Alcuni segreti sono troppo importanti per essere protetti solo da una password.
Il problema con le password è che sono troppo facilmente rubati, indovinato, o phished. Un cattivo ragazzo che acquisisce il nome utente e la password può utilizzare tali credenziali per impersonare voi al servizio associato, con risultati potenzialmente disastrosi.
La tua organizzazione non può permettersi di rendere le password l’unica barriera che protegge i file aziendali e le e-mail da aggressori esterni. È necessario un ulteriore livello di sicurezza chiamato autenticazione a più fattori. Funziona richiedendo almeno due forme di autenticazione, da qualsiasi combinazione dei seguenti elementi:
- “Qualcosa che si conosce”, come ad esempio una password o un PIN
- “Qualcosa di te”, come le impronte digitali o altri biometrici ID
- “Qualcosa” come un fidato smartphone in grado di generare o ricevere i codici di conferma
Moderno, di livello aziendale servizi online che permettono di aggiungere una seconda forma di autenticazione per gli account utente, configurazione, spesso indicato come l’autenticazione a due fattori (2FA). Il classico esempio 2FA è una carta BANCOMAT bancaria, che è protetta da un secondo fattore sotto forma di PIN numerico. Se la tua carta bancomat viene rubata, è inutile perché il ladro non ha il tuo PIN. E un PIN rubato o phished è inutile a meno che il ladro può anche strisciare la striscia magnetica sulla carta fisica.
Le edizioni Enterprise di Office 365 includono la possibilità di aggiungere 2FA a qualsiasi account utente. (Questo post sul blog di Office spiega come funziona la funzione, con una guida completa alla distribuzione disponibile qui.) Dopo aver configurato un account utente per richiedere 2FA, l’utente inserisce il suo nome utente e la sua password come al solito quando visita Office365.com. Ma dopo aver superato con successo quella sfida, appare il prompt mostrato nella Figura A.
Figura A
In questo esempio, Office 365 è configurato per inviare il codice di verifica come messaggio di testo al numero di cellulare associato all’account utente (c’è quel “qualcosa che hai”). Un ladro può avere la password dell’utente, ma non ha il telefono associato a quel dispositivo, quindi non può digitare il codice numerico generato casualmente che è stato inviato a quel dispositivo attendibile. E non ha molto tempo per lavorare, perché il codice scade un minuto o giù di lì dopo che è stato inviato.
Il problema con le opzioni di verifica che si basano su messaggi di testo (SMS) è che non puoi sempre contare sulla ricezione di quei messaggi quando ne hai bisogno. Se hai una connessione di rete ad alta velocità nel tuo hotel o ufficio remoto ma il tuo telefono legge “Nessun servizio”, sei sfortunato.
La soluzione consiste nell’utilizzare un’opzione di verifica alternativa, tratta dall’elenco mostrato nella Figura B.
Figura B
La prima scelta di tale elenco funziona anche se non si riesce a ricevere un messaggio di testo o un codice consegnato da una voce robotica alla linea vocale. Si presume che hai installato l’applicazione Azure Multi-Factor Authentication, che è disponibile per i dispositivi iOS (iPhone e iPad), per mezzo di App Store; Dispositivi Android, tramite il Google Play Store; e Windows Phone.
Poiché Office 365 è costruito su Microsoft Azure, è possibile utilizzare questa applicazione per generare codici di conferma in base alla chiave segreta e la data e l’ora correnti. Non importa se il telefono ha una connessione dati attiva. Se riesci ad aprire l’app, puoi recuperare un codice che fungerà da secondo fattore di autenticazione valido.
La figura C mostra come appare l’app su uno smartphone Android.
Figura C
Se hai impostato più di un account, vedrai codici separati per ogni account. Ogni codice è buono per 30 secondi, con la barra di avanzamento nella parte superiore dell’app che mostra quanto tempo fino a quando viene generato il codice successivo.
Quando viene visualizzato il prompt nel browser Web per inserire il codice di verifica, digitare il valore corrente dall’app e si otterrà l’accesso a Office 365.
Vale la pena notare che 2FA protegge il tuo account da accessi non autorizzati. Non protegge singoli file o messaggi.
Per configurare 2FA su un Office 365, è necessario accedere come amministratore, visitare il Centro di amministrazione di Office 365 e fare clic su Utenti | Utenti attivi. Nella Dashboard Utenti attivi, fare clic sull’opzione nella Figura D per avviare il processo di installazione. Questo passaggio ti porterà a un elenco di utenti attivi, in cui puoi selezionare uno o più account e quindi abilitare o disabilitare 2FA.
Figura D
Al termine della configurazione, a ciascun utente viene richiesto di impostare i passaggi aggiuntivi di verifica della sicurezza. Se scegli l’opzione per configurare l’app per smartphone, installala prima sul tuo dispositivo. Quindi, durante l’installazione, utilizzare il codice QR sullo schermo per configurare l’applicazione per un uso sicuro (Figura E).
Figura E
Come utente, è possibile modificare le impostazioni 2FA in qualsiasi momento. Ad esempio, puoi modificare il comportamento predefinito in modo che l’app visualizzi una richiesta di conferma che puoi toccare per approvare. È inoltre possibile aggiungere un telefono cellulare alternativo alle impostazioni.
Per accedere a queste impostazioni, accedere a Office 365, fare clic o toccare l’icona a forma di ingranaggio nell’angolo in alto a destra, scegliere Impostazioni di Office 365, quindi scegliere Verifica di sicurezza aggiuntiva. È necessario scegliere Aggiorna i miei numeri di telefono utilizzati per la sicurezza dell’account per visualizzare tutte le opzioni disponibili.
Un’ultima nota importante sull’utilizzo di Office 365 con Office 2FA. L’attivazione di questo ulteriore livello di sicurezza significa che le credenziali dell’account di Office 365 non funzioneranno più nelle app di posta sul telefono o sul PC, inclusi Microsoft Outlook e Lync. Dovrai generare una password dell’app separata per ciascun dispositivo e inserirla come parte della configurazione iniziale. Il pannello di controllo Password app si trova in una scheda separata, accanto alle opzioni aggiuntive di verifica della sicurezza.
Quando accedi a un account per la prima volta su un dispositivo, puoi designare quel dispositivo come attendibile (“Non chiedermi di nuovo un codice su questo dispositivo”). Ciò elimina il fattore di fastidio sui dispositivi che usi regolarmente.
Se pensi che un dispositivo sia stato rubato o compromesso, puoi andare online ed eliminare l’elenco dei dispositivi attendibili in modo da dover ripetere la verifica per ciascuno di essi. Ancora una volta, perché questo è un singolo passo è solo una seccatura una volta per dispositivo. Se si accede su un dispositivo non attendibile (un computer preso in prestito, diciamo), ovviamente, non consentono di essere sulla vostra lista di dispositivi attendibili.