• Microsoft CSP
    Microsoft CSP

    S Microsoft CSP transformujeme  business pro dosažení obchodních a technologických cílů.

  • Managed Microsoft 365
    Managed Microsoft 365

    Zajistíme bezpečnost, produktivitu a optimalizaci. Vy se soustředíte na podnikání, my na IT.

  • Dozvědet se víc

    Získejte více informací o produktech Microsoft solution partner

  • Chci vědět víc

    Získejte více informací o produktech Kybernetická bezpečnost

  • Copilot M365
    Copilot M365

    Copilot pro Microsoft 365 nabízí pokročilé AI funkce integrované do byznysových nástrojů.

  • Copilot Osobní trenér
    Copilot Osobní trenér

    Žádné teorie, jen praktické rady a tipy, které vám ušetří čas a energii při vaši každodenní práci.

  • Dozvědet se víc

    Získejte více informací o produktech Umělá inteligence

  • Chci vědět víc

    Získejte více informací o produktech Cloudová infrastruktura

    • KPCS řeší technologické výzvy efektivně a v čas. Tím podporujeme růst vašeho podnikání.

      • Dozvědet se víc

        Získejte více informací o produktech Microsoft solution partner

      • Microsoft CSP
        Microsoft CSP

        S Microsoft CSP transformujeme  business pro dosažení obchodních a technologických cílů.

      • Managed Microsoft 365
        Managed Microsoft 365

        Zajistíme bezpečnost, produktivitu a optimalizaci. Vy se soustředíte na podnikání, my na IT.

    • Kybernetická bezpečnost je klíčová. S našimi službami jsou vaše data a systémy chráněny.

      • Chci vědět víc

        Získejte více informací o produktech Kybernetická bezpečnost

    • Zmapujte svůj potenciál AI a najděte nejlepší řešení. AI bude vaším důvěryhodným kolegou.

      • Dozvědet se víc

        Získejte více informací o produktech Umělá inteligence

      • Copilot M365
        Copilot M365

        Copilot pro Microsoft 365 nabízí pokročilé AI funkce integrované do byznysových nástrojů.

      • Copilot Osobní trenér
        Copilot Osobní trenér

        Žádné teorie, jen praktické rady a tipy, které vám ušetří čas a energii při vaši každodenní práci.

    • Azure je flexibilní a škálovatelná platforma, která poskytuje moderní produkty, služby a provoz.

      • Chci vědět víc

        Získejte více informací o produktech Cloudová infrastruktura

  • Reference
  • Proč KPCS
  • Kariéra
  • Novinky
  • Kontakt
Zpět na novinky

Na jaře 2021 bez hesel

Blog
25. března 2021 Jan Žák
Na jaře 2021 bez hesel

Hesla byla po mnohá desetiletí (sic!) neodmyslitelnou součástí IT a rozhodně nás budou ještě mnoho let doprovázet. Ze strany uživatelů jsou změny v „generování“ hesel jen pozvolné. V okamžiku, kdy systémy začaly vyžadovat komplexní hesla, změnili uživatelé hesla z „Kamil“ na „Brezen2021“ a „Alena“ na „Heslo123“. A přitom útočníci mezitím vyvinuli výrazně sofistikovanější techniky, od cílených phishingových kampaní přes obrovské databáze hashovaných hesel (rainbow tables) až po sprejové útoky, které jsou jen velmi obtížně detekovatelné.

Po nějakou dobu se zdálo, že s nasazením více faktorového ověřování je po problému, ale ve skutečnosti tomu tak není. Mnoho organizací používá výjimky pro vynucování MFA, ne všechny aplikace stále MFA podporují, uživatelé se naučili záplavu autentizačních výzev v telefonu automaticky „odklikávat“ – takže nezřídka povolí přístup i útočníkovi, který zahájil proces obnovy hesla. Společnost Microsoft uvádí, že při použití MFA je pravděpodobnost zneužití účtu snížena až o 99,9 %, prostor ke zlepšení zde ale stále je.

Co tedy podniknout v situaci, kdy prakticky nemůžeme věřit ani zařízení uživatele (Zero Trust, každé zařízení je potenciálně napadeno), ani uživateli samotnému (ten zase bez problémů sdělí heslo nejen kolegovi, ale také falešnému operátorovi po telefonu)?

Níže uvádím odkazy, které se také věnují problematice ověřování bez hesla (passwordless) a a jsou k dispozici na našem blogu.

