jotkut salaisuudet ovat liian tärkeitä suojattavaksi vain salasanalla.
salasanojen ongelma on se, että ne varastetaan, arvataan tai kalastellaan liian helposti. Pahis, joka hankkii käyttäjätunnuksesi ja salasanasi, voi käyttää näitä tunnuksia esittääkseen sinut siihen liittyvässä Palvelussa, mahdollisesti tuhoisin seurauksin.
organisaatiollasi ei ole varaa tehdä salasanoista ainoaa estettä, joka suojaa yrityksesi tiedostoja ja sähköpostia ulkopuolisilta hyökkääjiltä. Tarvitset ylimääräisen suojakerroksen, jota kutsutaan monivaiheiseksi todennukseksi. Se toimii vaatimalla vähintään kahta todennusmuotoa, mistä tahansa seuraavien elementtien yhdistelmästä:
- ”jotain mitä tiedät,” kuten salasana tai PIN
- ”jotain mitä olet”, kuten sormenjälki tai muu biometrinen tunniste
- ”jotain mitä sinulla on”, kuten luotettava älypuhelin, joka voi luoda tai vastaanottaa vahvistuskoodeja
nykyaikaiset, business-luokan verkkopalvelut mahdollistavat toisen tunnistautumisen lisäämisen käyttäjätileille, jota kutsutaan usein kaksivaiheiseksi todennukseksi (2FA). Klassinen 2FA-esimerkki on Pankkiautomaattikortti, joka on turvattu toisella tekijällä numeerisen PIN-koodin muodossa. Jos pankkikortti varastetaan, se on hyödytön, koska varkaalla ei ole tunnuslukuasi. Ja varastettu tai phished PIN on hyödytön, ellei varas voi myös pyyhkäistä magneettinauhaa fyysisen kortin.
Office 365: n yritysversiot sisältävät mahdollisuuden lisätä 2FA mille tahansa käyttäjätilille. (Tämä toimisto blogikirjoitus selittää, miten ominaisuus toimii, ja täydellinen käyttöönotto opas saatavilla täällä.) Kun olet määrittänyt käyttäjätilin vaatimaan 2FA: ta, käyttäjä syöttää käyttäjänimensä ja salasanansa tavalliseen tapaan vieraillessaan Office365.com. Mutta kun olet läpäissyt tuon haasteen, kuvassa a esitetty kehote ilmestyy.
Kuva a
tässä esimerkissä Office 365 on määritetty lähettämään varmennuskoodi tekstiviestinä käyttäjätiliin liittyvään matkapuhelinnumeroon (siinä on se ”something you have”). Varkaalla voi olla käyttäjän salasana, mutta hänellä ei ole puhelinta, joka liittyy kyseiseen laitteeseen, joten hän ei voi kirjoittaa satunnaisesti luotettuun laitteeseen lähetettyä numerokoodia. Eikä hänkään ehdi tehdä paljoa töitä, koska koodi vanhenee noin minuutin kuluttua sen lähettämisestä.
tekstiviesteihin tukeutuvien varmennusvaihtoehtojen ongelmana on se, että aina ei voi luottaa saavansa näitä viestejä, kun niitä tarvitsee. Jos sinulla on nopea verkkoyhteys hotellissasi tai etätoimistossasi, mutta puhelimesi lukee ”Ei palvelua”, olet onneton.
ratkaisuna on käyttää vaihtoehtoista verifiointivaihtoehtoa, joka perustuu Kuvassa B olevaan luetteloon.
kuva B
kyseisen listan ensimmäinen valinta toimii, vaikka et pystyisi vastaanottamaan tekstiviestiä tai robottiäänen äänilinjallesi toimittamaa koodia. Se olettaa, että olet asentanut Azure Multi-Factor Authentication-sovelluksen, joka on saatavilla iOS-laitteille (iPhone ja iPad) App Storen kautta; Android-laitteet Google Play-Kaupan kautta; ja Windows Phone.
koska Office 365 on rakennettu Microsoft Azurelle, voit käyttää tätä sovellusta luomaan vahvistuskoodeja, jotka perustuvat salaiseen avaimeesi ja nykyiseen päivämäärään ja kellonaikaan. Sillä ei ole väliä, onko puhelimessasi aktiivinen datayhteys. Jos voit avata sovelluksen, voit hakea koodin, joka toimii kelvollisena toisena todennuskertoimena.
