Lukáš Beran
Lukáš Beran

Vítejte na mém blogu! Pokud hledáte návody, tipy a triky ze světa IT, jste tu správně. Najdete zde primárně články k produktům a službám Microsoftu, jako například operační systémy, servery, virtualizace, sítě, správa, ale také cloud. Občas přidám i nějaké další zajímavé články.

Duben 2020
PoÚtStČtSoNe
 12345
6789101112
13141516171819
20212223242526
27282930 

Rubriky


Azure MFA a možnosti ověření

Lukáš BeranLukáš Beran

Vícefaktorové ověřování (MFA) je metoda, jak zásadním způsobem zvýšit zabezpečení uživatelské identity. Vícefaktorové ověřování spočívá v tom, že pro úspěšné ověření uživatele jsou vyžadovány alespoň dvě nezávislé metody ověření z následujících tří:

Ověření uživatele pouze na základě uživatelského jména a hesla v současné době není možné považovat za dostatečné zabezpečení uživatelské identity. Uživatelé mají tendenci používat jednoduchá hesla, která jsou s nimi nějak spojená (jméno zvířecího mazlíčka, jméno partnera/partnerky, datum narození, výročí, jméno organizace, pro kterou pracují apod.), aby si je snadno pamatovali. A také typicky jedno heslo používají na více různých účtech na více různých službách, aby si nemuseli pamatovat mnoho různých hesel, což zvyšuje riziko úniku.

Azure MFA je cloudové vícefaktorové ověřování od Microsoftu. Je integrované s Azure AD, takže je možné ho využít pro všechny cloudové služby od Microsoftu včetně Office 365. Prostřednictví Azure AD aplikací a Azure AD App Proxy je možné ho ale integrovat i do vlastních aplikací a služeb. Nebo také například do VPN (RRAS, Cisco ASA apod.) nebo třeba do Remote Desktop Gateway. Ale o tom zase někdy příště 🙂

Cena vícefaktorého ověřování Azure MFA

Azure MFA se neplatí za využití služby, ale platí se pravidelný měsíční poplatek za uživatele bez limitu využití. Azure MFA pro Office 365 služby získáte zdarma pro všechny uživatele, kteří mají přiřazenou Office 365 licenci v rámci tzv. Security Defaults. Druhou možností je nákup Azure MFA v rámci Azure AD Premium licencí, kde navíc získáte i podmíněný přístup a další benefity. Pro globální administrátory je Azure MFA zcela zdarma. Kompletní možnosti licencování jsou popsané v dokumentaci.

Možnosti ověření v Azure MFA

Azure MFA nabízí několik možností ověření uživatele.

Telefonní hovor

Uživatel jako ověřovací informaci zadá své telefonní číslo a při požadavku na vícefaktorové ověření přijme příchozí telefonní hovor, kde stisknutím # na klávesnici potvrdí ověření.

Výhodou této metody je jednoduchost a univerzálnost. Uživatel nepotřebuje chytrý telefon, ve skutečnosti stačí i pevná linka. Nepotřebuje ani žádné připojení k internetu na mobilním telefonu. Na druhou stranu v zahraničí mohou být účtovány roamingové poplatky za příchozí hovory. A z pohledu bezpečnosti se nejedná o optimální metodu, protože telefonní hovory nejsou šifrované nebo jinak zabezpečené, telefonní hovor může být přesměrován, může být na dané číslo vydána nová SIM apod.

SMS zpráva

Uživatel jako ověřovací informaci opět zadá své telefonní číslo. Při požadavku na vícefaktorové ověření uživateli přijde SMS s 6 místných ověřovacím kódem, který uživatel opíše do přihlašovací obrazovky.

Výhodou je opět jednoduchost a univerzálnost. Není potřeba chytrý telefon a teoreticky opět stačí i pevná linka, pokud je ústředna schopná přečíst příchozí zprávy. Není potřeba připojení k internetu. Nevýhody jsou ale velmi podobné jako u telefonních hovorů, kdy hlavně z pohledu bezpečnosti se nejedná o optimální ověřovací metodu.

Kód v mobilní aplikaci

Pokud má uživatel chytrý telefon, může si nainstalovat aplikaci Microsoft Authenticator pro iOS nebo Android. Do této aplikace si následně přidá svůj účet (typicky naskenování QR kódu), pro který se mu budou generovat ověřovací kódy. Microsoft používá stejnou metodu generování ověřovacích kódů (OTP = One-Time Password) jako mnoho dalších cloudových služeb, takže ve skutečnosti ani není nutné používat Microsoft Authenticator, ale lze použít jakýkoliv jiný OTP-based authenticator (Google, Facebook apod.). Při požadavku na ověření uživatel opíše z aplikace 6 místný ověřovací kód, který se každých 30 sekund přegeneruje.

Nevýhodou je, že je potřeba chytrý telefon s nainstalovanou aplikací a je potřeba při každém ověření opsat ověřovací kód. Výhodou je, že není potřeba připojení k internetu v době ověření, není potřeba čekat na telefonní hovor nebo kód v SMS a z pohledu bezpečnosti se jedná o výrazně bezpečnější metodu než výše zmíněné telefonní hovory nebo SMS. Ověřovací kódy jsou totiž generované přímo na mobilním telefonu a nejsou zasílány žádnými nezabezpečenými kanály.

Push notifikace v mobilní aplikaci

Push notifikace v mobilní aplikaci vyžaduje nainstalovanou mobilní aplikaci Microsoft Authenticator. Jedná se o moji oblíbenou metodu a sám ji pro ověření používám, protože je velmi pohodlná a přitom bezpečná. Pro tuto možnost ověření již není možné použít žádnou jinou ověřovací aplikaci. Aplikace se následně opět spáruje s uživatelským účtem naskenováním QR kódu. Při požadavku na ověření uživatel dostane push notifikaci na svém mobilním telefonu a jen aplikaci potvrdí.

Nevýhodou je, že je potřeba chytrý mobilní telefon s připojením k internetu. Push notifikace jsou totiž do mobilní aplikace zasílány z internetu. Výhodou je uživatelský komfort, protože není nutné opisovat žádné kódy nebo čekat a potvrzovat telefonní hovory, ale stačí potvrdit notifikaci v mobilním telefonu. Další výhodou je bezpečnost, protože veškerá komunikace je šifrovaná.

HW token

Ověřovací HW token je nová metoda, která je k dispozici pro ověřování uživatelů v Azure AD. Jedná se konkrétně o ověření pomocí FIDO2. Uživatel si spáruje své FIDO2 zařízení (typicky USB zařízení podobné flash disku) se svým účtem a následně může FIDO2 zařízení použít pro přihlášení.

Výhodou je velmi silná bezpečnost. Jedná se o jednu z mála metod ověření, která nemá žádné známé slabiny, takže při požadavku na vysokou bezpečnost se jedná o správnou cestu. Další výhodou je, že při ověření přes FIDO2 uživatel nemusí zadávat ani své uživatelské jméno ani heslo. Uživatel jen zadá PIN, kterým je FIDO2 zařízení zabezpečené, a následně vybere účet, který chce použít pro přihlášení a to je vše. Nevýhodou je, že uživatel s sebou musí nosit FIDO2 zařízení a při ověření ho připojit k počítači.

Windows Hello for Business

Windows Hello for Business je metoda, kterou na straně uživatele není nutné nijak specificky konfigurovat nebo ji explicitně zmiňovat, ale z uživatelského pohledu funguje sama. Proto se tato metoda obvykle nezmiňuje ani v žádných manuálech a dokumentacích k Azure MFA. Přitom Windows Hello for Business je metoda vícefaktorového ověření, protože kombinuje něco co mám (můj jeden konkrétně počítač, na kterém jsem WHfB nakonfiguroval) a něco co znám (PIN) nebo něco co jsem (biometrika).

Pokud je uživatelský počítač v Azure AD (pomocí Azure AD Hybrid join nebo Azure AD join) a Windows Hello for Business a Single-Sign On (SSO) funguje správně a je správně nakonfigurované, uživatel dostane token, který obsahuje informace o tom, že uživatel se ověřil pomocí MFA v rámci Windows Hello for Business ověření a do cloudových služeb už by MFA nemělo být vyžadované.

Uživatel si v rámci konfigurace ověřovacích metod může vybrat výchozí metodu, která je automaticky vyvolaná při požadavku na ověření. Může ale mít nastavených více metod ověření, takže například při nedostupnosti některé metody může využít jinou. To se hodí například tehdy, když uživatel používá push notifikace jako výchozí metodu, ale v zahraničí pak nemá mobilní připojení k internetu, tak si může zvolit jednorázově například zaslání kódu v SMS.

Mým primárním zaměřením je bezpečnost identit, zařízení a dat v cloudu pomocí služeb, technologií a nástrojů společnosti Microsoft.

Komentáře 0
Nejsou zde žádné komentáře.