néhány titok túl fontos ahhoz, hogy csak jelszóval lehessen védeni.
a jelszavak problémája az, hogy túl könnyen ellopják, kitalálják vagy adathalásznak. Egy rosszfiú, aki megszerzi a felhasználónevét és jelszavát, felhasználhatja ezeket a hitelesítő adatokat, hogy megszemélyesítse Önt a kapcsolódó szolgáltatásban, potenciálisan katasztrofális eredményekkel.
szervezete nem engedheti meg magának, hogy a jelszavak legyenek az egyetlen akadály, amely megvédi üzleti fájljait és e-mailjeit a külső támadóktól. Szüksége van egy további biztonsági rétegre, az úgynevezett többtényezős hitelesítésre. Úgy működik, hogy legalább két hitelesítési formát igényel, a következő elemek bármely kombinációjából:
- “valami, amit tudsz, “például egy jelszó vagy PIN
- ” valami, ami vagy”, például egy ujjlenyomat vagy más biometrikus azonosító
- ” valami, ami van”, például egy megbízható okostelefon, amely képes megerősítő kódokat generálni vagy fogadni
a Modern, üzleti szintű online szolgáltatások lehetővé teszik a hitelesítés második formájának hozzáadását a felhasználói fiókokhoz, ezt a konfigurációt gyakran kétfaktoros hitelesítésnek (2FA) nevezik. A klasszikus 2FA példa egy bank ATM kártya, amelyet egy második tényező biztosít numerikus PIN formájában. Ha ellopják az ATM-kártyáját, az haszontalan, mert a tolvajnak nincs meg a PIN-kódja. Az ellopott vagy adathalász PIN-kód pedig haszontalan, hacsak a tolvaj el nem tudja csúsztatni a mágneses csíkot a fizikai kártyáján.
az Office 365 Nagyvállalati kiadásai lehetővé teszik 2FA hozzáadását bármely felhasználói fiókhoz. (Ez az Office blogbejegyzés elmagyarázza a szolgáltatás működését, a teljes telepítési útmutatóval itt érhető el.) Miután beállította a felhasználói fiókot a 2FA igényléséhez, a felhasználó a szokásos módon adja meg felhasználónevét és jelszavát a látogatás során Office365.com. De miután sikeresen teljesítette ezt a kihívást, megjelenik az A ábrán látható prompt.
a ábra
ebben a példában az Office 365 úgy van beállítva, hogy az ellenőrző kódot szöveges üzenetként küldje el a felhasználói fiókhoz társított mobiltelefonszámra (ott van az a “valami, amije van”). Lehet, hogy egy tolvaj rendelkezik a felhasználó jelszavával, de nincs telefonja társítva az eszközhöz, ezért nem tudja beírni a véletlenszerűen generált numerikus kódot, amelyet az adott megbízható eszközre küldtek. És nincs sok ideje dolgozni sem, mert a kód egy perccel az elküldés után lejár.
a szöveges (SMS) üzenetekre támaszkodó ellenőrzési lehetőségek problémája az, hogy nem mindig számíthat arra, hogy megkapja ezeket az üzeneteket, amikor szüksége van rájuk. Ha nagy sebességű hálózati kapcsolat van a szállodában vagy a távoli irodában, de a kézibeszélőn a “Nincs szolgáltatás” felirat olvasható, akkor nincs szerencséje.
a megoldás egy alternatív ellenőrzési lehetőség használata, amely a B. ábrán látható listából származik.
B ábra
a lista első választása akkor is működik, ha nem tud szöveges üzenetet vagy robothang által a hangvonalra továbbított kódot fogadni. Feltételezi, hogy telepítette az Azure Multi-Factor Authentication alkalmazást, amely iOS-eszközökön (iPhone és iPad) érhető el az App Store-on, Android-eszközökön a Google Play store-on és a Windows Phone-on keresztül.
mivel az Office 365 a Microsoft Azure-ra épül, ezzel az alkalmazással megerősítő kódokat hozhat létre a titkos kulcs, valamint az aktuális dátum és idő alapján. Nem számít, hogy a telefon aktív adatkapcsolattal rendelkezik-e. Ha meg tudja nyitni az alkalmazást, letölthet egy kódot, amely érvényes második hitelesítési tényezőként fog működni.
a C ábra azt mutatja, hogy az alkalmazás hogyan néz ki egy Android okostelefonon.
C ábra
ha egynél több fiók van beállítva, minden fiókhoz külön kódokat fog látni. Minden kód 30 másodpercig jó, az alkalmazás tetején található folyamatjelző sáv megmutatja, mennyi ideig tart a következő kód generálása.
amikor a webböngészőben megjelenik az ellenőrző kód megadására vonatkozó felszólítás, írja be az alkalmazás aktuális értékét, és hozzáférhet az Office 365-höz.
érdemes megjegyezni, hogy a 2FA megvédi fiókját az illetéktelen hozzáféréstől. Nem védi az egyes fájlokat vagy üzeneteket.
a 2FA beállításához Office 365-en rendszergazdaként kell bejelentkeznie, fel kell keresnie az Office 365 felügyeleti központot, és kattintson a felhasználók | Aktív Felhasználók elemre. Az aktív felhasználók irányítópultján kattintson a D ábrán látható lehetőségre a telepítési folyamat megkezdéséhez. Ez a lépés az aktív felhasználók listájához vezet, ahol kiválaszthat egy vagy több fiókot, majd engedélyezheti vagy letilthatja a 2FA-t.
D ábra
a telepítés befejezése után minden felhasználónak be kell állítania a további biztonsági ellenőrzési lépéseket. Ha az okostelefon-alkalmazás beállításának lehetőségét választja, először telepítse az eszközére. Ezután a beállítás során használja a képernyőn megjelenő QR-kódot az alkalmazás biztonságos használatra történő konfigurálásához (e ábra).
e ábra
felhasználóként bármikor módosíthatja a 2FA beállításait. Megváltoztathatja például az alapértelmezett viselkedést úgy, hogy az alkalmazás megjelenítsen egy megerősítő üzenetet, amelyet megérinthet a jóváhagyáshoz. Alternatív mobiltelefont is hozzáadhat a beállításokhoz.
a beállítások eléréséhez jelentkezzen be az Office 365-be, kattintson vagy koppintson a fogaskerék ikonra a jobb felső sarokban, válassza az Office 365 beállításai lehetőséget, majd válassza a További biztonsági ellenőrzés lehetőséget. Az összes rendelkezésre álló lehetőség megtekintéséhez ki kell választania a fiók biztonságához használt telefonszámok frissítése lehetőséget.
egy utolsó, fontos megjegyzés Az Office 365 és az Office 2FA használatáról. Ezen extra biztonsági szint bekapcsolása azt jelenti, hogy az Office 365-fiók hitelesítő adatai nem fognak működni a telefonon vagy a számítógépen található levelezőalkalmazásokban, beleértve a Microsoft Outlook és a Lync alkalmazást is. Minden ilyen eszközhöz külön alkalmazásjelszót kell létrehoznia, amelyet a kezdeti beállítás részeként kell megadnia. Az App Passwords Vezérlőpult külön lapon található, a További biztonsági ellenőrzési lehetőségek mellett.
amikor első alkalommal jelentkezik be egy fiókba egy eszközön, az eszközt megbízhatóként jelölheti meg (“ne kérjen tőlem újra kódot ezen az eszközön”). Ez kiküszöböli a rendszeresen használt eszközök bosszantási tényezőjét.
ha úgy gondolja, hogy egy eszközt elloptak vagy feltörtek, akkor az internetre lépve törölheti a megbízható eszközök listáját, így mindegyiknél meg kell ismételnie az ellenőrzést. Ismét, mert ez egy lépés, ez csak egy szóváltás egyszer egy eszköz. Ha nem megbízható eszközön (mondjuk kölcsönzött számítógépen) jelentkezik be, akkor nyilvánvalóan nem engedi, hogy a megbízható eszközök listáján szerepeljen.