפוליסי מוגדר לפי הערכים הבאים: