Azure-todennusmenetelmien kuvaus

  • 6 minuuttia

Todentaminen on prosessi, jossa määritetään henkilön, palvelun tai laitteen käyttäjätiedot. Se edellyttää, että henkilö, palvelu tai laite antaa jonkinlaiset tunnistetiedot todistaakseen olevansa. Todentaminen on kuin esittäisi tunnuksen matkustaessasi. Se ei vahvista, että sinut on sakotettu, se vain todistaa, että olet kuka sanot olevasi. Azure tukee useita todennusmenetelmiä, kuten vakiosalasanoja, kertakirjautumista (SSO), monimenetelmäistä todentamista (MFA) ja salasanattomia salasanoja.

Pisimpään suojaus ja kätevyys näyttivät olevan ristiriidassa keskenään. Onneksi uudet todentamisratkaisut tarjoavat sekä suojauksen että mukavuuden.

Seuraavassa kaaviossa esitetään suojaustaso kätev siihen verrattuna. Huomaa, että salasanaton todentaminen on korkea suojaus ja hyvä kätevyys, kun taas salasanat yksinään ovat heikko suojaus, mutta hyvä kätevyys.

neljä neljännestä -kaaviota, jotka näyttävät suojauksen ja kätevyyden. Salasanat + 2 Tekijä -todennus on suojaustasoa, mutta sen kätevyys on alhainen.

Mitä kertakirjautuminen on?

Kertakirjautumisen avulla käyttäjä voi kirjautua sisään kerran ja käyttää kyseisiä tunnistetietoja, jotta hän voi käyttää useita eri palveluntarjoajien resursseja ja sovelluksia. Jotta kertakirjautuminen toimisi, eri sovellusten ja palveluntarjoajien on luotettava alkuperäiseen todennimeen.

Useammat käyttäjätiedot tarkoittavat sitä, että myös muistettaessa ja muutettaessa salasanoja on paljon. Salasanakäytännöt voivat vaihdella sovellusten välillä. Monimutkaisuusvaatimusten kasvaessa käyttäjien on yhä vaikeampaa muistaa ne. Mitä enemmän salasanoja käyttäjän on hallittava, sitä suurempi on tunnistetietoihin liittyvä suojausriski.

Harkitse kaikkien näiden käyttäjätietojen hallintaprosessia. Tukipalvelut ovat entistä kuormitetumpia, kun ne käsittelevät tilin lukituksia ja salasanan palautuspyyntöjä. Jos käyttäjä poistuu organisaatiosta, kaikkien näiden käyttäjätietojen jäljittäminen ja niiden käytöstä poistamisen varmistaminen voi olla haastavaa. Jos käyttäjätietoja ei huomioida, se saattaa sallia käytön, vaikka käyttö olisi pitänyt estää.

Kertakirjautumisen avulla sinun on muistettava vain yksi tunnus ja yksi salasana. Käyttöoikeus kaikkiin sovelluksiin myönnetään yksille käyttäjään liitetyille käyttäjätiedoilla, mikä yksinkertaistaa suojausmallia. Kun käyttäjät vaihtavat rooleja tai lähtevät organisaatiosta, käyttöoikeus on sidottu yksittäisiin käyttäjätietoihin. Tämä muutos vähentää huomattavasti tarvittavaa työtä tilin muuttamiseen tai käytöstä poistamiseen. Tilien kertakirjautumisen avulla käyttäjät voivat helpommin hallita käyttäjätietojaan ja IT-käyttäjiä.

Tärkeä

Kertakirjautuminen on vain yhtä turvallinen kuin alkuperäinen todentaja, koska seuraavat yhteydet perustuvat alkuperäisen todentimen suojaukseen.

Mitä monimenetelmäinen todentaminen on?

Monimenetelmäinen todentaminen on prosessi, jossa käyttäjältä kehotetaan vaatimaan ylimääräinen tunnistautumislomake (tai -kerroin) kirjautumisprosessin aikana. Monimenetelmäinen todentaminen auttaa suojautumaan salasanakomprotekseilta tilanteissa, joissa salasana vaarantui, mutta toinen tekijä ei ole.

Mieti, miten voit kirjautua sivustoihin, sähköpostiin tai verkkopalveluihin. Kun olet kirjoittanut käyttäjänimesi ja salasanasi, oletko koskaan halunnut antaa koodia, joka on lähetetty puhelimeesi? Jos näin on, olet kirjautuneena sisään käyttämällä monimenetelmäistä todentamista.

Monimenetelmäinen todentaminen lisää käyttäjätietojen suojausta edellyttämällä vähintään kahta elementtiä todentamiseen. Nämä elementit jakautuvat kolmeen luokkaan:

  • Jotain, minkä käyttäjä tietää – tämä voi olla haastekysymys.
  • Jotain mitä käyttäjällä on – kyseessä voi olla koodi, joka lähetetään käyttäjän matkapuhelimeen.
  • Jotain, mikä käyttäjä on – tämä on yleensä jonkinlainen biometrinen ominaisuus, kuten sormenjälki tai kasvojen skannaus.

Monimenetelmäinen todentaminen parantaa käyttäjätietojen suojausta rajoittamalla tunnistetietojen altistumista (esimerkiksi varastetut käyttäjänimet ja salasanat). Kun monimenetelmäinen todentaminen on käytössä, hyökkääjällä, jolla on käyttäjän salasana, olisi myös oltava puhelimen tai sormenjäljen hallussa, jotta hän voi täysin todentaa.

