sommige geheimen zijn te belangrijk om alleen met een wachtwoord te worden beschermd.
het probleem met wachtwoorden is dat ze te gemakkelijk worden gestolen, geraden of phished. Een slechterik die uw gebruikersnaam en wachtwoord verwerft kan deze referenties gebruiken om u na te doen op de bijbehorende dienst, met potentieel rampzalige resultaten.
uw organisatie kan het zich niet veroorloven om wachtwoorden de enige barrière te maken die uw bedrijfsbestanden en e-mail beschermt tegen externe aanvallers. U hebt een extra beveiligingslaag nodig, genaamd multi-factor authenticatie. Het werkt door het vereisen van ten minste twee vormen van authenticatie, uit een combinatie van de volgende elementen:
- “iets wat u kent, “zoals een wachtwoord of PIN
- ” iets wat u bent, “zoals een vingerafdruk of andere biometrische ID
- “iets wat u hebt”, zoals een vertrouwde smartphone die bevestigingscodes
kan genereren of ontvangen moderne, zakelijke online diensten kunt u een tweede vorm van authenticatie toe te voegen aan gebruikersaccounts, een configuratie vaak aangeduid als twee-factor authenticatie (2FA). Het klassieke 2FA voorbeeld is een bank ATM kaart, die is beveiligd door een tweede factor in de vorm van een numerieke PIN. Als uw pinpas is gestolen, is het nutteloos omdat de dief uw pincode niet heeft. En een gestolen of gefixeerde PIN is nutteloos, tenzij de dief ook de magneetstrip op uw fysieke kaart kan vegen.
Enterprise-edities van Office 365 bevatten de mogelijkheid om 2FA toe te voegen aan elk gebruikersaccount. (Deze Office blog post legt uit hoe de functie werkt, met een volledige deployment guide hier beschikbaar.) Nadat u een gebruikersaccount hebt geconfigureerd om 2FA te vereisen, voert de gebruiker zijn of haar gebruikersnaam en wachtwoord in zoals gebruikelijk bij een bezoek Office365.com. Maar na het succesvol passeren van die uitdaging, de prompt weergegeven in figuur A verschijnt.
figuur A
in dit voorbeeld is Office 365 geconfigureerd om de verificatiecode als SMS te sturen naar het mobiele telefoonnummer dat aan het gebruikersaccount is gekoppeld (er is dat “iets wat je hebt”). Een dief kan het wachtwoord van je gebruiker hebben, maar hij heeft de telefoon niet gekoppeld aan dat apparaat, dus hij kan niet typen in de Willekeurig gegenereerde numerieke code die werd verzonden naar dat vertrouwde apparaat. En hij heeft ook niet veel tijd om te werken, want de code verloopt een minuut na verzending.
het probleem met verificatieopties die afhankelijk zijn van SMS-berichten is dat u niet altijd kunt rekenen op het ontvangen van deze berichten wanneer u ze nodig hebt. Als u een high-speed netwerkverbinding hebt in uw hotel of kantoor op afstand, maar uw telefoon leest “geen Service”, Hebt u pech.
de oplossing is om een alternatieve verificatieoptie te gebruiken, getrokken uit de lijst in Figuur B.
figuur B
de eerste keuze op die lijst zal werken, zelfs als u geen sms of code van een robotstem op uw stemlijn kunt ontvangen. Het gaat ervan uit dat u de Azure Multi-Factor authenticatie app hebt geïnstalleerd, die beschikbaar is voor iOS-apparaten (iPhone en iPad), via de App Store; Android-apparaten, via de Google Play store; en Windows Phone.
omdat Office 365 is gebouwd op Microsoft Azure, kunt u deze app gebruiken om bevestigingscodes te genereren op basis van uw geheime sleutel en de huidige datum en tijd. Het maakt niet uit of uw telefoon een actieve dataverbinding heeft. Als u de app kunt openen, kunt u een code ophalen die zal fungeren als een geldige tweede verificatiefactor.
figuur C toont hoe de app eruit ziet op een Android-smartphone.
figuur C
Als u meer dan één account hebt ingesteld, ziet u afzonderlijke codes voor elke account. Elke code is goed voor 30 seconden, met de voortgangsbalk aan de bovenkant van de app laat zien hoe lang tot de volgende code wordt gegenereerd.
wanneer u de prompt in uw webbrowser ziet om de verificatiecode in te voeren, typt u de huidige waarde in de app en krijgt u toegang tot Office 365.
het is vermeldenswaard dat 2FA uw account beschermt tegen ongeautoriseerde toegang. Het beschermt geen individuele bestanden of berichten.
om 2FA op een Office 365 in te stellen, moet u zich aanmelden als beheerder, het Office 365-Beheerderscentrum bezoeken en op Gebruikers | actieve gebruikers klikken. Klik in het dashboard actieve gebruikers op de optie in Figuur D om het installatieproces te starten. Deze stap brengt u naar een lijst met actieve gebruikers, waar u een of meer accounts kunt selecteren en vervolgens 2FA in-of uitschakelen.
figuur D
nadat die setup is voltooid, wordt elke gebruiker gevraagd de extra stappen voor veiligheidscontrole in te stellen. Als u de optie kiest om de smartphone-app in te stellen, installeert u deze eerst op uw apparaat. Gebruik vervolgens tijdens de installatie de QR-code op het scherm om de app te configureren voor veilig gebruik (figuur E).
figuur E
als gebruiker kunt u uw 2FA-instellingen op elk gewenst moment wijzigen. U kunt bijvoorbeeld het standaardgedrag wijzigen zodat de app een bevestigingsbericht weergeeft waarop u kunt tikken om goed te keuren. U kunt ook een alternatieve mobiele telefoon aan uw instellingen toevoegen.
meld u aan bij Office 365, klik of tik op het tandwielpictogram in de rechterbovenhoek, kies Office 365-instellingen en kies vervolgens extra beveiligingsverificatie. U moet kiezen Update mijn telefoonnummers gebruikt voor accountbeveiliging om alle beschikbare opties te zien.
een laatste belangrijke opmerking over het gebruik van Office 365 met Office 2FA. Als u dit extra beveiligingsniveau inschakelt, werkt uw Office 365-accountgegevens niet meer in e-mailapps op uw telefoon of PC, waaronder Microsoft Outlook en Lync. U moet een apart app-wachtwoord voor elk dergelijk apparaat te genereren en voer het als onderdeel van de eerste setup. Het bedieningspaneel van de App wachtwoorden bevindt zich op een apart tabblad, naast de extra opties voor beveiligingscontrole.
wanneer u zich voor het eerst aanmeldt bij een account op een apparaat, kunt u dat apparaat als vertrouwd aanmerken (“vraag me niet meer om een code op dit apparaat”). Dat elimineert de ergernis factor op apparaten die u regelmatig gebruikt.
als u denkt dat een apparaat is gestolen of gecompromitteerd, kunt u online gaan en de lijst met vertrouwde apparaten verwijderen, zodat u de verificatie voor elk apparaat moet herhalen. Nogmaals, omdat dit een enkele stap het is slechts een gedoe een keer per apparaat. Als u zich aanmeldt op een niet-vertrouwd apparaat (een geleende computer, laten we zeggen) u uiteraard niet toestaan dat het op uw lijst van vertrouwde apparaten.