Kuva C näyttää, miltä sovellus näyttää Android-älypuhelimessa.
Kuva C
jos sinulla on useampi kuin yksi tili, näet jokaiselle tilille erilliset koodit. Jokainen koodi on hyvä 30 sekuntia, jossa etenemispalkki yläosassa sovelluksen näyttää, kuinka kauan, kunnes seuraava koodi on luotu.
kun näet selaimessasi kehotuksen antaa vahvistuskoodi, kirjoita sovelluksen nykyinen arvo, ja pääset Office 365: een.
on syytä huomata, että 2FA suojaa tiliäsi luvattomalta käytöltä. Se ei suojaa yksittäisiä tiedostoja tai viestejä.
jos haluat perustaa 2FA: n Office 365: een, sinun on kirjauduttava sisään järjestelmänvalvojana, käytävä Office 365: n hallintakeskuksessa ja napsautettava käyttäjät | aktiiviset käyttäjät. Vuonna Active Users Dashboard, valitse vaihtoehto Kuvassa D aloittaa määritysprosessi. Tämä vaihe vie sinut aktiivisten käyttäjien luetteloon, jossa voit valita yhden tai useamman tilin ja sitten ottaa käyttöön tai poistaa 2FA: n käytöstä.
Kuva D
tämän asennuksen jälkeen jokaista käyttäjää pyydetään ottamaan käyttöön lisäturvavaiheet. Jos valitset vaihtoehdon perustaa älypuhelinsovellus, asenna se laitteeseen ensin. Sitten, asennuksen aikana, käytä QR-koodi näytöllä määrittää sovelluksen turvallista käyttöä (Kuva E).
Kuva E
käyttäjänä voit muuttaa 2FA-asetuksiasi milloin tahansa. Voit esimerkiksi muuttaa oletuskäyttäytymistä niin, että sovellus näyttää vahvistuspyynnön, jota voit napauttamalla hyväksyä. Voit myös lisätä vaihtoehtoisen matkapuhelimen asetuksiisi.
voit käyttää näitä asetuksia kirjautumalla Office 365: een, napsauttamalla tai napauttamalla vaihdekuvaketta oikeassa yläkulmassa, valitsemalla Office 365: n asetukset ja valitsemalla sitten Lisäturvavahvistuksen. Sinun täytyy valita Update my Phone Numbers Used for Account Security nähdäksesi kaikki käytettävissä olevat vaihtoehdot.
vielä viimeinen tärkeä huomautus Office 365: n ja Office 2FA: n käytöstä. Tämän lisäturvatason käyttöönotto tarkoittaa, että Office 365-tilisi tunnukset eivät enää toimi puhelimen tai tietokoneen sähköpostisovelluksissa, mukaan lukien Microsoft Outlook ja Lync. Sinun täytyy luoda erillinen sovelluksen salasana jokaiselle tällaiselle laitteelle ja syöttää se osana alkuasetusta. Sovelluksen salasanat – ohjauspaneeli on erillisellä välilehdellä, Lisävarmennusvaihtoehtojen vieressä.
kun kirjaudut tilille ensimmäistä kertaa jollakin laitteella, voit määrittää kyseisen laitteen luotettavaksi (”Don’ t ask me for a code on this device again”). Se poistaa ärsytyskertoimen laitteista, joita käytät säännöllisesti.
jos epäilet, että jokin laite on varastettu tai vaarantunut, voit mennä netistä ja poistaa listan luotetuista laitteista niin, että joudut toistamaan vahvistuksen jokaiselle laitteelle. Jälleen, koska tämä on yksi askel se on vain hässäkkä kerran per laite. Jos kirjaudut sisään epäluotettavalla laitteella (lainattu tietokone, sanotaan), et ilmeisesti salli sen olevan luotettujen laitteiden luettelossa.