Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


26.05.2020

Cloud Native Universe

Jako patron medialny zapraszamy programistów wdrażających lub integrujących się z dowolną...
26.03.2020

Koniec certyfikatów...

MCSA, MCSD i MCSA
26.03.2020

Odświeżony OS

FortiOS 6.4
26.03.2020

Bezpieczeństwo w chmurze

Cisco SecureX
26.03.2020

Modernizacja IT

Nowości w VMware Tanzu
26.03.2020

Krytyczne zagrożenie dla...

Nowa groźna podatność
26.03.2020

Laptopy dla wymagających

Nowe ThinkPady T, X i L
26.03.2020

Serwerowe ARM-y

Ampere Altra
26.03.2020

Energooszczędny monitor

Philips 243B1

Czas na passwordless

Data publikacji: 22-01-2020 Autor: Paweł Serwan
Rys. Konfigurator usługi...
Niemal każdego dnia słyszymy o wyciekach danych zawierających setki tysięcy haseł użytkowników popularnych portali. Czy w związku z tym dalej możemy uznawać hasła za bezpieczne, czy też powinniśmy zmienić sposób, w jaki chronimy swoje dane i uzyskujemy dostęp do swoich zasobów i systemów?
 
Z godnie z najświeższymi prognozami firmy Gartner w roku 2022 hasła zostaną w 80% zastąpione przez biometrię behawioralną. Ale zanim do tego dojdzie, warto zapoznać się z metodami zastępowania haseł, jakimi dysponujemy już dziś. Hasło to podstawowy sposób zabezpieczenia dostępu do zasobów organizacji opartych na systemach operacyjnych Microsoft Windows. Zazwyczaj platformą służącą do zarządzania tożsamością i dostępem do zasobów jest usługa Active Directory Domain Services. Przez wiele lat firma Microsoft zalecała stosowanie określonej polityki haseł na poziomie domeny: składały się na nią wymagania odnośnie do złożoności hasła, długości, liczby znaków specjalnych stosowanych w haśle, jego regularnej zmiany (minimum co 90 dni) i historii wykorzystywanych fraz. Wszystkie te wymagania miały przełożyć się na wyższy poziom bezpieczeństwa. Niestety, okazało się, że przynoszą więcej szkody niż pożytku. 
 
> ZŁE PRAKTYKI
 
W dokumencie Microsoft Password Gui­d­ance (dostępny pod adresem tinyurl.com/y8v7vjuy) eksperci z firmy Microsoft określili następujące złe praktyki:
 
  1. Użytkownicy końcowi zmuszeni do częstej zmiany hasła (co 90 czy 180 dni) decydują się na używanie prostszych haseł bądź też wykorzystują łatwe do odgadnięcia modyfikacje jednego hasła. Haker znający algorytm tworzenia haseł jest w stanie szybko je złamać. Ponadto techniki w postaci np. password sprayingu pozwalają na próby złamania hasła z wykorzystaniem popularnych kombinacji słów i znaków specjalnych, np. admin, admin123 czy admin123!. Atak tego typu jest trudny do wykrycia, gdyż w przeciwieństwie do ataku typu brute-­-force nie powoduje zablokowania konta użytkownika po określonej liczbie prób zakończonych niepowodzeniem.
  2. Użytkownicy końcowi zmuszeni do ustawiania długich haseł decydują się często na wykorzystanie w nich łatwych do odgadnięcia ciągów znaków występujących po sobie, np. asdf, 1234.
  3. Wymaganie określonej złożoności hasła poprzez wykorzystanie małych i dużych liter, znaków specjalnych i cyfr zmniejsza bezpieczeństwo haseł.
 
Jak widać, używanie haseł i polityk haseł w środowiskach domenowych Active Directory jest rozwiązaniem przestarzałym. Mimo to wszystkie te wymagania spełniają konfiguracje domeny Active Directory większości organizacji. 
 
