Ett sätt att göra det svårare för förövare att komma över ett användarkonto är att tillföra fler autentiserings-faktorer än bara ett lösenord, och med de senaste generationerna av mobiltelefoner har biometriska faktorer kommit att bli populärt. Biometriska faktorer som fingeravtryck eller ansiktsigenkänning har både låg feltolerans och är användarvänliga i och med mobilernas inbyggda sensorer och kameror.
Med Windows 10 introducerade Microsoft Windows Hello - ett system för att autentisera användare av Windows och många av Microsofts molntjänster med hjälp av biometri. Windows Hello stödjer säkerhetsprotokollet FIDO (Fast Identity Online) som låter användare autentisera sig mot olika konton med hjälp av fingeravtryck, iris- eller ansiktsigenkänning. Sedan början av denna månad, med den senaste versionen av Windows 10 (1809), stöds även FIDO2 som utöver de tidigare nämnda metoderna även stödjer autentisering med hårdvarunycklar som Yubikey.
Windows Hello for Business
Nyligen introducerade Microsoft en utökning av Windows Hello (for Business) som medger att företag och organisationer kan använda systemet för att autentisera sina användare, och åtminstone till största del göra sig av med lösenorden. Windows Hello for Business lutar sig mot Group Policy eller Mobile Device Management i Active Directory för administration och upprätthållande av Windows Hello-funktionen för organisationens användare.
Windows Hello for Business parar de unika biometriska värdena för varje användare med kryptografiska nycklar som ersätter lösenordet som autentiseringsmetod. Dessa nycklar lagras antingen på speciellt anpassad hårdvara (tpm-krets i mobilen/laptopen eller separat nyckel) eller krypteras i mjukvara. De avkrypteras endast om Windows finner dem äkta. För organisationer som av någon anledning inte vill använda biometriska data så finns det en möjlighet att använda pin-koder.
Windows Hello skyddar ett brett spektrum av kontotyper, dels privata Microsoft-konton och tillhörande molntjänster, Xbox, Office 365 och liknande, men även domänkonton som är en del av företagets AD, Azure AD och alla konton som stödjer identitetsfederation inom FIDO2-protokollet.
Alla tre faktorer på plats
Systemet skyddar användarna betydligt bättre än lösenord eftersom det använder alla tre faktorer som brukar förknippas med säker autentisering: någon användaren har (den privata nyckeln), någon användaren vet (pin-koden eller lösenordet), och något användaren är (fingeravtrycket eller ansiktet).
En viktig detalj i sammanhanget är att dessa biometriska data endast lagras lokalt i tpm-kretsen på användarens lokala enhet, eller hårdvarunyckel, aldrig på en central domänkontrollant. Detta gör attacker mot servern helt meningslösa eftersom de eftersökta hemligheterna helt enkelt inte finns där. Även om det är tekniskt möjligt att knäcka en tpm-krets, utsätter det endast en användare i taget, och inte systemet som helhet.
Windows Hello ställer förstås vissa krav på användarenheterna: kamerorna måste kunna ta bilder i det infraröda spektrat för att kunna avgöra att det verkligen är ett levande ansikte det ser, och inte ett fotografi. Många företags-laptops klarar detta idag, och alla mobiler med ansiktsigenkänning. Fingeravtrycksläsare har funnits några år nu och i stort sett alla dessa klarar kraven för Windows Hello, men ju senare modeller desto bättre avläsningar ger de.
Det är viktigt att komma ihåg att användarna eller organisationen inte måste välja en av de biometriska metoderna, det går utmärkt att kombinera alla tre (finger, ansikte och pin-kod), vilket ger fördelen att användaren kan välja metod beroende på omständigheter. Alla dessa metoder är likvärdiga "gester” som kan användas för att låsa upp de kryptografiska nycklarna och verifiera användarens identitet.
Så sätter du upp Windows Hello
För att kunna använda Windows Hello for Business, givet att användaren har ett domänkonto, måste användaren logga in på domänen med användarnamn och lösenord, därefter behöver användaren aktivera sin pin-kod som hädanefter blir en oupplöslig koppling mellan användarkontot och användarens enhet. Windows skapar sedan det kryptografiska nyckelparet som används för autentiseringen och sparar det på tpm-kretsen, eller i en krypterad fil om enheten saknar tpm-krets.
