niektóre sekrety są zbyt ważne, aby chronić je tylko hasłem.
problem z hasłami polega na tym, że są one zbyt łatwo kradzione, odgadnięte lub phished. Przestępca, który zdobędzie Twoją nazwę użytkownika i hasło, może użyć tych poświadczeń, aby podszyć się pod Ciebie w powiązanej usłudze, co może mieć katastrofalne skutki.
Twoja organizacja nie może sobie pozwolić na to, aby hasła stanowiły jedyną barierę chroniącą pliki firmowe i wiadomości e-mail przed atakami z zewnątrz. Potrzebujesz dodatkowej warstwy zabezpieczeń zwanej uwierzytelnianiem wieloskładnikowym. Działa poprzez wymaganie co najmniej dwóch form uwierzytelniania, z dowolnej kombinacji następujących elementów:
- „coś, co wiesz, „takie jak hasło lub PIN
- ” coś, czym jesteś”, takie jak odcisk palca lub inny identyfikator biometryczny
- ” coś, co masz”, takie jak zaufany smartfon, który może generować lub odbierać kody potwierdzające
nowoczesne usługi online klasy biznesowej umożliwiają dodawanie drugiej formy uwierzytelniania do kont użytkowników, konfiguracji często określanej jako uwierzytelnianie dwuskładnikowe (2FA). Klasyczny przykład 2FA to karta bankomatowa, która jest zabezpieczona drugim czynnikiem w postaci numeru PIN. Jeśli Twoja karta bankomatowa zostanie skradziona, jest bezużyteczna, ponieważ złodziej nie ma Twojego kodu PIN. A skradziony lub phished PIN jest bezużyteczny, chyba że złodziej może również przesunąć pasek magnetyczny na karcie fizycznej.
wersje Enterprise pakietu Office 365 zawierają możliwość dodania 2FA do dowolnego konta użytkownika. (Ten post na blogu Office wyjaśnia, jak działa ta funkcja, z pełnym przewodnikiem wdrażania dostępnym tutaj.) Po skonfigurowaniu konta użytkownika, aby wymagało 2FA, użytkownik wprowadza swoją nazwę użytkownika i hasło jak zwykle podczas odwiedzania Office365.com. Ale po pomyślnym przejściu tego wyzwania pojawia się monit pokazany na rysunku A.
rysunek a
w tym przykładzie usługa Office 365 jest skonfigurowana tak, aby wysyłać kod weryfikacyjny jako wiadomość tekstową na numer telefonu komórkowego powiązany z kontem użytkownika (jest tam „coś, co masz”). Złodziej może mieć hasło użytkownika, ale nie ma telefonu powiązanego z tym urządzeniem, więc nie może wpisać losowo wygenerowanego kodu numerycznego, który został wysłany do tego zaufanego urządzenia. I nie ma zbyt wiele czasu na pracę, ponieważ kod wygasa minutę po wysłaniu.
problem z opcjami weryfikacji polegającymi na wiadomościach tekstowych (SMS) polega na tym, że nie zawsze możesz liczyć na otrzymanie tych wiadomości, gdy ich potrzebujesz. Jeśli masz szybkie połączenie sieciowe w hotelu lub zdalnym biurze, ale na telefonie jest napisane „Brak obsługi”, masz pecha.
rozwiązaniem jest użycie alternatywnej opcji weryfikacji, wyciągniętej z listy pokazanej na rysunku B.
Rysunek B
pierwszy wybór na tej liście będzie działał nawet wtedy, gdy nie możesz otrzymać wiadomości tekstowej lub kodu dostarczonego przez robota głosowego do linii głosowej. Zakłada się, że zainstalowano aplikację uwierzytelniania wieloskładnikowego Azure, która jest dostępna dla urządzeń z systemem iOS (iPhone i iPad) za pośrednictwem sklepu App Store; urządzeń z systemem Android za pośrednictwem Sklepu Google Play; i Windows Phone.
