Microsoft Authenticator за пријаву без лозинке

 

Тренд напустите традиционалне лозинке То је већ стварност у Мајкрософтовом екосистему, а Мајкрософт Аутентификатор је постао кључ за једноставно и безбедно постизање тога. Ако сте уморни од памћења лозинки, њихове честе промене или бриге о кршењу безбедности података, овај систем без лозинки је вероватно оно што сте тражили.

Помоћу Microsoft Authenticator-а можете Пријавите се на своје личне, професионалне и образовне налоге Користећи само свој мобилни телефон и брз гест: ПИН, отисак прста или препознавање лица. Иза нечега што делује тако једноставно крије се напредни систем аутентификације заснован на кључевима и акредитивима повезаним са уређајем, дизајниран да смањи ризик од крађе акредитива и фишинг напада.

Шта је Microsoft Authenticator и како функционише пријављивање без лозинке?

Мајкрософт аутентификатор је бесплатна мобилна апликација доступно за iOS y Андроид Централизује безбедан приступ вашим Microsoft налозима и многим другим компатибилним налозима. Не приказује само кодове; омогућава вам да користите мобилни телефон као „кључ“ за приступ услугама без уноса лозинке.

Рад режима без лозинке је заснован на аутентификација јавним кључевима (види како активирајте и користите лозинкеГенерише се акредитив повезан са вашим налогом и криптографски се повезује са уређајем на којем је апликација инсталирана. Овај акредитив се може откључати само локалним гестом (ПИН, отисак прста, лице) захваљујући сопственим безбедносним механизмима оперативног система.

Овај приступ је веома сличан оном који се користи Windows Hello са FIDO2 тастерима За предузећа, уређај делује као поуздана приступна тачка, а корисник се аутентификује биометријским подацима или ПИН-ом. Кључна разлика је у томе што се Authenticator може користити практично било где, не само на рачунару, јер је дизајниран за iOS и Android мобилне уређаје.

Када користите пријављивање без лозинке са Microsoft Authenticator-ом, типичан ток је да вам услуга приказује број на екрану А на вашем телефону, апликација вас тражи да додирнете исти број да бисте потврдили да се ви пријављујете. Не тражи корисничко име или лозинку на телефону, само тај код, а затим ваш локални метод откључавања.

Начини коришћења Microsoft Authenticator-а

Microsoft Authenticator може да изврши три различите функције Зависи од тога како сте га конфигурисали и шта вам је потребно у свакој услузи, тако да нисте ограничени на један режим.

Прво, апликацију можете користити као резервна копија када заборавили сте лозинкуУ овом случају, користи се за одобравање обавештења или унос привременог кода који вам омогућава да поново добијете приступ свом налогу ако се не сећате лозинке или треба да докажете да сте легитимни власник.

Други начин да се користи је као метода верификације у два корака или МФА (вишефакторска аутентификација (МФА)). Овде и даље уносите лозинку, али додајете други слој безбедности са јединственим кодом или push обавештењем које морате да одобрите на свом мобилном телефону, што нападачу знатно отежава пријаву користећи само вашу лозинку.

Трећи сценарио, и онај који нас занима у овом чланку, јесте коришћење Authenticator-а као јединствени метод пријављивањаУ овом режиму потпуно се елиминишете лозинком и цео процес се заснива на обавештењу које добијате на свом мобилном телефону и локалној верификацији помоћу ПИН-а или биометрије.

Предности престанка коришћења лозинки

Уклањање лозинки пружа јасне користи и за кориснике и за организацијеПоред практичности, циљ је смањење вектора напада повезаних са употребом статичких кључева.

С једне стране, то што више не пишете лозинке значи да више нисте изложени фишинг крађеКејлогери или поновна употреба процурелих лозинки из других сервиса су уобичајене претње. Ако нема лозинке коју можете да унесете, нема шта да се украде из лажног обрасца за пријаву.

Са становишта корисничког искуства, приступ је много више брзо и природноОткључате телефон користећи уобичајену методу, потврдите обавештење и готови сте. Не морате да измишљате компликоване лозинке или да памтите апсурдне варијације само да бисте испунили захтеве дужине и сложености.

Предузећа такође имају користи, јер број инцидената се смањује служби за подршку у вези са ресетовањем лозинки, закључавањем налога и проблемима са аутентификацијом. Безбедност је побољшана без осећаја сталног ометања од стране система.

Поред тога, Microsoft Authenticator и методе као што су виндовс Здраво, физички безбедносни кључеви или СМС кодови пружају алтернативни механизми за различите случајеве употребе. Иако Мајкрософт и многе организације препоручују коришћење лозинки и аутентификације без лозинке, и даље постоје комплементарне опције када коришћење мобилног уређаја није могуће, а такође су дати и детаљи о томе како их користити. Користите свој мобилни телефон као FIDO2 аутентификатор.

Компатибилност, подржани налози и коришћење више налога

Microsoft Authenticator ради на иОС и Андроид уређаји изворно, са ажурираним верзијама ОС Да бисте искористили најновија безбедносна побољшања, важно је да и телефон и апликацију редовно ажурирате најновијим ажурирањима.

Што се тиче налога које подржава, можете користити Authenticator са својим Мајкрософт лични налогПрофесионални или образовни налози Microsoft Entra ID (раније Azure AD) и други налози који подржавају исте стандарде. Ово се креће од типичне Outlook е-поште до организација које користе Мицрософт КСНУМКС.

Једна од великих предности је што можете конфигурисати више налога на истом уређају и, ако желите, чак Претворите свој Андроид у безбедносни кључ да би се побољшало искуство аутентификације у оперативном систему Windows.

Што се тиче налога које подржава, можете користити Authenticator са својим Мајкрософт лични налогПрофесионални или образовни налози Microsoft Entra ID (раније Azure AD) и други налози који подржавају исте стандарде. Ово се креће од типичне Outlook е-поште до организација које користе Microsoft 365.

За кориснике Microsoft Entra ID-а, као што су консултанти или студенти који раде са више организација, могуће је додати Authenticator више налога од истог закупца или од различитих закупаца и омогућите режим без лозинке за све њих. Међутим, гостујући налози нису подржани за пријаву на телефон без лозинке са истог уређаја.

Важно је запамтити да сваки уређај који желите да користите за пријаву без лозинке мора бити регистровано код сваког станара одговарајуће. На пример, ако радите са contoso.com и wingtiptoys.com, исти мобилни уређај ће морати бити регистрован у оба окружења како би се аутентификовали повезани налози.

Предуслови за коришћење Microsoft Authenticator-а без лозинке

Пре него што почнете са режимом без лозинке, постоји неколико ствари које треба имати на уму. услови који морају бити испуњени, како од корисника, тако и од администратора организације.

У корпоративном окружењу, препоручује се да се Мајкрософтова вишефакторска аутентификација (MFA) са омогућеним push обавештењима као једном од метода верификације. Ова обавештења помажу у спречавању неовлашћеног приступа и заустављању потенцијалних преварних трансакција, јер корисник мора да одобри сваки покушај пријављивања (верификација у два корака).

Апликација Authenticator, поред управљања обавештењима, може да генерише привремени безбедносни кодови чак и без интернет конекције. На овај начин, чак и ако мобилни телефон нема интернет или Wi-Fi, корисник и даље има резервни метод пријављивања када се затражи код.

Да би користио аутентификацију без лозинке у Microsoft Entra ID-у, администратор мора Омогућите комбиновано искуство регистрације (где корисник конфигурише безбедносне методе) и потом експлицитно активирати метод без лозинке за жељене групе или кориснике.

У случају личних Microsoft налога, основни захтев је да имате Инсталиран је Microsoft Authenticator (или, у неким сценаријима, Outlook за Андроид) на компатибилном уређају и пратите вођени поступак да бисте активирали пријављивање без лозинке из подешавања налога.

Конфигуришите Microsoft Authenticator као метод пријављивања без лозинке

У организацијама које користе Microsoft Entra ID, администратори имају директива о методама аутентификације где дефинишете које методе корисници могу да користе за пријаву: лозинке, аутентификатор, FIDO2 кључеве, SMS итд. За планове имплементације и управљања, погледајте како Интегришите Windows Hello са FIDO2 тастерима.

У оквиру те директиве, могуће је омогућити Мицрософт Аутхентицатор Ово се односи и на традиционална MFA обавештења и на пријављивање телефоном без лозинке. Када се омогући, корисник ће видети Microsoft Authenticator као доступну методу у одељку Безбедносне информације на свом налогу.

У зависности од тога шта је администратор дозволио, интерфејс подешавања ће приказати нешто попут овога Microsoft Authenticator – није потребна лозинка o Microsoft Authenticator – MFA уметањеКорисник може регистровати апликацију и изабрати режим који најбоље одговара политикама његове организације.

Да бисте активирали метод пријављивања путем телефона без лозинке из перспективе администратора, потребно је да Пријавите се у Microsoft администраторски центар. са одговарајућом улогом (нпр. администратор политике аутентификације) и идите до одељка Унесите ИД > Методе аутентификације > Политике.

Подразумевано, свака група изгледа омогућено за коришћење У сваком случају изабраног метода. У случају Authenticator-а, опција „било која“ омогућава и коришћење push обавештења и пријаву путем телефона без лозинке, а администратор може да подеси које групе или корисници су укључени или искључени.

Регистрација корисника у апликацији Authenticator

Када се метода активира у организацији, време је да корисници Региструјте апликацију на свој налогОни који већ користе Authenticator за MFA обично имају лакше, јер само треба да додају режим без лозинке.

Корисници који још нису конфигурисали Authenticator могу да се одлуче за Директна регистрација путем телефонабез потребе за коришћењем лозинке у било ком тренутку, под условом да имају привремену приступну дозволу коју је обезбедио администратор или организација.

У овом једноставном току рада, корисник добија привремену приступну пропусницу, инсталира апликацију на свој мобилни уређај, бира „Додај налог“ у оквиру Microsoft Authenticator-а и бира „Пословни или школски налог“. Затим додирује „Пријави се“ и Унесите привремену пропусницу Када вас апликација то замоли, пратите упутства док се подешавање не заврши.

Друга могућност је коришћење вођени поступак са странице Безбедносне информације (понекад се назива Моје пријаве). Корисник приступа тој страници из прегледача, пријављује се својим тренутним методом и бира „Додај метод“ > „Апликација за аутентификовање“ > „Додај“.

Асистент ће показати кораке за инсталирајте и повежите апликацију Да бисте креирали налог: скенирајте QR код, одобрите обавештење и завршите подешавање. Када се то уради, корисник додирне „Готово“ и налог је регистрован на мобилном уређају.

Омогући пријављивање без лозинке телефоном

Након регистрације налога помоћу Microsoft Authenticator-а, преостао је још један корак: омогући режим без лозинке за тај конкретни налог у самој мобилној апликацији.

Да би то урадио, корисник отвара Microsoft Authenticator, бира дотични налог и кликне на опцију „Конфигуришите захтеве за пријаву без лозинке„или слично. Одатле пратите упутства на екрану, која обично укључују одобравање захтева за пробну верзију и верификацију путем ПИН-а или биометрије.“

Када се овај процес заврши, тај рачун је спреман за примање уплата. захтеви за пријаву без лозинке и корисник ће моћи да изабере тај метод на екрану за пријаву на Microsoft када је то потребно.

Како се пријавити без лозинке помоћу Microsoft Authenticator-а

Када је све подешено, процес пријављивања се мало мења у односу на класични ток лозинке, али је и даље процес. веома интуитивно и брзоКорисник уноси своју адресу е-поште или име налога у панел за пријаву као и обично.

Након што кликнете на „Даље“, систем може директно приказати опцију за коришћење апликације или ћете можда морати да изаберете „Други начини за пријављивање„да бисте видели све доступне алтернативе, у зависности од конфигурације и последње коришћене методе.“

Међу овим опцијама појавиће се „Одобравање захтева у мојој апликацији AuthenticatorКада га изаберете, екран ће приказати случајни број и, у року од неколико секунди, мобилни телефон ће добити обавештење од Microsoft Authenticator-а са истим тим бројем који корисник треба да потврди.

Уместо да укуца лозинку, корисник треба да притисните тачан број у апликацији, а затим потврдите локалним методом откључавања (ПИН, отисак прста, препознавање лица, у зависности од подешавања вашег уређаја). Ако је све исправно, пријава је завршена.

Када се корисник аутентификује на овај начин, следећи пут платформа ће тежити да дајте приоритет методи без лозинкеМеђутим, обично је доступна опција за избор друге методе, на пример, „Користи лозинку уместо ње“ ако из неког разлога корисник то преферира.

Коришћење привремених приступних пропусница за прво пријављивање

У неким организацијама, администратор омогућава привремене пропуснице за приступ тако да корисници могу да конфигуришу аутентификатор и режим без лозинке без потребе да памте почетну лозинку или током процеса групне регистрације.

У тим случајевима, корисник отвара прегледач (на свом мобилном телефону или рачунару) и приступа страници са безбедносним информацијама, где региструјте апликацију Authenticator као метод пријављивања користећи привремену лозинку. Ова радња безбедно повезује налог са апликацијом.

Након упаривања апликације, корисник се враћа на свој мобилни уређај, отвара Authenticator и Омогући пријављивање без лозинке за тај налог. Од тог тренутка моћи ћете да се пријавите помоћу телефона и да се решите конвенционалне лозинке.

Безбедност, ризици и најбоље праксе при коришћењу Authenticator-а

Аутентификација без лозинке помоћу Authenticator-а је, по својој природи, сигурније него ослањање на кључ који могу бити украдени, процурели или погодени. Међутим, као и сваки систем, и он има свој модел претњи и важно га је добро разумети.

Једна од ствари која изазива највише сумње јесте да апликација на iOS-у и Андроиду зависи од исти ПИН или начин откључавања уређајТренутно не постоји посебан ПИН само за апликацију. То значи да ако неко види ваш ПИН и украде вам телефон, може да отвори апликацију.