Vertaa monimenetelmäistä todentamista yksimenetelmäiseen todentamiseen. Yksimenetelmäisen todentamisen yhteydessä hyökkääjä tarvitsee todentamiseen vain käyttäjänimen ja salasanan. Monimenetelmäinen todentaminen tulee ottaa käyttöön aina, kun se on mahdollista, koska se lisää valtavia etuja suojaukseen.

Mikä on Microsoft Entran monimenetelmäinen todentaminen?

Microsoft Entran monimenetelmäinen todentaminen on Microsoft-palvelu, joka tarjoaa monimenetelmäisen todentamisen ominaisuuksia. Microsoft Entran monimenetelmäisen todentamisen avulla käyttäjät voivat valita kirjautumisen aikana muunkin todennuslomakkeen, kuten puhelun tai mobiilisovelluksen ilmoituksen.

Mitä on salasanaton todentaminen?

Monimenetelmäisen todentamisen kaltaiset ominaisuudet ovat erinomainen tapa suojata organisaatiosi, mutta käyttäjät turhautuvat usein lisäsuojaukseen sen lisäksi, että heidän on muistettava salasanansa. Ihmiset noudattavat todennäköisemmin, kun se on helppoa ja kätevää. Salasanattomat todentamismenetelmät ovat kätevämpiä, koska salasana poistetaan ja korvataan jollakin, mitä sinulla on, sekä jotain mitä olet tai jotain tiedät.

Salasanaton todentaminen on määritettävä laitteessa, ennen kuin se voi toimia. Sinulla voi olla esimerkiksi oma tietokone. Kun se on rekisteröity tai rekisteröity, Azure tietää nyt, että se on liitetty sinuun. Nyt kun tietokone on tiedossa, voit todentaa sinut ilman salasanaa, kun olet antanut sinulle jotain, minkä tiedät tai olet (kuten PIN-koodin tai sormenjäljen).

Jokaisella organisaatiolla on eri tarpeet todentamisen suhteen. Microsoftin yleinen Azure ja Azure Government tarjoavat seuraavat kolme salasanatonta todentamisvaihtoehtoa, jotka voidaan integroida Microsoft Entra -tunnuksen kanssa:

  • Windows Hello for Business
  • Microsoft Authenticator -sovellus
  • FIDO2-suojausavaimet

Windows Hello for Business

Windows Hello for Business sopii ihanteellisesti tietotyöntekijöille, joilla on oma Windows-tietokone. Biometriset tiedot ja PIN-koodin tunnistetiedot on sidottu suoraan käyttäjän tietokoneeseen, mikä estää käytön muilta kuin omistajalta. Windows Hello for Business tarjoaa kätevän menetelmän yrityksen resurssien saumattomaan käyttämiseen paikallisesti ja pilvipalvelussa, kun se integroi julkisen avaininfrastruktuurin (PKI) ja kertakirjautumisen sisäänrakennetun tuen.

Microsoft Authenticator -sovellus

Voit myös sallia, että työntekijän puhelimesta tulee salasanaton todentamismenetelmä. Saatat jo käyttää Microsoft Authenticator -sovellusta sopivana monimenetelmäisen todentamisen vaihtoehtona salasanan lisäksi. Voit myös käyttää Authenticator-sovellusta salasanattomana vaihtoehtona.

Authenticator-sovellus muuttaa minkä tahansa iOS- tai Android-puhelimen vahvaksi salasanattomaksi tunnistetiedoksi. Käyttäjät voivat kirjautua sisään mihin tahansa ympäristöön tai selaimeen saamalla ilmoituksen puhelimeensa, vertaamalla näytössä näkyvää numeroa puhelimeensa ja käyttämällä sitten biometristä arvoa (kosketus tai kasvot) tai PIN-koodia vahvistamiseen. Katso asennustiedot Kohdasta Microsoft Authenticator -sovelluksen lataaminen ja asentaminen.

FIDO2-suojausavaimet

FIDO (Fast IDentity Online) Alliance auttaa edistämään avoimia todentamisstandardeja ja vähentämään salasanojen käyttöä todentamisen muotona. FIDO2 on uusin standardi, joka sisältää verkkotodentamisen (WebAuthn) standardin.

FIDO2-suojausavaimet ovat määrittämätön standardipohjainen salasanaton todentamismenetelmä, joka voi vaikuttaa mihin tahansa laitemuotoon. Fast Identity Online (FIDO) on avoin standardi salasanattomalle todentamielle. FIDO:n avulla käyttäjät ja organisaatiot voivat standardin avulla kirjautua sisään resursseihinsa ilman käyttäjänimeä tai salasanaa käyttämällä ulkoista suojausavainta tai laitteeseen sisäistä käyttöympäristöavainta.

Käyttäjät voivat rekisteröityä ja valita sitten FIDO2-suojausavaimen kirjautumisrajapinnassa pääasialliseksi todentamismenetelmäkseen. Nämä FIDO2-suojausavaimet ovat yleensä USB-laitteita, mutta ne voivat myös käyttää Bluetoothia tai NFC:tä. Tilin suojausta lisätään todentamista käsittelevässä laitteistossa, koska mitään salasanaa ei voi paljastaa tai arvata.