Methoden voor Azure-verificatie beschrijven
Verificatie is het proces voor het tot stand brengen van de identiteit van een persoon, service of apparaat. Hiervoor moet de persoon, service of het apparaat een type referentie opgeven om te bewijzen wie ze zijn. Verificatie is net als het presenteren van id wanneer u onderweg bent. Het bevestigt niet dat u een ticket hebt. Het bewijst alleen dat u bent wie u zegt dat u bent. ondersteuning voor Azure meerdere verificatiemethoden, waaronder standaardwachtwoorden, eenmalige aanmelding (SSO), meervoudige verificatie (MFA) en wachtwoordloos.
Voor de langste tijd leek beveiliging en gemak oneven met elkaar te zijn. Gelukkig bieden nieuwe verificatieoplossingen zowel beveiliging als gemak.
In het volgende diagram ziet u het beveiligingsniveau in vergelijking met het gemak. U ziet dat verificatie zonder wachtwoord een hoge beveiliging en een hoog gemak is, terwijl wachtwoorden zelf een lage beveiliging maar een hoog gemak hebben.
Wat is eenmalige aanmelding?
Met eenmalige aanmelding (SSO) kan een gebruiker zich eenmalig aanmelden en die referentie gebruiken voor toegang tot meerdere resources en toepassingen van verschillende providers. Eenmalige aanmelding werkt alleen als de verschillende toepassingen en providers de initiële verificator vertrouwen.
Meer identiteiten betekent meer wachtwoorden die gebruikers moeten onthouden en wijzigen. Het wachtwoordbeleid kan per toepassing verschillen. Naarmate de complexiteitsvereisten toenemen, wordt het voor gebruikers steeds moeilijker om hun wachtwoorden te onthouden. Hoe meer wachtwoorden een gebruiker moet beheren, hoe groter het risico op een beveiligingsincident dat met referenties te maken heeft.
Kijk eens naar het proces voor het beheren van al die identiteiten. Meer belasting wordt op helpdesks geplaatst wanneer ze rekeningvergrendelingen en aanvragen voor wachtwoordherstel verwerken. Als een gebruiker een organisatie verlaat, kan het lastig zijn om al deze identiteiten op te sporen en ervoor te zorgen dat deze zijn uitgeschakeld. Als een identiteit over het hoofd wordt gezien, kan iemand toegang hebben terwijl dat niet de bedoeling is.
Met SSO hoeft u slechts één id en één wachtwoord te onthouden. Toegang tot verschillende toepassingen wordt verleend aan één, aan de gebruiker gekoppelde identiteit, waardoor het beveiligingsmodel wordt vereenvoudigd. Wanneer gebruikers een ander rol krijgen of een organisatie verlaten, is de toegang gekoppeld aan één identiteit. Hierdoor kunnen account vrij makkelijk worden gewijzigd of uitgeschakeld. Door eenmalige aanmelding voor accounts te gebruiken, kunnen gebruikers hun identiteiten eenvoudiger beheren en kunnen it-beheerders gebruikers beheren.
Belangrijk
Eenmalige aanmelding is alleen zo veilig als de initiële verificator, omdat de volgende verbindingen allemaal zijn gebaseerd op de beveiliging van de initiële verificator.
Wat is meervoudige verificatie?
Meervoudige verificatie is het proces waarbij een gebruiker wordt gevraagd om een extra vorm (of factor) van identificatie tijdens het aanmeldingsproces. MFA helpt u te beschermen tegen een inbreuk op een wachtwoord in situaties waarin het wachtwoord is aangetast, maar de tweede factor niet.
Denk na over hoe u zich aanmeldt bij websites, e-mail of onlineservices. Nadat u uw gebruikersnaam en wachtwoord hebt ingevoerd, hebt u ooit een code moeten invoeren die naar uw telefoon is verzonden? Als dat het geval is, hebt u meervoudige verificatie gebruikt om u aan te melden.
Meervoudige verificatie biedt extra beveiliging voor uw identiteiten omdat hierbij voor volledige verificatie twee of meer elementen zijn vereist. Deze elementen kunnen worden onderverdeeld in drie categorieën:
- Iets wat de gebruiker weet: dit kan een uitdagingsvraag zijn.
- Iets wat de gebruiker heeft: dit kan een code zijn die wordt verzonden naar de mobiele telefoon van de gebruiker.
- Iets wat de gebruiker is: dit is meestal een soort biometrische eigenschap, zoals een vingerafdruk of gezichtsscan.
Met meervoudige verificatie vergroot u de veiligheid van uw identiteit doordat de gevolgen van het onderscheppen van uw referenties worden beperkt (bijvoorbeeld als uw gebruikersnamen en wachtwoorden gestolen). Als meervoudige verificatie is ingeschakeld, moet een aanvaller die het wachtwoord van een gebruiker heeft, voor een volledige verificatie ook beschikken over diens telefoon of vingerafdruk.
Vergelijk meervoudige verificatie met enkelvoudige authenticatie. Bij enkelvoudige verificatie heeft een aanvaller slechts de gebruikersnaam en het wachtwoord nodig om zich te kunnen verifiëren. Waar mogelijk moet u meervoudige verificatie inschakelen, want het voegt enorme voordelen toe aan de veiligheid.
Wat is Meervoudige verificatie van Microsoft Entra?
Microsoft Entra-meervoudige verificatie is een Microsoft-service die mogelijkheden voor meervoudige verificatie biedt. Met Meervoudige verificatie van Microsoft Entra kunnen gebruikers tijdens het aanmelden een extra vorm van verificatie kiezen, zoals een telefoongesprek of een melding van mobiele apps.
Wat is verificatie zonder wachtwoord?
Functies zoals MFA zijn een uitstekende manier om uw organisatie te beveiligen, maar gebruikers raken vaak gefrustreerd over de extra beveiligingslaag om hun wachtwoorden te onthouden. Mensen zijn waarschijnlijker om te voldoen wanneer het gemakkelijk en handig is om dit te doen. Verificatiemethoden zonder wachtwoord zijn handiger omdat het wachtwoord wordt verwijderd en vervangen door iets dat u hebt, plus iets wat u wel of iets weet.
Verificatie zonder wachtwoord moet worden ingesteld op een apparaat voordat het kan werken. Uw computer is bijvoorbeeld iets wat u hebt. Zodra deze is geregistreerd of ingeschreven, weet Azure dat deze aan u is gekoppeld. Nu de computer bekend is, kunt u, nadat u iets hebt opgegeven dat u kent of zijn (zoals een pincode of vingerafdruk), worden geverifieerd zonder een wachtwoord te gebruiken.
Elke organisatie heeft verschillende behoeften als het gaat om verificatie. Microsoft Global Azure en Azure Government bieden de volgende drie verificatieopties zonder wachtwoord die kunnen worden geïntegreerd met Microsoft Entra-id:
- Windows Hello voor Bedrijven
- Microsoft Authenticator-app
- FIDO2-beveiligingssleutels
Windows Hello voor Bedrijven
Windows Hello voor Bedrijven is ideaal voor informatiewerkers die hun eigen Windows-pc hebben. De biometrische en pincodereferenties zijn rechtstreeks gekoppeld aan de pc van de gebruiker, waardoor toegang van anderen dan de eigenaar wordt voorkomen. Met PKI-integratie (Public Key Infrastructure) en ingebouwde ondersteuning voor eenmalige aanmelding (SSO) biedt Windows Hello voor Bedrijven een handige methode voor naadloze toegang tot bedrijfsresources on-premises en in de cloud.
Microsoft Authenticator-app
U kunt ook toestaan dat de telefoon van uw werknemer een verificatiemethode zonder wachtwoord wordt. Mogelijk gebruikt u de Microsoft Authenticator-app al als een handige optie voor meervoudige verificatie, naast een wachtwoord. U kunt de Authenticator-app ook gebruiken als een optie zonder wachtwoord.
De Authenticator-app verandert elke iOS- of Android-telefoon in een sterke, wachtwoordloze referentie. Gebruikers kunnen zich aanmelden bij elk platform of elke browser door een melding op hun telefoon te ontvangen, een nummer op het scherm te koppelen aan het nummer op hun telefoon en vervolgens hun biometrische gegevens (aanraking of gezicht) of pincode te gebruiken om te bevestigen. Raadpleeg De Microsoft Authenticator-app downloaden en installeren voor installatiedetails.
FIDO2-beveiligingssleutels
De FIDO (Fast IDentity Online) Alliance helpt open verificatiestandaarden te promoten en het gebruik van wachtwoorden als een vorm van verificatie te verminderen. FIDO2 is de nieuwste standaard die de webverificatiestandaard (WebAuthn) bevat.
FIDO2-beveiligingssleutels zijn een onherstelbare op standaarden gebaseerde verificatiemethode zonder wachtwoord die in elke vormfactor kan worden geleverd. Fast Identity Online (FIDO) is een open standaard voor verificatie zonder wachtwoord. MET FIDO kunnen gebruikers en organisaties gebruikmaken van de standaard om zich aan te melden bij hun resources zonder gebruikersnaam of wachtwoord met behulp van een externe beveiligingssleutel of een platformsleutel die is ingebouwd in een apparaat.
Gebruikers kunnen zich registreren en vervolgens een FIDO2-beveiligingssleutel selecteren op de aanmeldingsinterface als hun belangrijkste verificatiemiddel. Deze FIDO2-beveiligingssleutels zijn doorgaans USB-apparaten, maar kunnen ook Bluetooth of NFC gebruiken. Met een hardwareapparaat dat de verificatie afhandelt, wordt de beveiliging van een account verhoogd omdat er geen wachtwoord is dat kan worden weergegeven of geraden.