In deze blog leggen we je uit wat password-less inhoudt, waarom je password-less moet implementeren en welke opties er momenteel beschikbaar zijn om password-less te werken.
Organisaties wereldwijd zien een nieuw tijdperk aanbreken waarin wachtwoorden gezien worden als iets uit een ver verleden. Wachtwoorden worden steeds voorspelbaarder en maken gebruikers meer en meer kwetsbaar voor identiteitsdiefstal. Dit maakt dat de investering in een password-less oplossing inmiddels kleiner is dan de kosten waar je het risico op loopt wanneer je dit niet zou doen. Zelfs de sterkste wachtwoorden zijn gemakkelijk te phishen. De motieven om te stoppen met authenticatie op basis van wachtwoorden zijn eindeloos en maar al te bekend voor iedere zakelijke IT-organisatie.
Je ziet daarom dat op dit moment binnen de IT-security een verschuiving gaande is richting password-less werken en authentiseren waarbij gebruik wordt gemaakt van geavanceerde technologieën zoals biometrie, PIN en public/private key cryptografie. Daarbij maken nieuwe standaarden zoals Web Authenticatie API (WebAuthN) en Fast Identity Online (FIDO2) password-less authenticatie mogelijk op verschillende platformen. Deze standaarden zijn ontworpen om wachtwoorden te vervangen met authenticatiemethoden die medewerkers al gebruiken, bijvoorbeeld biometrie op hun smartphone of het gebruik van Fido2 security keys.
Password-less strategie
De afgelopen jaren heeft Microsoft laten zien dat een wereld zonder wachtwoorden werkt. In 2017 deelde Microsoft al op het Ignite evenement een methode met vier stappen die organisaties helpt om password-less te gaan:
- Ontwikkel een systeem dat wachtwoorden kan vervangen
- Verminder de zichtbaarheid van wachtwoorden voor eindgebruikers
- Ga over op een password-less implementatie
- Verwijder alle wachtwoorden uit de identity directory
‘Password-less werken’ is niet iets voor de korte termijn. Het is een benadering van veilige authenticatie welke nog steeds verandert, waarbij de transitie naar password-less ook tijd nodig heeft. Wanneer er gebruikers zijn die niet password-less kunnen werken, ben er dan zeker van dat MFA is voor hen is ingeschakeld. Zorg daarbij wel dat het aantal MFA-verzoeken dat wordt verstuurd ook wordt geminimaliseerd door deze te baseren op het risico van het inlog-verzoek. Dit kan bijvoorbeeld door het gebruik van Conditional Access binnen de Azure AD.
Password-less functionaliteiten in Azure AD
Biometrie op mobiele telefoons en computers wordt steeds normaler en meer geaccepteerd. Hierdoor is het aantal mogelijkheden om een wachtwoord te vervangen toegenomen.
Je ziet dit ook terug binnen het Microsoft Platform waarbij de Microsoft Authenticator App is voorzien van Phone Sign-in om bij een inlogpoging van een gebruiker niet meer te vragen om het wachtwoord maar om een nummer in te toetsen binnen de Authenticator App, gevolgd door biometrische herkenning of de PIN op een mobiele telefoon. Daarnaast kan je met Windows 10 & Windows 11 gebruik maken van Windows Hello for Business als password-less methode welke gebruik kan maken van biometrische sensoren of een PIN om de identiteit van een gebruiker vast te stellen. En mochten bovenstaande methodes niet passen dan kan je altijd gebruik maken van FIDO2 Security keys welke zowel de Authenticator App als Windows Hello for Business functionaliteit kan ‘vervangen’ voor een password-less experience. Ook hier maakt de FIDO2 Security key gebruik van een PIN en, wanneer de FIDO2 Security Key dit ondersteunt, ook biometrische herkenning.
Password-less phone sign-in
De Microsoft Authenticator app maakt het voor gebruikers mogelijk om hun identiteit te verifiëren en daarmee te authentiseren op hun account. Deze app kan standaard gebruikt worden om een wachtwoord aan te vullen met een one-time passcode of een push notificatie als tweede factor. Naast de tweede factor kan de app nu ook worden gebruikt om password-less te werken en daarmee wachtwoorden te vervangen.
In plaats van het gebruiken van een wachtwoord kunnen gebruikers hun identiteit bevestigen op hun telefoon door het weergegeven nummer binnen de browser in te typen binnen de Microsoft Authenticator App en gebruik te maken van de vingerafdrukscanner, gezichtherkenning of het invoeren van de PIN van je mobiele telefoon. De app is gebouwd op veilige technologie die vergelijkbaar is met Windows Hello for Business. De Microsoft Authenticator App is daarnaast eenvoudig in gebruik voor eindgebruikers en kan gebruikt worden voor web-based password-less sign-ins. De app is beschikbaar voor Android en iOS apparaten.
Windows Hello for Business (hybrid)
Windows Hello for Business vervangt wachtwoorden met een sterke Multi-factor authenticatie op Windows 10 en Windows 11. Deze authenticatie bestaat uit een nieuw type ‘credential’ wat gelinkt is aan een apparaat en gebruik maakt van biometrie of een PIN tijdens het aanmelden. Dat maakt het mogelijk om te authentiseren op de Azure AD en de daaraan gekoppelde Microsoft 365 diensten & applicaties, dit zonder dat een wachtwoord benodigd is op je apparaat of in het netwerk.
