vissa hemligheter är för viktiga för att endast skyddas av ett lösenord.
problemet med lösenord är att de är för lätt stulna, gissade eller phished. En dålig kille som förvärvar ditt användarnamn och lösenord kan använda dessa referenser för att imitera dig på den tillhörande tjänsten, med potentiellt katastrofala resultat.
din organisation har inte råd att göra lösenord till det enda hindret som skyddar dina företagsfiler och e-post från utomstående angripare. Du behöver ett extra säkerhetslager som kallas multifaktorautentisering. Det fungerar genom att kräva minst två former av autentisering, från valfri kombination av följande element:
- ”något du vet”, till exempel ett lösenord eller PIN-kod
- ”något du är”, till exempel ett fingeravtryck eller annat Biometriskt ID
- ”något du har”, till exempel en betrodd smartphone som kan generera eller ta emot bekräftelsekoder
moderna onlinetjänster i affärsklass gör att du kan lägga till en andra form av autentisering till användarkonton, en konfiguration som ofta kallas tvåfaktorsautentisering (2FA). Det klassiska 2FA-exemplet är ett bank ATM-kort, som är säkrat med en andra faktor i form av en numerisk PIN-kod. Om ditt ATM-kort blir stulet är det värdelöst eftersom tjuven inte har din PIN-kod. Och en stulen eller nätfiskad stift är värdelös om inte tjuven också kan svepa magnetremsan på ditt fysiska kort.
Enterprise-utgåvor av Office 365 inkluderar möjligheten att lägga till 2FA i alla användarkonton. (Detta Office-blogginlägg förklarar hur funktionen fungerar, med en fullständig distributionsguide tillgänglig här.) När du har konfigurerat ett användarkonto för att kräva 2FA anger användaren sitt användarnamn och lösenord som vanligt när du besöker Office365.com. Men efter att ha klarat den utmaningen visas prompten som visas i Figur A.
Figur A
i det här exemplet är Office 365 konfigurerat för att skicka verifieringskoden som ett textmeddelande till det mobilnummer som är kopplat till användarkontot (det finns det ”något du har”). En tjuv kan ha din användares lösenord, men han har inte telefonen kopplad till den enheten, så han kan inte skriva in den slumpmässigt genererade numeriska koden som skickades till den betrodda enheten. Och han har inte mycket tid att arbeta heller, eftersom koden löper ut en minut eller så efter att den skickats.
problemet med verifieringsalternativ som är beroende av sms-meddelanden är att du inte alltid kan räkna med att ta emot dessa meddelanden när du behöver dem. Om du har en höghastighetsnätverksanslutning på ditt hotell eller fjärrkontor men din telefon läser ”ingen tjänst”, har du tur.
lösningen är att använda ett alternativt verifieringsalternativ, ritat från listan som visas i Figur B.
Figur B
det första valet på den listan fungerar även om du inte kan ta emot ett textmeddelande eller en kod som levereras av en robotröst till din röstlinje. Det förutsätter att du har installerat Azure Multi-Factor Authentication app, som är tillgänglig för iOS-enheter (iPhone och iPad), via App Store; Android-enheter, via Google Play store; och Windows Phone.
eftersom Office 365 är byggt på Microsoft Azure kan du använda den här appen för att generera bekräftelsekoder baserat på din hemliga nyckel och aktuellt datum och tid. Det spelar ingen roll om din telefon har en aktiv dataanslutning. Om du kan öppna appen kan du hämta en kod som fungerar som en giltig andra autentiseringsfaktor.
figur C visar hur appen ser ut på en Android-smartphone.
figur C
om du har konfigurerat mer än ett konto ser du separata koder för varje konto. Varje kod är bra i 30 sekunder, med förloppsindikatorn högst upp i appen som visar hur länge tills nästa kod genereras.
när du ser uppmaningen i din webbläsare att ange verifieringskoden skriver du in det aktuella värdet från appen så får du tillgång till Office 365.
det är värt att notera att 2FA skyddar ditt konto från obehörig åtkomst. Det skyddar inte enskilda filer eller meddelanden.
om du vill konfigurera 2FA på ett Office 365 måste du logga in som administratör, besöka Administrationscentret för Office 365 och klicka på användare | aktiva användare. I instrumentpanelen aktiva användare klickar du på alternativet i Figur D för att påbörja installationsprocessen. Detta steg tar dig till en lista över aktiva användare, där du kan välja ett eller flera konton och sedan aktivera eller inaktivera 2FA.
figur D
när installationen är klar uppmanas varje användare att ställa in ytterligare säkerhetsverifieringssteg. Om du väljer alternativet för att ställa in smartphone-appen installerar du den först på din enhet. Använd sedan QR-koden på skärmen under installationen för att konfigurera appen för säker användning (figur E).
figur E
som användare kan du ändra dina 2FA-inställningar när som helst. Du kan till exempel ändra standardbeteendet så att appen visar en bekräftelseprompt som du kan trycka på för att godkänna. Du kan också lägga till en alternativ mobiltelefon i dina inställningar.
för att komma åt dessa inställningar, logga in på Office 365, klicka eller tryck på kugghjulsikonen i det övre högra hörnet, välj Office 365-Inställningar och välj sedan ytterligare Säkerhetsverifiering. Du måste välja uppdatera mina telefonnummer som används för kontosäkerhet för att se alla tillgängliga alternativ.
en sista, viktig anmärkning om att använda Office 365 med Office 2FA. Aktivera den här extra säkerhetsnivån innebär att dina Office 365-kontouppgifter inte längre fungerar i e-postappar på din telefon eller dator, inklusive Microsoft Outlook och Lync. Du måste skapa ett separat applösenord för varje sådan enhet och ange det som en del av den första installationen. Kontrollpanelen för applösenord finns på en separat flik bredvid de ytterligare Säkerhetsverifieringsalternativen.
när du loggar in på ett konto för första gången på en enhet kan du ange den enheten som betrodd (”fråga mig inte om en kod på den här enheten igen”). Det eliminerar irritationsfaktorn på enheter du använder regelbundet.
om du tror att en enhet har blivit stulen eller komprometterad kan du gå online och ta bort listan över betrodda enheter så att du måste upprepa verifieringen för var och en. Återigen, eftersom det här är ett enda steg är det bara en besvär en gång per enhet. Om du loggar in på en otillförlitlig enhet (en lånad dator, låt oss säga) tillåter du uppenbarligen inte att den finns på din lista över betrodda enheter.