Hoe vaak ben jij je wachtwoord vergeten? Hoe veel verschillende accounts met een uniek wachtwoord heb jij? Meestal is het antwoord op deze vragen (te) veel en dit wordt door vele gebruikers dan ook als vervelend ervaren. Daarnaast worden gebruikers ook nog eens verplicht om hun wachtwoord regelmatig te wijzigen wat zorgt voor de befaamde post-its bij laptops en toetsenborden met daarop het wachtwoord. Al met al komt dit het beveiligingsniveau niet ten goede, waar wachtwoorden juist moeten zorgen voor veiligheid (in combinatie met Multi-Factor Authenticatie), bereiken we in sommige gevallen het tegenovergestelde effect.
Wat nu als we wachtwoorden simpelweg ‘loslaten’ en password-less gaan werken? Inloggen met je authenticator app op web-based applicaties, of inloggen met je vingerafdruk, gezichtsherkenning, PIN of een draagbare security key op je Windows 10 werkplek? Deze blog vertelt je hoe je password-less kan werken en welke methodes je hiervoor in kan zetten.
Waarom Password-less werken als ik Multi-Factor enabled heb?
Traditionele Multi-Factor Authenticatie (MFA) biedt een goede beveiliging tegen aanvallen zoals phishing of sholder-serving, maar nog steeds heb je hier als gebruiker een wachtwoord voor nodig. Indien een gebruiker zijn wachtwoord vergeet zorgt dit nog steeds voor ergernis en zijn gebruikers daardoor ook minder productief.
Bij een traditioneel wachtwoord met MFA blijft de aanmeld poging altijd bestaan uit twee stappen waarvoor de gebruiker bij beide stappen input moet leveren, eerst het wachtwoord en daarna de tweede verificatie, dit zorgt voor goede security maar minder gebruikersgemak zoals te zien is in de onderstaande afbeelding hierboven.
Met welke technieken werk je supersnel password-less?
Met de Microsoft Authenticator App, Windows Hello for Business (WHfB), en security keys, is het voor elke organisatie mogelijk om deels (of volledig) password-less te werken. Ik zal op al deze drie technologieën ingaan en per techniek de mogelijkheden toelichten.
Microsoft Authenticator
Voor de Microsoft Authenticator app is sinds enkele maanden een nieuwe password-less feature Phone Sign-in beschikbaar. Deze nieuwe feature helpt organisaties om een onafhankelijk platform voor password-less werken te introduceren. In het onderstaande voorbeeld scenario wordt de gebruikers ervaring verder uitgelegd.
Gebruikers scenario – De medewerker vult zijn/haar gebruikersnaam in op een applicatie welke gekoppeld is aan Azure Active Directory (Azure AD). Dit op bijvoorbeeld een iPad. Het authenticatie verzoek wordt ge-redirect naar de Microsoft Authenticator app. Op de IPad ziet de gebruiker een code (response), die in de authenticatie moet worden gekozen. Vervolgens wordt er een Multi Factor Authenticatie afgedwongen in de vorm van biometrische gegevens, zoals gezichtsherkenning, vingerafdruk of een pincode. Zo wordt de identiteit van de medewerker gevalideerd.
Het gebruik van Phone Sign-in op basis van de Microsoft Authenticator App ten opzichte van SMS of push bericht, heeft nu een groot voordeel omdat het niet alleen veiliger is maar ook makkelijker. Het is namelijk eenvoudiger om te authentiseren op applicaties die gekoppeld zijn aan de Azure AD. Inloggen via de Microsoft Authenticator is alleen beschikbaar indien de telefoon is geregistreerd (Azure AD Registered) binnen je Microsoft tenant.
Zie hieronder de gebruikerservaring van password-less werken met de Microsoft Authenticator app.
Windows Hello for Business
Windows Hello for Business is dé password-less ervaring voor eindgebruikers op Windows 10. Simpel gezegd kun je jezelf aanmelden middels biometrische kenmerken, zoals je vingerafdruk, gezichtsherkenning of een pincode. Deze technische oplossing is de ultieme vervanger voor het wachtwoord, omdat het gebruik maakt van sterke versleuteling bestaande uit een private-public key mechanisme. Deze wordt veilig wordt opgeslagen in de Trusted Platform Module (TPM)-chip. Een TPM-chip kun je vergelijken met je eigen huis (je laptop), waar alleen jij de sleutel tot hebt (je vingerafdruk, gezichtsherkenning of PIN).
