עולם ללא סיסמאות Windows Hello

תארו לכם עולם ללא סיסמאות? אז אנו בדרך לשם, ובכל שבוע Microsoft חושפת עוד פרטים ואפשרויות עם מנגנון Password-less יחד עם FIDO ובמקרים מסוימים נותר לנו רק להפעיל.

סיסמאות נמצאות איתנו כבר כמה עשורים וליתר דיוק מתחילת שנות ה60, ועד היום לא נמצאו להן חלופות מתאימות וכאלה שנוכל להיפתר מהם, סיסמאות הם אחד הגורמים הבעיתיים והעיקריים בגניבת זהויות.

האוכלוסיה היחידה שאוהבת סיסמאות אלה הם האקרים, וגם כיום סיסמאות הם חוליה חלשה בתהליך הגנה על משתמשים בארגון.

כיום לכל אחד מאיתנו ישנם לפחות 10 חשבונות שונים וניהול הסיסמאות הוא משהו שאי אפשר לבצע כלל, נסו לזכור את הסיסמה החדשה שהחלפתם לאחרונה באחד החשבונות??? בוא נאמר אם הדפדפן לא זוכר את הסיסמאות היינו נמצאים במצב שאנו מאפסים סיסמאות באופן יומיומי.

ישנן לא מעט תהיות ושאלות מתוך השטח כאשר מנסים למצוא את הדרך הנכונה להקטין את שטח המתקפה ולא לאפשר לתוקף לבצע מימושים רבים מול חשבונות של משתמשי קצה? בין היתר עולות הנקודות הבאות:

• האם שמים סיסמאות בגישה מתוך דפדפדנים שונים?
• האם כדאי לעבוד עם רכיבי חומרה ייעודים, כגון Yubiko?
• האם להפעיל מדיניות סיסמאות מורכבת וארוכה (20 תווים + שלושה תנאי סיסמה)
• מה עושים עם אפליקציות שונות ושרתי טרמינל, איך לבצע לוגין?
• באיזה אופן מתחברים מתוך מכשירי מובייל (iOS + Android)?

Windows Hello ותקן FIDO2

בכנס Build 2019 הכריזה Microsoft על תמיכה והרחבת האפשרויות של מגננון Windows Hello אל מול תקן FIDO2, ולכן אנו מוצאים את עצמנו עם יכולות נוספות שמקרבות אותנו לימים בהם שלא נצטרך סיסמאות.

למעשה ישנה תמיכה החל מהעדכון הקרוב (May 2019) או לחלופין על גבי גרסת Windows 10 Build 1903 של Windows Hello עם תקן FIDO2, ולמעה תאפשר פתיוח של אפליקציותף דסקטופים ומובייל לעשות שימוש עם תקן FIDO2.

בנוסף לכך התמיכה של דפדפנים שונים על גבי תקן FIDO2 גם תקבל תמיכה באופן מלא ותאפשר שילוב של Windows Hello עם דפדפנים כדוגמת: Chrome, Firefox וכמובן Microsoft Edge החדש.

Windows Hello – מנגנון לניהול זהויות וחשבונות למשתמשי קצה המאפשר לנהל את צורת האוטנטיקציה של משתמשים בצורה מאובטחת יותר על גבי אפשרויות, כגון: Pin, שילוב עם MFA, זיהוי ביומטרי, זיהוי פנים.

FIDO2 – הארגון Fast ID Online אחראי על תקן עולמי של זיהוי ואבטחה ומטרתו היא להחליף את הסיסמאות עם מזהים אחרים ע"י שילוב עם תקן FIDO2 במטרה שיהיה מזהה אחיד, מאובטח, מהיר ומעורבות מינימלית של המשתמש.

עד כה החיבור באמצעות אפליקציות, מערכות ומובייל נעשה על גבי אימות משולב המבוסס על MFA ושילוב מכשירים ניידים כחלק מתצורת האימות, וכעת, עם הוספת תקן FIDO2 למערכות השונות של Microsoft כגון Azure AD והאחרון שבהם Windows Hello לא יהיה צורך באמצעי זיהוי חיצוני אלא במכשיר הסלולרי בלבד.