> DOBRE PRAKTYKI 
 
We wspomnianym dokumencie eksperci firmy Microsoft przedstawiają również zbiór dobrych praktyk tworzenia haseł w domenach Active Directory. Większość z nich odnosi się jednak do sytuacji, gdy posiadamy hybrydową konfigurację platformy Active Directory, tzn. posiadamy również usługę Azure Active Directory Azure. Rekomendacje obejmują:•Blokowanie często używanych haseł. W organizacjach posiadających usługę Azure Active Directory możliwe jest włączenie funkcji Password Protection, która pozwala na blokowanie haseł uznawanych za popularne lub słabe. Zespoły bezpieczeństwa firmy Microsoft stale analizują dane telemetryczne zabezpieczeń usługi Azure Active Directory, szukając często używanych, słabych czy złamanych haseł lub bardziej szczegółowych warunków podstawowych, które często są używane jako podstawa dla słabych haseł. Słabe kombinacje są dodawane do listy globalnie zabronionych haseł. Zawartość globalnej listy niedozwolonych haseł nie jest oparta na żadnym zewnętrznym źródle danych – opiera się wyłącznie na danych z telemetrii i analizie zabezpieczeń usługi Azure Active Directory. Za każdym razem, gdy nowe hasło jest zmieniane lub resetowane, bieżąca wersja globalnej listy haseł jest używana jako dane wejściowe klucza podczas sprawdzania siły hasła. •Wymuszenie logowania dwuskładnikowego. Azure Active Directory pozwala na włączenie usługi Azure Multi-Factor Authentication pozwalającej na dwuetapową (dwuskładnikową) weryfikację użytkownika w procesie logowania do usługi Office 365. Pozwala ona również na integrację z aplikacjami typu SaaS czy on-premise, wykorzystując zainstalowany lokalnie Azure Multi-Factor Authentication Server. Drugim składnikiem, który możemy stosować w procesie logowania użytkownika, jest SMS z jednorazowym kodem, połączenie telefoniczne z automatyczną obsługą firmy Microsoft lub aplikacja mobilna Microsoft Authenticator.•Włączanie zasad opartych na niebezpieczeństwach dla funkcji samoobsługowego resetowania haseł i uwierzytelniania wieloskładnikowego oraz zmiany haseł opartej na zagrożeniu.
 
Firma Microsoft współpracuje z naukowcami, organami ścigania, zespołami ds. cyberbezpieczeństwa i innymi zaufanymi źródłami w celu wyszukiwania par nazwa użytkownika–hasło. Gdy jedna z takich par jest zgodna z kontem w środowisku usługi Azure Active Directory, można wymusić zmianę hasła, używając następującej konfiguracji zasad:
 
  1. W portalu Azure należy wybrać usługę Azure Active Directory.
  2. Następnie należy kliknąć w węzeł Security > Identity Protection. Aby móc skonfigurować poniższe zasady, należy posiadać licencję EMS E5 albo Azure Active Directory Premium P2.
  3. Następnie należy kliknąć pozycję User Based Risk.
  4. W obszarze Conditions należy wybrać opcję User risk, a następnie pozycję Medium and above.
  5. Teraz należy kliknąć przycisk Select, a następnie Done.
  6. W obszarze Access wybieramy pozycję Allow access, a następnie pozycję Require password change.
  7. Klikamy przycisk Select.
  8. Dla parametru Set Enforce Policy należy ustawić wartość Enabled.
  9. Na koniec należy kliknąć przycisk Save w celu zapisania zasad.
 
Niewątpliwie warto zdecydować się także na włączanie uwierzytelniania wieloskładnikowego opartego na zagrożeniu. Większość użytkowników wykonuje codzienne, powtarzalne zadania, które można śledzić i na tej podstawie tworzyć wzorzec zachowań. Gdy ta codzienna rutyna zostanie złamana, zezwolenie użytkownikowi na zwykłe logowanie może stanowić zagrożenie. W takim przypadku można zablokować użytkownika lub poprosić go o przejście procedury uwierzytelniania wieloskładnikowego, aby potwierdził, że jest tym, za kogo się podaje. Aby włączyć zasady wymagające uwierzytelniania wieloskładnikowego, gdy zostanie wykryte nietypowe zachowanie, należy przeprowadzić następującą konfigurację:
 
  1. W portalu Azure należy wybrać usługę Azure Active Directory.
  2. Następnie należy kliknąć w węzeł Security > Identity Protection. Aby móc skonfigurować poniższe zasady, należy posiadać licencję EMS E5 albo Azure Active Directory Premium P2.
  3. Następnie należy wybrać węzeł Sign-in risk policy.
  4. W obszarze Conditions wybieramy pozycję User risk, a następnie Medium and above.
  5. Kolejny krok wymaga kliknięcia przycisku Select, a następnie pozycji Done.
  6. W obszarze Access wybieramy pozycję Allow access, a następnie pozycję Require multi-factor authentication.
  7. Teraz należy kliknąć przycisk Select.
  8. Dla parametru Set Enforce Policy należy ustawić wartość Enabled.
  9. Po wprowadzeniu konfiguracji należy zapisać ją, klikając przycisk Save.

 

[...]

 

Projektant, inżynier i pasjonat technologii wirtualizacji oraz cloud computing. Na co dzień pracuje jako architekt IT i zajmuje się rozwiązaniami End User Computing. Od kilku lat prowadzi blog, w którym opisuje głównie rozwiązania RDS, SBC i VDI. Założyciel i lider Polskiej Grupy Użytkowników Citrix (PLCUG). W 2017 roku odznaczony tytułem Citrix Technology Advocate. Posiada tytuły: MCP, MCSA, MCITP, CCP-V.  

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"