Het is belangrijk om te weten dat Windows Hello for Business ook bruikbaar is in een hybride situatie. Dit betekent dat een Azure AD joined of Hybrid Azure AD joined apparaat kan authentiseren op on-premises Active Directory resources (zoals file shares), op basis van Windows Hello for Business credentials. Dit zal het gebruiksgemak verhogen en authenticatie prompts met de bijbehorende eindgebruikers frustratie voorkomen.
FIDO2 Security Keys
FIDO2 is een evolutie van de U2F open authenticatie standaard die is gebaseerd op public key cryptografie en gebruik maakt van hardware tokens. Deze standaard heeft het doel om meerdere vraagstukken op te lossen, je kan deze FIDO2 Security keys namelijk zowel gebruiken voor Multi-factor authenticatie als password-less authenticatie. Door deze nieuwe mogelijkheden kan de Security Key dus het gebruik van gebruikersnaam en wachtwoord volledig vervangen door in plaats daarvan simpelweg gebruik te maken van enkel je FIDO2 Security key.
Doordat FIDO2 Security Keys gebonden zijn aan een markt standaard (FIDO2, WebAuthN en CTAP (Client to Authentication Protocol) protocollen) en leveranciers zich hier ook aan houden, is een platformonafhankelijke oplossing van sterke authenticatie ontstaan zonder daarbij het gebruik van wachtwoorden. Buiten deze standaard zijn er wel diverse form factors van FIDO2 Security Keys, denk daarbij aan USB, NFC, Bluetooth, Biometrie, etc. Het is dus van belang om de juiste form factor uit te zoeken die past bij jouw organisatie.
Password-less ook mogelijk maken voor andere apps
De drie bovenstaande mogelijkheden omschrijven het gebruik van password-less authenticatie tegenover Azure AD of Windows 10 (en nieuwer) wat gezien wordt als stap 1 in de password-less strategie. Maar hoe moet je omgaan met alle andere applicaties in je omgeving zoals Salesforce, SAP, TopDesk of anderen?
Dat is gemakkelijk te bepalen: wanneer deze apps vallen in één van de onderstaande categorieën adviseren wij om de applicaties aan te sluiten op Azure AD.
- Azure AD Gallery applicaties – Azure AD heeft een galerij waarin duizenden applicaties staan die al single sign-on en password-less met Azure AD geïntegreerd hebben. De kans is groot dat hier applicaties tussen staan die in jouw organisatie worden gebruikt.
- Non-Gallery applicaties – Verbind je eigen applicaties met Azure AD om zo single sign-on en password-less te ondersteunen. Het is gemakkelijk om een weblink te maken of een willekeurige applicatie met gebruikersnaam en wachtwoord veld te verbinden zolang deze SAML, OpenID Connect protocols of OAuth ondersteunt.
- On-premises applicaties met Application Proxy – Met Azure AD Application Proxy is het mogelijk om on-premises applicaties te verbinden met Azure AD waardoor single sign-on en password-less mogelijk wordt. Op deze manier kunnen eindgebruikers toegang verkrijgen tot on-premises webapplicaties op dezelfde manier als dat ze dat doen met services die zijn verbonden met Azure AD zoals Office 365 web apps.
- Custom-developed/line-of-business applicaties – Het is mogelijk om je bedrijfsspecifieke applicaties te integreren met Azure AD om single sign-on en password-less mogelijk te maken. Registreer hiervoor je applicatie in Azure AD.
Wanneer de apps verbonden zijn met Azure AD kunnen ze zichtbaar worden gemaakt in de MyApps portal. Dit geeft de eindgebruiker een single point of entry voor alle applicaties.
Passwordless onboarden van nieuwe medewerkers
Uiteraard zijn eerdergenoemde technologieën fantastisch voor medewerkers welke al reeds werken binnen jouw organisatie. Maar hoe moet je omgaan met nieuwe medewerkers, zij hebben voor de onboarding tenslotte een wachtwoord nodig, toch? Gelukkig is dit probleem opgelost met de Microsoft Temporary Access Pass functionaliteit. Dit kan je zien als een tijdelijk wachtwoord met een specifieke geldigheidsperiode of zelfs voor eenmalig gebruik.
Met deze Temporary Access Pass kan jouw eindgebruiker zichzelf enrollen binnen jouw organisatie en zo de enrollment starten van Phone Sign-in, Windows Hello for Business en de FIDO2 Security Keys. Na het verlopen van de verkregen Temporary Access Pass kan deze niet meer gebruikt worden en omdat de gebruiker reeds password-less enrolled is kan de gebruiker zijn of haar werk eenvoudig password-less voortzetten.
Definiëer de strategie voor jouw organisatie en kies de technologie die past bij jouw omgeving
Het is belangrijk om uit te vinden welke technologie je wilt gebruiken en daarvoor de juiste wijzigingen in je omgeving aan te brengen. De flowchart hieronder kan helpen om de juiste keuzes te maken en richting geven aan hoe je kunt starten met de reis naar password-less.
Heb je vragen over password-less werken, of hebben wij jouw interesse gewekt en wil je vrijblijvend met één van onze identity consultants sparren over welke password-less oplossing het beste past bij jouw organisatie? Neem dan contact op.
Meer zien van de mogelijkheden voor Paswordless Werken? Bekijk de Expert Talk waarin consultants Pim en Peter je meenemen in de verschillende opties. Zo zie je dat we bij InSpark onze Security Keys niet alleen gebruiken om op onze Microsoft werkplek in te loggen… Bekijk de Expert Talk hier.