כבר כיום ניתן למצוא אפליקציות במכשירים המשתמשות בטביעת האצבע של המשתמש לכניסה לאפליקציה במקום קוד ושם משתמש, אך אימוץ תקן FIDO2 יאפשר למפתחים שימוש קל יותר תחת תקן אחיד כאשר גם שירותי אינטרנט יוכלו לבצע את האימות באמצעות הדפדפנים השונים התומכים בזיהוי FIDO2 וכל זאת באינטגרציה עם Windows Hello על גבי Windows 10.

השימוש בתקן FIDO2 נועד להגביר את האבטחה באינטרנט על ידי כך שהוא מונע את הצורך של השירותים השונים לאחסן את סיסמאות המשתמשים שעלולות לדלוף החוצה ואימוץ תקן FIDO2 יאפשר למשתמשים אבטחה מוגברת ללא צורך ברכישת אביזרים חיצוניים נוספים.

תהליך הזדהות ללא סיסמה

השילוב של Windows 10 עם FIDO2 נעשה באמצעות Microsoft-compatible security key המאפשר לתחנות קצה מבוססות Windows 10 לבצע הזדהות מאובטחת על גבי מספר מאפיינים והרחבות ולפי תהליך הזדהות ספציפי:

• Resident key – (ושימוש עם Security Key) מקום בו יישמר מפתח האבטחה ויכלול Credenetials לשמירה על גבי אותו מפתח אבטחה (security key)
• Client pin – הגנה על פרטי הזדהות עם מזהה נוסף, למשל מכשיר נייד שעימו מבצעים אוטנטיקציה במצב זה משתמש באותו Security Key
• hmac-secret – הרחבה חשובה מאוד שהיא למעשה מאפשרות הזדהות במצבי offline ומצבים בהם המכשיר אינו זמין
• Multiple accounts per RP – אפשרות שמספקת שימוש של מספר חשבונות על גבי אותו Security Key

הגורם המזהה של Microsoft מול FIDO2 יכול להיות מכשיר החכם ושילוב עם אפליקציית Microsoft Authenticator או התקן חומרה ייעודי כדוגמת YubiKey.

מתוך השטח

לאחר התעסקות רבה ובמיוחד בפתרון של Microsoft אפשר לומר כי המנגנון מביא בשורה מעולה גם למשתמשי הקצה, לאנשי אבטחת מידע אך נותן להאקרים דרכים חדשות לגנוב זהויות.

• חווית המשתמש – נתחיל עם חווית המשתמש שמשפרת באופן קיצוני ואינה מצריכה להחליף סיסמאות לעיתים קרובות, אינה דורשת לבחור סיסמאות מורכבות ולאחר מכן לזכור אותן.
• תהליך רישום ראשוני – ביצוע enroll הוא תהליך פשוט של כמה קליקים ורוכב על הרישום של MFA באמצעות Microsoft Authenticator
• הזדהות ביומיום – בהזדהות ללא סיסמה לתחנת הקצה, למשאבי WEB וכן הלאה, המשתמש יצטרך לבצע זיהוי על גבי המכשיר הנייד וללא הקלדת סיסמאות, ובמקרים מסוימים למשל ביצוע לוגין לתחנת קצה המשתמש אינו יצטרך להקליד אפילו את שם המשתמש אלא יבצע הזדהות אוטומטית באמצעות המכשיר הנייד או התקן חומרה אחר.
• האקרים וחולשות – אופן העבודה של FIDO2 מביא איתו בשורה חדשה ועונה על בעיות אבטחה קיימות אך במקביל יוצר בעיות אבטחה אחרות שבהם נתמקד במאמר הבא (חולשות במנגנון FIDO)

לסיכום

המנגנון של WIndows Hello והשילוב על תקן FIDO מביא איתו בשורה חדשה הן בחווית המשתמש והן במענה לבעיות אבטחה קיימות, ובמקביל לזה המגמה של Password Less תופס תאוצה וכבר עכשיו ניתן לראות פלטפורמות מסוימות כולל Azure AD וכן Windows Hello שמאפשרים לעבוד ללא סיסמאות.

מידע נוסף וקישורים

• מידע נוסף על Windows Hello ועל FIDO וקישורים במאמר Windows Hello FIDO2 certification gets you closer to passwordless
• מידע נוסף לגבי WHFB במאמר הבא  www.aka.ms/whfb
• עולם ללא סיסמאות Azure AD Password Less
• איך מגדירים וטיפים נוספים מהשטח לגבי WHFB יחד עם FIDO במאמר הבא