У овом сценарију, препоручује се неколико мера: употреба Сложени ПИН или биометрија тешко је поновити, активирајте опције брисања уређаја након неколико неуспелих покушаја и, пре свега, брзо реагујте да бисте опозвали апликацију ако изгубите телефон или вам га украду, приступом панелу налога са другог уређаја.

Још једна логична забринутост је да би, са приступом апликацији, нападач могао одобри обавештења о пријави а да тога нисте ни свесни. Зато је кључно да пратите обавештења која примате, проверавате где и која апликација покушава да их користи и да не прихватате захтеве које не препознајете.

Ако изгубите телефон или га замените другим, добра је пракса да се пријавите на контролну таблу свог Microsoft налога, одете на напредне безбедносне опције и уклоните било који метод аутентификације повезано са претходним уређајем, било „Пошаљи обавештење о пријави“ или „Апликација: Microsoft Outlook“ или Microsoft Authenticator, како би се спречило да остане важеће.

Управљање и администрација аутентификатора у организацијама

У корпоративним окружењима, најпрепоручљивији начин за управљање употребом Microsoft Authenticator-а је путем директива о методама аутентификације у Microsoft Login ID-у. Ова централизована политика омогућава администраторима да контролишу које су методе дозвољене, за које групе и под којим условима.

Администратори могу омогућити или онемогућити аутентификатор потпуно укључити или искључити одређене кориснике и групе, а такође подесити параметре који додају контекст захтевима за пријаву тако да корисник не одобрава ништа „слепо“.

На пример, организација може да конфигурише свако обавештење да приказује приближна локација Приказује се покушај пријављивања или назив апликације која захтева приступ. На овај начин, корисник одмах примећује ако се појави непозната земља или апликација.

Вреди напоменути да је стара директива наслеђена AuthenticatorAppSignInPolicy више није подржана са модерним конфигурацијама Authenticator-а за обавештења и режим без лозинке. Уместо тога, управљање треба да се обавља искључиво путем политике Методе аутентификације.

У сценаријима са хибридним или федералним корисницима (на пример, када се користе Active Directory Federation Services), у тренутку када корисник омогући било који акредитив без лозинке, процес пријављивања више не зависи од login_hint да га пошаље директно добављачу федеративног идентитета, што мало мења искуство пријављивања.

Уобичајени проблеми и позната ограничења

Као и свака технологија која се примењује у великим размерама, систем за пријаву без лозинке помоћу Authenticator-а је неки познати проблеми и случајеве о којима је добро знати унапред како би се избегла изненађења.

Један од најчешћих сценарија је да корисник Не видим опцију за пријављивање телефоном без лозинке на екрану за пријаву, иако је регистрација завршена. Понекад се то дешава зато што је у току верификација која још није у потпуности одобрена.

Да бисте решили овај проблем, обично је довољно да отворите апликацију Authenticator на свом мобилном уређају и одговорити на било које обавештење На чекању. Када се заврши, опција за коришћење телефона без лозинке требало би да се поново појави при наредним покушајима пријављивања.

У организацијама где је администратор конфигурисао политике условног приступа, можете видети поруке попут „Могуће је да се пријављујете са локације коју је ограничио ваш администратор.„Или вам апликација каже да одете на aka.ms/mfasetup да бисте завршили подешавање. Ово указује да корпоративна политика блокира регистрацију или коришћење Authenticator-а.“

У овим случајевима, не можете много тога сами да урадите: мораћете контактирајте администратора да бисте омогућили метод пријављивања без лозинке преко телефона за ваш пословни или школски налог или да бисте видели исправан поступак регистрације.

Такође постоји ограничење везано за локални корисници или корисници са много уређајаКорисник може да креира и користи телефонске акредитиве за пријаву без лозинке, али ако покуша да ажурира превише инсталација (на пример, више од пет различитих мобилних телефона) са тим истим акредитивима, операција може да не успе и биће потребно обрисати старе записе.

За оне који су забринути због ризика од крађе мобилног телефона, вреди запамтити да су, чак и са тим ризиком, методе без лозинке засноване на биометрији, безбедносним кључевима или апликацијама попут Authenticator-а, генерално, робусније од класичних лозинкикоји могу бити масовно процурели или погађани путем аутоматизованих напада.

Захваљујући комбинацији од акредитиви повезани са уређајемЛокални фактори (ПИН, отисак прста, лице) и административна контрола путем Мајкрософтових политика. Увод, екосистем Мајкрософт аутентификатора нуди прилично солидну равнотежу између практичности и безбедности, под условом да се примењују добре праксе и да постоји брз одговор на губитак или крађу уређаја.

Усвајање пријављивања без лозинке помоћу Microsoft Authenticator-а подразумева важна промена начина размишљањаАли када се подеси и схватите како функционише, постаје веома згодан и безбедан начин за приступ вашим налозима, избегавајући терет памћења лозинки и истовремено смањујући површину напада против лажног представљања и неовлашћеног приступа.