ponieważ Office 365 jest zbudowany na platformie Microsoft Azure, możesz użyć tej aplikacji do generowania kodów potwierdzeń na podstawie tajnego klucza oraz bieżącej daty i godziny. Nie ma znaczenia, czy telefon ma aktywne połączenie danych. Jeśli możesz otworzyć aplikację, możesz pobrać kod, który będzie działał jako ważny drugi czynnik uwierzytelniania.
rysunek C pokazuje, jak aplikacja wygląda na smartfonie z Androidem.
rysunek C
jeśli masz skonfigurowane więcej niż jedno konto, zobaczysz oddzielne kody dla każdego konta. Każdy kod jest dobry przez 30 sekund, a pasek postępu u góry aplikacji pokazuje, jak długo trwa generowanie następnego kodu.
gdy w przeglądarce internetowej pojawi się monit o wprowadzenie kodu weryfikacyjnego, wpisz bieżącą wartość z aplikacji, a uzyskasz dostęp do usługi Office 365.
warto zauważyć, że 2FA chroni Twoje konto przed nieautoryzowanym dostępem. Nie chroni pojedynczych plików ani wiadomości.
aby skonfigurować 2FA w usłudze Office 365, musisz zalogować się jako administrator, odwiedzić centrum administracyjne Office 365 i kliknąć użytkownicy | aktywni użytkownicy. Na pulpicie nawigacyjnym aktywni użytkownicy kliknij opcję na rysunku D, aby rozpocząć proces konfiguracji. Ten krok przeniesie Cię do listy aktywnych użytkowników, gdzie możesz wybrać jedno lub więcej kont, a następnie włączyć lub wyłączyć 2FA.
rysunek D
po zakończeniu tej konfiguracji każdy użytkownik zostanie poproszony o skonfigurowanie dodatkowych kroków weryfikacji zabezpieczeń. Jeśli wybierzesz opcję skonfigurowania aplikacji na smartfona, najpierw zainstaluj ją na swoim urządzeniu. Następnie, podczas konfiguracji, użyj kodu QR na ekranie, aby skonfigurować aplikację do bezpiecznego użytkowania (rysunek E).
rysunek E
jako użytkownik możesz zmienić ustawienia 2FA w dowolnym momencie. Możesz na przykład zmienić domyślne zachowanie, aby aplikacja wyświetlała monit z potwierdzeniem, który możesz stuknąć, aby zatwierdzić. Możesz również dodać alternatywny telefon komórkowy do swoich ustawień.
aby uzyskać dostęp do tych ustawień, Zaloguj się do usługi Office 365, kliknij lub dotknij ikony koła zębatego w prawym górnym rogu, wybierz Ustawienia usługi Office 365, a następnie wybierz opcję dodatkowa weryfikacja zabezpieczeń. Aby wyświetlić wszystkie dostępne opcje, należy wybrać opcję Aktualizuj moje numery telefonów używane do zabezpieczenia konta.
ostatnia, ważna uwaga na temat korzystania z Office 365 z Office 2FA. Włączenie tego dodatkowego poziomu zabezpieczeń oznacza, że poświadczenia konta Office 365 nie będą już działać w aplikacjach poczty na telefonie lub komputerze, w tym w programach Microsoft Outlook i Lync. Musisz wygenerować osobne hasło aplikacji dla każdego takiego urządzenia i wprowadzić je jako część wstępnej konfiguracji. Panel sterowania hasła aplikacji znajduje się na osobnej karcie, obok dodatkowych opcji weryfikacji zabezpieczeń.
gdy logujesz się na konto po raz pierwszy na urządzeniu, możesz wyznaczyć to urządzenie jako zaufane („nie pytaj mnie o kod na tym urządzeniu ponownie”). Eliminuje to czynnik irytacji urządzeń, z których regularnie korzystasz.
jeśli uważasz, że urządzenie zostało skradzione lub naruszone, możesz przejść do trybu online i usunąć listę zaufanych urządzeń, aby powtórzyć weryfikację dla każdego z nich. Ponownie, ponieważ jest to pojedynczy krok, to tylko kłopot jeden raz na urządzenie. Jeśli logujesz się na niezaufanym urządzeniu (powiedzmy pożyczonym komputerze), oczywiście nie zezwalasz na umieszczenie go na liście zaufanych urządzeń.