Passwordless autentizace v Azure AD - Microsoft Authenticator, FIDO2 a Code Match for MFA

Co je passwordless autentizace?

Začneme od základů - co to ta passwordless autentizace vlastně je? Jak už může být anglicky hovořícím z pojmu zřejmé, jde o formu autentizace, při které uživatel nepoužije své heslo, ale přihlašuje se jiným způsobem. Ve světe Microsoftu a Azure AD jde o:

• Windows Hello ve Windows 10
• Microsoft Authenticator iOS/Android aplikace
• FIDO2 klíč

Jak takové přihlášení probíhá? Ve všech výše uvedených případech jde o přihlášení, které zároveň splňuje i požadavky na multifaktorovou autentizaci – tedy jde o kombinaci něčeho, co uživatel zná a něčeho, co uživatel vlastní. Typická je kombinace PINu a spravovaného zařízení (například u Windows Hello bez použití kamery) a kombinace biometrického ověření, kódu a druhého spravovaného zařízení (to je případ použití aplikace Microsoft Authenticator na mobilním telefonu). Uživatel tedy musí ověřit a potvrdit, že právě on v danou chvíli ovládá zařízení, na kterém je pokus o přihlášení bez hesla odsouhlasen, nebo že právě on používá FIDO2 klíč. Tím je garantována bezpečnost celého procesu.

Passwordless autentizace má za cíl zamezit tomu, aby někdo nepovolaný měl vůbec možnost heslo odposlechnout. Například pokud se uživatel přihlašuje k firemnímu mailu v internetové kavárně, tak přihlášení potvrdí na svém spravovaném firemním telefonu, nebo použije FIDO2 klíč. Heslo do počítače v kavárně vůbec nezadává a nehrozí, že by heslo někdo zjistil či odposlechnul.

Microsoft Authenticator

Jak tedy probíhá použití Microsoft Authenticatoru pro passwordless autentizaci? Na straně Azure AD je třeba splnit pár požadavků, především povolit kombinovanou registraci bezpečnostních údajů pro multifaktorovu autentizaci a reset hesla (což je jedno překlikávátko u starých tenantů, u nových je již ve výchozím stavu povoleno) a následně mít povolenou možnost passwordless notifikací do Microsoft Autenticatoru (ve výchozím stavu povoleno).

Na straně uživatele je potřeba splnit podmínku, že zařízení je registrováno v Azure AD. Následně může uživatel v Microsoft Authenticatoru u svého účtu povolit passwordless autentizaci.

V praxi přihlášení probíhá tak, že po zadání uživatelského jména do prohlížeče je uživatel místo hesla odkázán na potvrzení dvoumístného kódu, který se mu objeví v Microsoft Authenticatoru po odemčení zařízení a biometrickém potvrzení. Po potvrzení v telefonu je uživatel přihlášen a heslo k tomu nemusel vůbec použít.

Jaká jsou úskalí v praxi?

Mobilní telefon s Microsoft Authenticatorem musí být zapsán v Azure AD, což je může způsobit komplikace pro ty, kteří mají více účtů. Android i iOS mohou být zapsány v Azure AD pouze jednou, passwordless autentizaci tedy můžeme zapnout pouze u jednoho účtu.

Největším úskalím pro správce je, že zapnutí passwordless autentizace v Microsoft Authenticatoru se nedá automatizovaně nasadit bez toho, aby uživatel neprošel registračním procesem v aplikaci. Registrační proces je sice otázka pár kroků, ale i tak to je něco, co může běžnému kancelářskému pracovníkovi způsobovat problémy a minimálně k tomu musí správce vytvořit obrázkový návod s popisem. V Azure AD se dají v nastavení zakázat „staré“ MFA push notifikace a tím uživatele k registraci můžeme donutit, ale možnost, že by došlo k přeskočení celého procesu a automatickému zapnutí passwordless autentizace globálně všem uživatelům zatím bohužel nemáme.

FIDO2 klíče

Jedním z možností passwordless autentizace je použití FIDO2 klíčů. To jsou zjednodušeně řečeno standardizované bezpečností klíče (většinou do USB, ale mohou být i NFC), které fungují jako náhrada hesla. Použití klíče je zpravidla chráněno PINem a v závislosti na konkrétním výrobku i dalšími mechanismy (buď prostým dotykem na klíč, nebo nejlépe otiskem prstu). V případě použití klíče bez biometrie (u nás jsou oblíbeny klíče YubiKey) se dá teoreticky mluvit o tom, že bezpečnost je nižší než při použití Microsoft Authenticatoru, protože k použití klíče stačí znát krátký PIN, kterým je klíč chráněn. Je to samozřejmě věc volby a v Azure AD máme možnost omezit použití na klíče s konkrétním výrobním číslem. Tedy pokud si do firmy nakoupíme klíče s biometrií, můžeme zaručit, že jiný klíč použít nepůjde.