Deze eigenschap biedt een hoge mate van beveiliging ten opzichte van een wachtwoord, doordat de inlogmethode niet kan worden afgeluisterd of aangepast. Windows Hello verbetert hierdoor het beveiligingsniveau van de organisatie en biedt de eindgebruikers ook een betere gebruikerservaring tijdens het aanmelden.
Een geschikt gebruikersprofiel voor Windows Hello is een gebruiker die een één op één relatie heeft met zijn/haar werkplek. Medewerkers die regelmatig wisselen van werkplek zijn niet geschikt doordat de Windows Hello for Business credentials gekoppeld zijn aan het apparaat en de user identiteit.
De Windows Hello for Business oplossing kan je standalone implementeren (binnen Active Directory of Azure Active Directory) of hybride maken (Active Directory en Azure Active Directory). Een standalone implementatie stelt gelukkig niet veel voor, echter wanneer we praten over een hybride WHfB implementatie vergt dit wat complexe techniek van verschillende onderdelen.
Met hybrid Windows Hello for Business kan je met je cloud identiteit en cloud werkplek on-premises resources benaderen met je Windows Hello for Business credentials, iets wat standaard out-of-the-box niet kan en enkel werkt met een usernaam en wachtwoord. Denk hierbij bijvoorbeeld aan het benaderen van een File Share of een printen via een print server.
Technische voorbereiding voor Windows Hello for Business Hybrid
De implementatie van Windows Hello vereist voorbereiding binnen je organisatie. Er zijn een aantal implementatie opties beschikbaar, die allemaal voor- en nadelen hebben. Zowel Microsoft als wij zien maar een goede hybride oplossing voor nu en de toekomst op basis van Windows Hello For Business Hybrid Key-based Trust.
Hoofdzakelijk worden de volgende onderwerpen allemaal geraakt met een implementatie van WHfB hybrid key-trust:
- Azure AD Connect up to date
- Active Directory schema version 87 of hoger
- Active Directory domain & forest level 2008 R2 of hoger
- Minimaal een Windows Server 2016 Domain Controllers per Active Directory site
- Public Key Infrastructure (PKI) draaiend op Windows Server 2012 of hoger
- Kerberos Authenticate certificaat aangepast en uitgerold naar de Domain Controllers
- Windows Hello for Business geconfigureerd via Microsoft Intune
- Certificate Revocation List (CRL) van PKI beschikbaar binnen het interne netwerk
Security Keys (FIDO2)
De introductie van FIDO2 ondersteuning gaat terug naar begin 2018, het jaar waarin Microsoft het gebruik van FIDO2 Security Keys introduceerde voor haar consumenten diensten welke zoals Outlook.com of Xbox. Hierdoor was het mogelijk om met je Microsoft Account, gebruikmakend van een FIDO2 Security Key veilig in te loggen op Outlook.com of andere Microsoft diensten.
Aangezien het gebruik van wachtwoorden en de hygiëne hieromtrent steeds meer onder druk komt te staan neemt de roep om alternatieven toe. Medio 2018 is Microsoft gestart om FIDO2 naar de zakelijk markt uit te breiden en te integreren in haar Identity cloud platform Azure Active Directory (Azure AD). Mede doordat WebAuthN begin 2019 door W3C en FIDO Alliance als nieuwe web standaard is vastgesteld en de introductie van FIDO2 ondersteuning binnen Azure AD en Windows 10 neemt passwordless een vlucht.
Begin 2019 is mogelijk om voor Azure AD-accounts FIDO2 te gebruiken voor authenticatie. Daarmee is het mogelijk om met je Security Key in te loggen op Windows 10 of SaaS-applicaties welke gekoppeld zijn met Azure AD.
Organisaties hebben de mogelijkheid om te kunnen bepalen wie dit kan gebruiken. De gebruiker kan bij de juiste rechten zelfstandig Security Keys (op basis van FIDO2) activeren in zijn of haar Azure AD-profiel via https://mysignins.microsoft.com/.