Jsou to tyto články:

Azure AD Temporary Access Pass

Azure AD Temporary Access Pass (pokračování)

FIDO2 – přihlašování bez hesla i v lokální Active Directory – 1. část

FIDO2 – přihlašování bez hesla i v lokální Active Directory – 2. část

Passwordless aneb ověřování bez hesla

Passwordless ověřování je vlastně jen jiný způsob MFA ověření, který nahrazuje potenciálně slabá hesla bezpečnějším prvkem (mobilním telefonem s registrovanou aplikací a biometrickou ochranou, hardwarovým bezpečnostním klíčem, Windows Hello apod.). Pokud uživatel heslo nezná, nikomu jej nemůže prozradit, nemůže ho nahradit snadno odhadnutelnou variantou, keylogger, kamera ani kolega sedící roky u vedlejšího stolu heslo neuvidí (a takto bychom mohli pokračovat velmi dlouho).

Při psaní článku o TAP (Temporary Access Pass) mě napadlo, že by bylo ideální mít možnost hesla uživatelů v Azure AD zcela odebrat. Pokud uživatel přihlašuje FIDO2 klíčem, jeho účet má stále nastavené heslo, které možná vzniklo před mnoha lety a nemusí být dnes považováno za bezpečné-. Heslo se sice nepoužívá, ale stále je aktivní a může být tím pověstným nejslabším článkem.

Společnost Microsoft se na definitivní opuštění ověřování heslem evidentně připravuje a nastínila čtyřkrokový plán k jeho definitivnímu opuštění.

  1. Nabídka možností pro nahrazení hesel. Zde se jedná například o již zmíněné Windows Hello v kombinaci s biometrikou nebo PINem, Microsoft Authenticator, FIDO2 bezpečnostní klíče a případně další metody.
  2. Omezení počtu zadávání hesla uživatelem. Toto je jednoduché – již dnes uživatelé mohou vyplnit emailovou adresu a následně potvrdit přihlášení v mobilním telefonu.
  3. Přechod na passwordless. Tato fáze zahrnuje ukončení podpory zastaralých autentizačních mechanismů a kompletní přechod na moderní autentizaci umožňující MFA a passwordless.
  4. Odebrání hesla identitám. Tato fáze je ve fázi příprav. Administrátoři nebo uživatelé budou mít možnost nové účty vytvářet již bez hesla, případně stávajícím účtům hesla zcela odebrat.

Čtvrtá fáze je vcelku revoluční, a přitom je v plánu ji nastartovat již během tohoto jara (Microsoft uvádí „Spring 2021“). V první vlně bude patrně dostupná pro běžné Microsoft účty, na podporu firemních účtů si patrně počkáme o něco déle.

Zdroj: Microsoft

Tato změna přístupu bude opravdu velká. Bude nutné řešit nové situace (distribuce FIDO2 klíčů, utopené a zablokované telefony, vzdálené resety PINů) a je nejvyšší čas se začít připravovat na budoucnost bez hesel.

Možností máme již dnes dostatečné množství, začněte třeba nastavením přihlášení bez hesla pomocí aplikace Microsoft Authenticator (https://docs.microsoft.com/cs-cz/azure/active-directory/authentication/howto-authentication-passwordless-phone).

Cílem bude podobně bohatá konfigurace ověřovacích metod pro každého uživatele.

Novinky v KPCS

KPCS CZ získala specializaci Build AI Apps on Microsoft Azure
KPCS CZ získala specializaci Build AI Apps on Microsoft Azure

V době, kdy umělá inteligence mění způsob, jakým firmy inovují a komunikují se zákazníky, je důležité být připraven a mít potřebné znalosti i zkušenosti. Získání této specializace od společnosti Microsoft potvrzuje naši odbornost v oblasti návrhu, vývoje a nasazení moderních AI aplikací na platformě Azure.

24. dubna 2025
„AI – Kdy zapnout, kdy vypnout a kdy se usmívat!“
„AI – Kdy zapnout, kdy vypnout a kdy se usmívat!“

Chcete si usnadnit práci? Může být AI vaším nepostradatelným pomocníkem? Převezme AI monotónní úkoly a uvolní čas na strategické myšlení místo administrativy? Zvýšíte efektivitu s AI asistenty a agenty? Tyto a další otázky budou zodpovězeny na našem workshopu, kde se dozvíte, proč je pro vás důležité porozumět AI a jak vám může pomoci v každodenním fungování.

26. února 2025 KPCS
CES 2025 – Technologická inspirace a budoucnost pod taktovkou inovací
CES 2025 – Technologická inspirace a budoucnost pod taktovkou inovací

Každoroční technologický veletrh CES 2025 v Las Vegas znovu překonal očekávání a představil řadu revolučních, ale někdy i velmi podivných produktů a trendů, které formují budoucnost technologického průmyslu.

15. ledna 2025
Kontakt