Klíč můžeme použít i pro přihlášení do Windows 10. Bohužel zádrhel je v tom, že pouze pro přihlášení a už ho nemůžeme použít pro elevaci práv v UAC dialogu na stanici. To je velká škoda, protože zrovna to je použití, které si dovedu představit v malých firmách - uživatel má problém na stanici, třeba potřebuje něco nainstalovat, admin za ním přijde, zasune FIDO2 klíč a provede, co je potřeba (teď neberme v potaz, že v ideálním světě má každá stanice unikátní účet lokálního admina, realita je často jiná). Bohužel, toto možné není.

Jako ideální použití FIDO2 klíčů se jeví přihlašování ke sdíleným stanicím. FIDO2 klíče pro přihlášení do Windows 10 fungují bez problémů a je to věc, co se nám u nejednoho klienta v praxi osvědčila (teoreticky se jde přihlašovat do Windows 10 i přes Microsoft Authenticator, ale v praxi to není úplně ideální - o tom třeba někdy jindy).

Zádrhel je stejně jako s Microsoft Authenticatorem v tom, že FIDO2 klíč si musí zprovoznit sám uživatel. Bohužel, v současné době nemají správci jinou možnost než se spolehnout na to, že uživatel si projde registračním procesem a FIDO2 klíč si sám nastaví. Není to nic drasticky složitého, ale opět se připravte na to, že bude třeba vytvořit obrázkové návody a popis, aby se tím byl schopen běžný kancelářský uživatel prokousat.

Code Match for MFA

Z výše uvedeného je zřejmé, že aktuální největší překážkou nasazení passwordless autentizace je nemožnost celý proces pro uživatele automatizovat tak, aby nemusel nic nastavovat. Tady se nám snad blýská na lepší časy. Již před časem do Microsoft Authenticatoru přibyla funkce App Lock, která je standardně zapnutá, a která vyžaduje při otevření aplikace PIN nebo biometrické ověření. To se může na první pohled jevit jako zbytečné, protože většina spravovaných zařízení stejně vyžaduje pro odemčení PIN/biometrii a passwordless autentizace také potřebuje biometricky ověřit. Ale Microsoft ví, kam tímto krokem míří. Do budoucna (snad tento rok) do Azure AD přibude funkce další, a to Code Match for MFA.

Code Match for MFA je v podstatě „stará“ MFA autentizace obohacená o passwordless proces. Místo klasického zadání hesla a následného ověření druhým faktorem bude možno MFA použít jako passwordless autentizaci stejně tak, jak funguje passwordless v Microsoft Authenticatoru nyní, ovšem bez toho, aby musel uživatel funkci zapínat, zařízení registrovat do Azure AD a cokoliv nastavovat.

Zatím jsme od praktického nasazení daleko, funkce je dostupná pro nefiremní Microsoft účty, byla chvíli k dispozici v Azure AD jako preview, aby následně byla odebrána k dalšímu dopracování. Podle aktuální roadmapy by měla být dostupná do konce roku 2021. Pro praktické použití je ještě třeba dopilovat správu výše zmíněného App Locku (aktuálně není možné globálně spravovat) a tato správa bude muset probíhat přes jiný kanál než MAM/MDM, aby mohl uživatel požívat i neregistrovaná zařízení a přitom byla garance ověření PINem nebo biometrií.

Uvidíme, s čím Microsoft přijde a kdy bude tato funkce v Azure AD k dispozici. Až se tak stane, domnívám se, že bude příležitost pro skutečně masové rozšíření passwordless autentizace, kdy uživatel nemusí nic nastavovat a vše je v rukou správců. Je však samozřejmě otázka, jak vše dopadne, u Microsoftu si člověk nemůže být jist ničím, a dokud funkce k dispozici veřejně není, nezbývá nám než doufat.

Závěrem

Passwordless autentizace je určitě vhodná pro všechny, kteří chtějí zvýšit zabezpečení svých účtů. Krádeže hesel jsou stále nečastějším způsobem nabourání se do firemních účtů a každá funkce, která to útočníků znesnadní je vhodná. Použití passwordless autentizace v Azure AD je sice snadné, ale pro běžné kancelářské uživatele může být problematické si ji aktivovat pro svůj účet. Správci aktuálně nemají možnosti, jak globálně passwordless autentizaci svým uživatelům hromadně nastavit, ale toto by se do budoucna mohlo změnit s Code Match for MFA.