Tijdens de activatie configureert de eindgebruiker een PIN op de security key (eenzelfde type PIN als men toepast binnen Windows Hello for Business). Deze key kan vervolgens in het aanmeld scherm van Windows 10 gebruikt worden om aan te melden of via een web-based login.
Security Keys (FIDO2) zijn ideaal voor organisaties of afdelingen waarbij eindgebruikers geen persoonlijke werkplek hebben, maar een apparaat moeten delen of juist waar eindgebruikers een werkplek gebruiken die niet zijn uitgerust met een TPM-chip. Voor deze scenario’s vervangt de FIDO2 key de TPM-chip en wordt je identiteit ‘portable’ waardoor deze dus op ieder device[1] gebruikt kan worden en niet meer gebonden is aan één werkplek.
Bijkomstig voordeel van het gebruik van Security Keys is dat deze voor diverse doeleinden inzetbaar zijn. Naast het inloggen op je Windows 10 werkplek kun je denken aan bijvoorbeeld fysieke toegangscontrole tot gebouwen of veilig printen middels NFC (Near Field Communication).
Password-less authenticatie gaat hand in hand met MFA. Dit betekent dat als de medewerker zijn Security Key verliest, er altijd een pincode of vingerafdruk gebruikt moet worden tijdens het authenticatie proces en daarmee alsnog veilig toegang te krijgen tot je werkplek of online diensten.
Wat is het vervolg wanneer onze Azure Active Directory password-less is ingericht, ben ik dan klaar?
Nee, dit is pas het begin van het password-less tijdperk. Nu je Azure Active Directory tenant password-less enabled is is het van belang zoveel mogelijk SaaS applicaties te kopellen (federeren) met de Azure AD. Op deze manier enable je ook deze applicaties met hetzelfde password-less concept en zorg je bovendien voor SSO naar deze applicaties.
Doe je dit niet dan blijven je eindgebruikers een usernaam en wachtwoord nodig hebben voor deze applicaties, hoe meer applicaties je dus aan je Azure Active Directory hangt des te meer applicaties je enabled voor password-less.
Het is daarbij van groot belang dat AD FS dus niet meer gekoppeld is met de Azure AD en zaak om alle applicaties gekoppeld aan AD FS te migreren naar de Azure AD aangezien dit niet werkt in combinatie met de password-less flow.
Conclusie
De combinatie van de Microsoft Authenticator app, Windows Hello for Business, en FIDO2 Security Keys, maakt het mogelijk om password-less te werken. Belangrijk om te weten is dat alle password-less authenticatie methodieken gebaseerd zijn op public-key technologie gecombineerd met een tweede factor (MFA). De private-key is altijd verbonden het device en wordt niet gedeeld. Hierdoor is het per definitie altijd veiliger dan het gebruiken van wachtwoorden maar vooral ook gebruiksvriendelijker en laagdrempelig voor eindgebruikers!
Het blijft voorlopig nog een feit dat aan alle gebruikers een wachtwoord gekoppeld is, dit is ook vereist aangezien nog niet alle componenten password-less zijn. Denk bijvoorbeeld aan een Remote Desktop sessie waarin altijd om je wachtwoord gevraagd wordt. Microsoft is hard op weg om ook deze onderdelen password-less te maken echter kost dat simpelweg tijd. Hierdoor blijft het dus relevant om een veilig wachtwoord te kiezen en daarnaast ook je identiteit te beveiligen met Multi-Factor Authenticatie en Azure AD Password Protection aan te zetten (beide AD Premium P1). Daarnaast kan je bovenop de eerder genoemde functionaliteit ook Azure AD Identity Protection (P2) inschakelen om inzicht te krijgen in risico’s, zoals gestolen inloggegevens of impossible travel.
Mijn ervaringen met password-less werken zijn zeer positief. Ik gebruik het password-less concept nu bijna één jaar en eerlijk gezegd gebruik ik mijn wachtwoord haast niet meer. Dankzij password-less authenticatie kan ik toch veilig maar vooral eenvoudig inloggen op al mijn InSpark resources en ben ik productief en hoef ik nooit meer na te denken wat mijn wachtwoord is.
Referentie Docs
- Microsoft Go Passwordless
- Enable passwordless authenticatie
- Microsoft whitepaper: Password-less protection
[1] Windows 10 1809 of hoger