Een wachtwoord is als je er over nadenkt best lastig, en je vergeet hem vast wel eens. Ook heeft een gebruiker tegenwoordig meerdere accounts – en zijn de wachtwoorden allemaal uniek?, vaak is dit niet het geval. Helemaal met de bewuste wijzigingen is het vaak onoverzichtelijk en vergeet je wachtwoorden. Tijd om snel te vernieuwen op dit vlak. In een aantal vorige blog berichten zijn we verder gegaan op Windows Hello, Password Protection en Password-less via bijvoorbeeld Windows Hello en een Yubikey. Dit keer gaan we verder in op Azure Active Direcory Passwordless en dan specifiek de functie via de authenticator app.
In een vorig artikel hebben we uitgebreid de verschillende functionaliteiten besproken van Password-less, hierin zijn de opties als een app, security key, gezichtsherkenning en een pin voorbij gekomen. Microsoft staat niet stil op dit vlak en blijft investeren rondom de Password-less ervaring. Zo merk je goed dat er steeds meer functionaliteiten beschikbaar komen. Nu gaan wij niet in op alle mogelijkheden, maar specifiek Phone Sign-In.
De meest voorkomende vraag, waarom Password-less als MFA aanstaat?
MFA en Password-less kan je zien als twee aparte werelden. Uiteraard heb je verschillende niveau’s; waaronder het inloggen met alleen een wachtwoord zonder MFA. Bij de MFA activatie ben je al goed beveiligd tegen phishing en overige aanvallen, maar nog steeds is er een wachtwoord en moet je deze mogelijk wijzigen – uiteraard kan je deze ook vergeten. MFA bestaat uit twee stappen, eerst het wachtwoord waarna de tweede verificatie. Qua gebruikerservaring ben je hiermee de gebruiker twee keer tot last. Password-less maakt dit een stuk eenvoudiger tot één niveau.
Afbeeldingen zeggen meer dan 100 woorden;
Microsoft Authenticator Phone Sign-in
De Microsoft Authenticator is al veelgebruikt voor de MFA aanmeldingen via de app. Maar in de app is sinds een tijd ook de feature Phone Sign-In beschikbaar. Deze nieuwe feature maakt het mogelijk om zonder wachtwoord in te loggen.
In de praktijk heb je hiermee een enkele factor; de gebruiker zal eerst inloggen met de bekende gebruikersnaam, vervolgens zal er een redirect verzonden worden naar de Microsoft Authenticator app. Vervolgens krijg je op het mobiele device een aantal code’s welke de gebruiker moet bevestigen. Nu denk je vast – is dit wel veilig? De app vereist een vorm van biometrische gegevens, zoals een vingerafdruk, gezichtsherkenning of een pincode. Hiermee is er toch nog een validatie van de identiteit. En het wachtwoord? Juist, die heb je niet meer.
Een voorwaarde is wel dat de smartphone gekoppeld moet zijn aan de Azure AD. Wanneer de Phone Sign-in is geactiveerd heb je wel veel gebruiksgemak en is de login nog altijd beveiligd.
Configureren?
Om te beginnen zijn er een aantal vereisten;
- Azure MFA met push notifications als methode
- Microsoft Authenticator app op smartphone ( iOS of Android)
Activeren Password-less Sign In
- Activeer MFA voor de gebruiker
- Installeer Microsoft Authenticator app
- Activeer Password-less sign-in als verificatie methode
Om Password-less sign-in te activeren vanuit AzureAD ga je in de Azure AD portal naar security. Active Directory → Security → Authentication methods → Authenticated method policy
Vervolgens zie je Microsoft Authenticator Password-less sign-in als verificatie methode. Klik vervolgens op activeren/ enable. Het is hierbij mogelijk om specifieke gebruikers aan te geven of alle users.
Gebruikersregistratie
Vervolgens kan de gebruikers zich registreren voor MFA, hierbij is de authenticator app methode aanwezig. Wanneer de MFA registratie is voltooid heeft de gebruiker de mogelijkheid om Phone sign-in te activeren. Een voorwaarde is wel dat het apparaat geregistreerd zal worden in AzureAD.
Hiervoor klik je in de app op; Aanmelding via telefoon inschakelen indien het apparaat al bekend is klik je op doorgaan, indien niet kan je het device direct registreren.
Het resultaat
Wanneer je een nieuwe sessie start en aanmeld met je gebruikersnaam zal je zien dat er geen wachtwoord is vereist – maar dat er een nummer in beeld komt. Vervolgens open je de app en klik je het nummer aan zoals aangegeven.
Na de bevestiging is er een additionele verificatie vereist, zoals een gezichtsherkenning, vingerafdruk of een pincode.
Vervolgens is de authenticatie voltooid en heeft er een Password-less sign in plaatsgevonden.
Naast de Phone Sign-In zijn er nog een tal van opties, zoals een fysieke beveiligingssleutel en Windows Hello welke Password-less mogelijk maken. Helaas werken nog niet alle online diensten met Password-less, waardoor het nog altijd belangrijk is om een veilig wachtwoord te gebruiken en je wachtwoord goed te beveiligen via bijvoorbeeld Azure Active Directory Password Protection.