Vid första påseende kan det tyckas osäkert med en pin-kod, men på något sätt behövs ett lås till tpm-kretsen (eller den krypterade filen) som innehåller autentiseringsnycklarna. Pin-koden lämnar aldrig användarens enhet och kan aldrig användas för autentisering av en annan användare eller en annan enhet. Nyckelparet för autentiseringen associeras med den "gest” som pin-koden utgör och fungerar som en skyddsnyckel.
När användaren sedan skapar fler gester, med fingeravtryck och/eller ansiktet, skapas nya skyddsnycklar per gest. Varje gest har sin unika skyddsnyckel som skyddar samma uppsättning autentiseringsnycklar. Windows genererar även en admin-nyckel som kan användas för att nollställa inloggningsuppgifterna.
För att sätta upp Windows Hello på domännivå behöver domänadministratören aktivera detta i Group Policy Management-konsolen. Inställningarna finns under Policies > Administrative Templates > Windows Components > Windows Hello for Business, i både användar- och datorgrupperna. Administratören behöver sedan slå på "Use Windows Hello for Business” och "Use biometrics” för att aktivera Windows Hello respektive aktivera biometrisk autentisering.
Om organisationen redan använder ett MDM (Mobile Device Management) kan administratören använda Microsoft MDM Policy-konfiguration för att införa Windows Hello.
Grundkrav
För att använda Windows Hello fullt ut i organisationen behövs med största sannolikhet minst en instans av Windows Server 2016 som domänkontrollant. Organisationen behöver inte höja upp domänens (eller skogens) funktionalitetsnivå, men Server 2016 kommer underlätta vissa krav på funktionalitet för autentisering. Ett alternativ till att skaffa ny Windows Server-licens är att använda Azure AD för att aktivera Windows Hello.
Microsoft har publicerat detaljerad information om vilka förutsättningar som krävs för aktivering av Windows Hello. Var speciellt noga med att kontrollera kraven för nyckelbaserad autentisering och kraven för certifikatbaserad autentisering. Om organisationen redan har en pki-lösning kommer certifikat-autentisering bli enklare, om organisationen är mer molnorienterad är nyckel-autentisering bättre.
Kom ihåg
- Inloggningsuppgifterna som skapas med Windows Hello knyts till individuella enheter som mobiltelefoner och laptops, och autentiseringsnycklarna är begränsade till den enheten. Det gäller med andra ord att ta höjd för situationer där användare tappar bort sin enhet och till exempel behöver en låne-enhet. Likaså bör man tänka över hur man löser inloggning för konsulter och liknande fall.
- Under den process som registrerar ett konto kontrollerar och validerar domänkontrollanten (AD eller Azure AD) användarens identitet och associerar den publika nyckeln med användarens konto. De privata och publika nycklarna kan genereras av tpm-kretsen (tpm version 1.2 och 2.0), eller så kan de genereras i mjukvara om rätt tpm-krets saknas. Gesternas respektive nycklar lämnar aldrig användarens enhet och delas inte med andra enheter eller domänservern. När en gest används appliceras den privata nyckeln för att signera de data som skickas till servern.
- Eftersom tpm-kretsen kan användas för autentisering på många andra tjänster som användaren använder är tpm-kretsen indelad i "behållare” som hålls åtskilda från varandra så att fel nyckel aldrig skickas till fel tjänst.
I åratal har säkerhetsexperter velat komma bort från lösenord, men målet har alltid hindrats av att alternativen varit för svåranvända, dyra eller inte speciellt sömlösa. På något sätt känns det som att om Microsoft, som trots allt fortfarande dominerar på skrivborden och de stora kontorsapplikationerna, tar tag i detta och inför ett enkelt, säkert och billigt sätt att komma bort från lösenorden, så kan det börja hända saker.
Att en organisation helt och hållet kan komma bort från lösenord är inte realistiskt, men med Windows Hello finns nu ett vettigt sätt att komma en bra bit på vägen. Kraven på både hårdvara, operativsystem och annan mjukvara kan till att börja med verka tuffa för organisationer som ligger kvar med äldre versioner, men det är trots det fullt realistiskt att rulla ut Windows Hello vart eftersom nya enheter köps in och mjukvaror uppdateras.
Läs också:
Äntligen! Nu kan du säkra ditt Microsoft-konto med säkerhetsnyckel
Fejkade fingeravtryck kan användas för att logga in på din mobil
