Na jaře 2021 bez hesel

Po nějakou dobu se zdálo, že s nasazením více faktorového ověřování je po problému, ale ve skutečnosti tomu tak není. Mnoho organizací používá výjimky pro vynucování MFA, ne všechny aplikace stále MFA podporují, uživatelé se naučili záplavu autentizačních výzev v telefonu automaticky „odklikávat“ – takže nezřídka povolí přístup i útočníkovi, který zahájil proces obnovy hesla. Společnost Microsoft uvádí, že při použití MFA je pravděpodobnost zneužití účtu snížena až o 99,9 %, prostor ke zlepšení zde ale stále je.

Co tedy podniknout v situaci, kdy prakticky nemůžeme věřit ani zařízení uživatele (Zero Trust, každé zařízení je potenciálně napadeno), ani uživateli samotnému (ten zase bez problémů sdělí heslo nejen kolegovi, ale také falešnému operátorovi po telefonu)?

Níže uvádím odkazy, které se také věnují problematice ověřování bez hesla (passwordless) a a jsou k dispozici na našem blogu.

Jsou to tyto články:

Azure AD Temporary Access Pass

Azure AD Temporary Access Pass (pokračování)

FIDO2 – přihlašování bez hesla i v lokální Active Directory – 1. část

FIDO2 – přihlašování bez hesla i v lokální Active Directory – 2. část

Passwordless aneb ověřování bez hesla

Passwordless ověřování je vlastně jen jiný způsob MFA ověření, který nahrazuje potenciálně slabá hesla bezpečnějším prvkem (mobilním telefonem s registrovanou aplikací a biometrickou ochranou, hardwarovým bezpečnostním klíčem, Windows Hello apod.). Pokud uživatel heslo nezná, nikomu jej nemůže prozradit, nemůže ho nahradit snadno odhadnutelnou variantou, keylogger, kamera ani kolega sedící roky u vedlejšího stolu heslo neuvidí (a takto bychom mohli pokračovat velmi dlouho).

Při psaní článku o TAP (Temporary Access Pass) mě napadlo, že by bylo ideální mít možnost hesla uživatelů v Azure AD zcela odebrat. Pokud uživatel přihlašuje FIDO2 klíčem, jeho účet má stále nastavené heslo, které možná vzniklo před mnoha lety a nemusí být dnes považováno za bezpečné-. Heslo se sice nepoužívá, ale stále je aktivní a může být tím pověstným nejslabším článkem.

Společnost Microsoft se na definitivní opuštění ověřování heslem evidentně připravuje a nastínila čtyřkrokový plán k jeho definitivnímu opuštění.

1. Nabídka možností pro nahrazení hesel. Zde se jedná například o již zmíněné Windows Hello v kombinaci s biometrikou nebo PINem, Microsoft Authenticator, FIDO2 bezpečnostní klíče a případně další metody.
2. Omezení počtu zadávání hesla uživatelem. Toto je jednoduché – již dnes uživatelé mohou vyplnit emailovou adresu a následně potvrdit přihlášení v mobilním telefonu.
3. Přechod na passwordless. Tato fáze zahrnuje ukončení podpory zastaralých autentizačních mechanismů a kompletní přechod na moderní autentizaci umožňující MFA a passwordless.
4. Odebrání hesla identitám. Tato fáze je ve fázi příprav. Administrátoři nebo uživatelé budou mít možnost nové účty vytvářet již bez hesla, případně stávajícím účtům hesla zcela odebrat.

Čtvrtá fáze je vcelku revoluční, a přitom je v plánu ji nastartovat již během tohoto jara (Microsoft uvádí „Spring 2021“). V první vlně bude patrně dostupná pro běžné Microsoft účty, na podporu firemních účtů si patrně počkáme o něco déle.

Zdroj: Microsoft

Tato změna přístupu bude opravdu velká. Bude nutné řešit nové situace (distribuce FIDO2 klíčů, utopené a zablokované telefony, vzdálené resety PINů) a je nejvyšší čas se začít připravovat na budoucnost bez hesel.

Možností máme již dnes dostatečné množství, začněte třeba nastavením přihlášení bez hesla pomocí aplikace Microsoft Authenticator (https://docs.microsoft.com/cs-cz/azure/active-directory/authentication/howto-authentication-passwordless-phone).

Cílem bude podobně bohatá konfigurace ověřovacích metod pro každého uživatele.