Sicheres Login ohne Passwort dank Microsoft Azure

Sicheres Login ohne Passwort dank Microsoft Azure 4

Sicherheit im Netz ist ein omnipräsentes Thema und heute wichtiger als jemals zuvor. Dauernd hört man von Hacker-Angriffen, Phishing, Data Breaches u.v.m. Business Insider listet die 21 grössten Breaches im Jahre 2018, die von 380’000 bis zu 1’100’000’000 betroffenen Benutzer reichen. Doch wie schützt man ein Unternehmen vor solchen Ereignissen? Ein guter Ansatz dafür dürfte vielen im heutigen Zeitalter bereits bekannt sein – die Multi-Faktor-Authentifizierung. Doch was hat das mit einem sicheren Login ohne Passwort zu tun?

Azure Multi-Faktor-Authentifizierung ohne Passwort

Die Multi-Faktor-Authentifizierung (MFA) von Azure macht es neu möglich, einen User sicher zu authentifizieren, ohne dass dieser sein Passwort eingeben muss. Dies wird über das Mobile-Device sichergestellt und verfolgt den Ansatz «etwas das man besitzt und etwas, das man ist» / «something you own and something you are» (bspw. Fingerprint Lock Screen). Die Funktionalität ist ganz einfach.

User Experience

Wenn MFA ohne Passwort (a.k.a phone sign-in) erfolgreich eingerichtet wurde (siehe Folgekapitel «So wird’s gemacht»), erscheint nach der Eingabe des Benutzernamens eine Nummer auf dem Bildschirm.

Um mit dem Login fortfahren zu können, wird dem User auf dem Smartphone eine Zahl angezeigt, die er bestätigen muss.

Auf dem Smartphone erscheint die Aufforderung, die richtige Zahl auszuwählen.

Um sich ohne Passwort via Smartphone auf Microsoft Azure einzuloggen, muss die korrekte Zahl bestätigt werden.

Der Benutzer hat allerdings immer noch die Möglichkeit, sein Passwort zu verwenden. Bspw. wenn er sein Smartphone nicht zur Hand hat oder die Batterie leer ist. Nach der Auswahl der richtigen Zahl ist das Login erfolgreich!

Voraussetzungen

Damit das «Passwortlose phone sign-in» verwendet werden kann, sind folgende Voraussetzungen nötig.

  • Azure AD Premium (P1 oder P2) oder Office 365 Apps
  • AAD Administrator Account
  • Public Preview release des Azure Active Directory V2 PowerShell Modul «AzureADPreview»

So wird’s gemacht

Als erstes muss der Administrator die Funktion auf dem Azure Active Directory mittels Policy erlauben. Dies wird mittels PowerShell gemacht. Zuerst wird das PowerShell Modul «AzureADPreview» deinstalliert (falls vorhanden), um anschliessend die neuste Version zu installieren.

Im Anschluss verbindet man sich mit dem Azure Active Directory und erstellt die neue Policy.

Die Arbeit für den Administratoren ist somit erledigt. Ab hier kann der User mit der Einrichtung selbst fortfahren. Denn hat man die herkömmliche MFA auf einem Mobile-Device in der «Authenticator-App» erst mal eingerichtet, so sind es nur noch ein paar wenige Schritte, die der User gleich selbst erledigen kann. In der «Authenticator-App» kann beim Account «Enable phone sign-in» gewählt werden.

In der Authenticator App kann beim Account Enable phone sign-in gwählt werden, um sich via Smartphone ohne Passwort auf Microsoft Azure einzuloggen.

Im Anschluss wird sichergestellt, dass die nötigen Berechtigungen und Einstellungen auf dem Mobile-Device vorhanden sind. Besonders wichtig ist, dass das Gerät über einen Screen-Lock verfügt, ansonsten wird «phone sign-in» nicht akzeptiert. Verfolgt man den Ansatz «etwas das man besitzt und etwas, das man ist», so kommt hier die Gesichtserkennung oder der Fingerabdruck zum Zuge.

Das Bild zeigt die letzten Schritte, die nötig sind, um sich für den Microsoft Authenticator und somit für das sichere Einloggen ohne Passwort zu registrieren.

Hat man die Schritte durch, so ist das sichere Login ohne Passwort bereits aktiv. Beim nächsten Login über den Browser erscheint somit eine Nummer auf dem Bildschirm und eine Aufforderung zur Bestätigung auf dem Mobile-Device. Beim Auswählen der richtigen Nummer, haben Sie sich erfolgreich und sicher ohne Passwort angemeldet. Herzlichen Glückwunsch!

Wir unterstützen Sie!

Sie haben Fragen oder benötigen Hilfe? Zögern Sie nicht uns zu kontaktieren. Wir helfen Ihnen gerne!

Tech Data Software Team
software@techdata.ch
+41 41 799 19 88

Kategorien

Yannic Graber