nogle hemmeligheder er for vigtige til kun at være beskyttet af et kodeord.
problemet med adgangskoder er, at de er for let stjålet, gættet eller phished. En dårlig fyr, der erhverver dit brugernavn og din adgangskode, kan bruge disse legitimationsoplysninger til at efterligne dig ved den tilknyttede tjeneste, med potentielt katastrofale resultater.
din organisation har ikke råd til at gøre adgangskoder til den eneste barriere, der beskytter dine virksomhedsfiler og e-mail fra eksterne angribere. Du har brug for et ekstra lag af sikkerhed kaldet multi-factor authentication. Det fungerer ved at kræve mindst to former for godkendelse fra enhver kombination af følgende elementer:
- “noget du ved,” såsom en adgangskode eller PIN
- ” noget du er”, såsom et fingeraftryk eller andet biometrisk ID
- ” noget du har”, såsom en betroet smartphone, der kan generere eller modtage bekræftelseskoder
moderne onlinetjenester i forretningsklasse giver dig mulighed for at tilføje en anden form for godkendelse til brugerkonti, en konfiguration, der ofte kaldes tofaktorautentificering (2FA). Det klassiske 2FA-eksempel er et bank-ATM-kort, der er sikret med en anden faktor i form af en numerisk PIN-kode. Hvis dit ATM-kort bliver stjålet, er det ubrugeligt, fordi tyven ikke har din PIN-kode. Og en stjålet eller phished PIN er ubrugelig, medmindre tyven også kan skubbe magnetstrimlen på dit fysiske kort.
Enterprise-udgaver af Office 365 inkluderer muligheden for at tilføje 2FA til enhver brugerkonto. (Dette Office-blogindlæg forklarer, hvordan funktionen fungerer, med en komplet implementeringsvejledning tilgængelig her.) Når du har konfigureret en brugerkonto til at kræve 2FA, indtaster brugeren sit brugernavn og adgangskode som normalt, når han besøger Office365.com. Men efter at have bestået denne udfordring, vises prompten vist i Figur A.
Figur A
i dette eksempel er Office 365 konfigureret til at sende bekræftelseskoden som en SMS til det mobiltelefonnummer, der er knyttet til brugerkontoen (der er det “noget du har”). En tyv kan have din brugers adgangskode, men han har ikke telefonen tilknyttet den enhed, så han kan ikke indtaste den tilfældigt genererede numeriske kode, der blev sendt til den betroede enhed. Og han har heller ikke meget tid til at arbejde, fordi koden udløber et minut eller deromkring, efter at den er sendt.
problemet med bekræftelsesindstillinger, der er afhængige af SMS-beskeder, er, at du ikke altid kan stole på at modtage disse beskeder, når du har brug for dem. Hvis du har en højhastighedsnetværksforbindelse på dit hotel eller fjernkontor, men dit håndsæt Læser “Ingen Service”, er du ude af lykke.
løsningen er at bruge en alternativ verifikationsmulighed, trukket fra listen vist i figur B.
Figur B
det første valg på denne liste fungerer, selvom du ikke er i stand til at modtage en sms eller en kode leveret af en robotstemme til din stemmelinje. Det forudsætter, at du har installeret appen Multi-Factor Authentication, som er tilgængelig til iOS-enheder (iPhone og iPad) via App Store; Android-enheder via Google Play Butik; og vinduer telefon.
da Office 365 er bygget på Microsoft, kan du bruge denne app til at generere bekræftelseskoder baseret på din hemmelige nøgle og den aktuelle dato og klokkeslæt. Det betyder ikke noget, om din telefon har en aktiv dataforbindelse. Hvis du kan åbne appen, kan du hente en kode, der fungerer som en gyldig anden godkendelsesfaktor.
figur C viser, hvordan appen ser ud på en Android-smartphone.
figur C
hvis du har oprettet mere end en konto, vil du se separate koder for hver konto. Hver kode er god i 30 sekunder, med statuslinjen øverst i appen, der viser, hvor længe indtil den næste kode genereres.
når du får vist meddelelsen om at indtaste bekræftelseskoden, skal du indtaste den aktuelle værdi fra appen, så får du adgang til Office 365.
det er værd at bemærke, at 2FA beskytter din konto mod uautoriseret adgang. Det beskytter ikke individuelle filer eller meddelelser.
hvis du vil konfigurere 2FA på en Office 365, skal du logge på som administrator, besøge Office 365 administration og klikke på brugere | aktive brugere. Klik på indstillingen i figur D i dashboardet aktive brugere for at starte installationsprocessen. Dette trin fører dig til en liste over aktive brugere, hvor du kan vælge en eller flere konti og derefter aktivere eller deaktivere 2FA.
figur D
når denne opsætning er afsluttet, bliver hver bruger bedt om at konfigurere de yderligere sikkerhedsverifikationstrin. Hvis du vælger muligheden for at konfigurere smartphone-appen, skal du først installere den på din enhed. Brug derefter koden på skærmen under opsætningen til at konfigurere appen til sikker brug (figur E).
figur E
som bruger kan du til enhver tid ændre dine 2FA-indstillinger. Du kan for eksempel ændre standardadfærden, så appen viser en bekræftelsesprompt, du kan trykke på for at godkende. Du kan også tilføje en alternativ mobiltelefon til dine indstillinger.
hvis du vil have adgang til disse indstillinger, skal du logge på Office 365, klikke eller trykke på tandhjulsikonet i øverste højre hjørne, vælge Office 365-Indstillinger og derefter vælge yderligere Sikkerhedsverifikation. Du skal vælge Opdater mine telefonnumre, der bruges til kontosikkerhed for at se alle tilgængelige muligheder.
en sidste vigtig note om brug af Office 365 sammen med Office 2FA. Aktivering af dette ekstra sikkerhedsniveau betyder, at dine Office 365-kontooplysninger ikke længere fungerer i mail-apps på din telefon eller PC, herunder Microsoft Outlook og Lync. Du skal generere en separat appadgangskode for hver sådan enhed og indtaste den som en del af den første opsætning. Kontrolpanelet til Appadgangskoder er på en separat fane ved siden af de ekstra Sikkerhedsverificeringsindstillinger.
når du logger ind på en konto for første gang på en enhed, kan du angive den enhed som betroet (“Spørg mig ikke om en kode på denne enhed igen”). Det eliminerer irritationsfaktoren på enheder, du bruger regelmæssigt.
hvis du mener, at en enhed er blevet stjålet eller kompromitteret, kan du gå online og slette listen over pålidelige enheder, så du skal gentage verifikationen for hver enkelt. Igen, fordi dette er et enkelt trin, er det kun en besvær en gang pr. Hvis du logger ind på en enhed, der ikke er tillid til (en lånt computer, lad os sige), tillader du naturligvis ikke, at den er på din liste over pålidelige enheder.