Så gott som alla företag är utsatta för frekventa försök att stjäla användarnas lösenord via phishing-brev där användaren luras att uppge sina inlogningsuppgifter. För att göra det svårare för sådana intrång att lyckas är det ett måste att använda någon form av flerfaktorsautentisering (MFA). Ett vanligt sätt att lösa detta är att användaren får ett sms med engångskod eller godkänner inloggningen via en app på sin telefon. Men alla har inte moderna telefoner och sms bygger på telefonnummer som kan kapas så något ännu säkrare behövs. Dessutom kommer lösenord alltid att vara ett problem på ett eller annat sätt, därför är ”passwordless” ett buzzword just nu som många stora leverantörer pratar om och önskar att kunder implementerar för att slippa säkerhetsproblem.

säker inloggning molnet office 365
För att kunna använda FIDO2-nyckel i Azure AD måste du aktivera förhandsversionen av MFA-registering. Detta kan aktiveras för bara några pilotanvändare om du inte vill slå på det för alla.

För att ta fram en säkrare standard för inloggning som inte bygger på lösenord har det arbetats fram två olika standarder, WebAuthN samt CTAP (Client To Authenticator Protocol) som båda två har samlats i en gemensam standard som kallas för FIDO2 (Fast IDentity Online). Det hela går ut på att du har en liten enhet (autentiserare) som du bär med dig som innehåller informationen som behövs för inloggningen. Autentiseraren är ofta en liten USB-baserad enhet men kan också vara NFC-baserad för att fungera med telefoner eller datorer som har stöd för NFC. FIDO2 bygger på publik/privat nyckelhantering och din privata nyckel lämnar aldrig din autentiserare och är dessutom i vissa fall skyddade bakom såväl biometri som pin-kod på din autentiserare. En stor fördel är att det inte finns något lösenord att bli avlurad och även om någon skulle få tag på din pin-kod så hjälper inte det så länge de inte har din autentiserare.

säker inloggning molnet office 365
Du måste också tillåta FIDO2 som godkänd inloggningsmetod samt ange vilka som ska få använda det.

Det finns flera olika leverantörer av FIDO2-nycklar på marknaden, till exempel Yubico och Feitian. För vårt test använde vi en liten nyckel från Yubico vid namn Nano 5 som bara väger ett gram och är gjord för att ständigt sitta i din dator, faktiskt är den lite svår att dra ut när man väl stoppat in den. Nyckeln har stöd för flera olika standarder förutom FIDO2, men eftersom vi ville testa säker inloggning med Office 365/Azure AD så använde vi FIDO2-funktionen i nyckeln.

För att det ska fungera att använda FIDO2-nycklar i Azure AD så måste du först aktivera en förhandsversion av MFA-registreringen i Azure AD. Den nuvarande MFA-lösningen är av äldre snitt och har inte stöd för FIDO2. Den nya MFA-konfigurationen ska enligt Microsoft vara på plats för alla i början av nästa år. Efter att förhandsversionen är aktiverad måste du aktivera stöd för FIDO2 i Azure AD och ange hur detta ska få användas, till exempel om alla eller bara vissa användare ska få konfigurera nycklar samt om de ska få göra det själva eller om en administratör måste göra det åt dem. Vi är generösa och aktiverar det för alla.

säker inloggning molnet office 365
Vi registrerar en FIDO2-nyckel för användaren och berättar att den är USB-baserad i vårt fall.

När detta är klart loggar vi in som en användare och går till adressen aka.ms/setupmfa vilket tar oss till konfigurationen för MFA för användaren. Här väljer vi att lägga till en autentiseringsmetod i form av en säkerhetsnyckel och ombeds att sätta i en nyckel. Eftersom det är en ny nyckel så får vi skapa en pin-kod som används för att låsa upp nyckeln. Om nyckeln kommer på avvägar måste man alltså också kunna pin-koden för att kunna använda den. Det finns också mer avancerade nycklar som kräver biometrisk avläsning i form av fingeravtryck för att öppnas, men med en Yubikey Nano 5 räcker det att ange pin-kod och sedan helt kort röra vid nyckeln så att den vet att det är en levande människa som sitter vid datorn. När nyckeln är tillagd loggar vi ut och testar sedan att logga in med nyckeln. Det fungerar fint och efter att ha skrivit in pin-kod och tagit på nyckeln så är vi inne. Inte ett lösenord i sikte!

säker inloggning molnet office 365
Registeringen av FIDO2-nyckeln är nu klar och kan användas för inloggning.

Det går bra att aktivera flera nycklar mot samma konto och en nyckel kan också användas till flera olika konton. Detta är bekvämt om man vill ha hög säkerhet mot många olika tjänster och dessutom vill ha en backupnyckel om något händer med den första. Tyvärr kan man inte rensa bort enstaka inloggningskonton från nyckeln så om man tar bort ett konto i Office 365 blir tyvärr inloggningsuppgifterna kvar på nyckeln, även om inloggningen till molnkontot givetvis misslyckas eftersom kontot inte längre finns. Man kan endast rensa hela nyckeln på alla dess konton, detta är något vi hoppas att Yubico fixar till i kommande versioner av nycklarna.

Det är idag inte möjligt att helt slå av möjligheten att använda lösenord för inloggning och om man tvingar fram MFA-säkerhet för ett konto så är det fortfarande telefonen som gäller och inte FIDO2-nyckel. Vi får hoppas att Microsoft erbjuder större flexibilitet på detta område framöver i Azure AD.

säker inloggning molnet office 365
Vid inloggningen till Office 365 väljer vi att logga in med nyckel.

Högre säkerhet har förstås ett pris, dels ett ekonomiskt men även praktiskt. En nyckel kostar idag runt 600 kronor och givetvis kan en så liten pryl lätt tappas bort. De minsta modellerna är typiskt till för att ständigt sitta i datorn och de större modellerna har ofta en hållare för att placeras på en nyckelring. Det märks också att det är en ganska ung standard på det sättet att långt från alla mobiltelefoner har stöd för FIDO2 med NFC idag. Det kommer säkert att utvecklas mer framöver, men det kan bli en utmaning att få full funktion på alla enheter idag.

säker inloggning molnet office 365
För att kunna logga in måste man ta på nyckeln för att den ska veta att det faktiskt är en människa som försöker logga in.

FIDO2 är en bra standard med hög säkerhet och med tiden kommer troligen ekosystemet att utvecklas så att det kan användas på fler platser och med olika enheter men undersök detta noga innan du använder det på bredare front bland dina användare. Men som ett väldigt säkert komplement till dagens inloggningsmetoder, speciellt för konton med höga behörigheter i molnet, kan det vara en god idé att använda en FIDO2-nyckel och det är troligen i den änden införanden påbörjas.

Läs också: Har du koll på allt som ingår i Office 365 – och hur väljer du bort det du inte vill ha?