Azure AD FIDO2 Authenticatie

FIDO2 authenticatie is de nieuwste methode om password-less in te loggen op apparaten en websites. Het was al enkele maanden mogelijk om in te loggen bij Microsoft accounts met FIDO2 security keys, maar sinds kort is de AzureAD FIDO2 authenticatie in preview. In dit blog laat Roel Everink zien hoe je je Azure AD tenant en device kan instellen zodat password-less authenticatie mogelijk is bij Azure AD.

Inhoudsopgave

  1. Wat is FIDO2
  2. Nadelen van wachtwoorden
  3. Voordelen van FIDO2 (password-less)
  4. Requirements
  5. Gecombineerde registratie (preview) aanzetten
  6. FIDO2 authenticatie aanzetten
  7. Gebruikersregistratie en beheer van security keys
  8. Inloggen op websites met FIDO2 security keys
  9. Inloggen op Windows 10 met FIDO2 security keys

Wat is FIDO2

FIDO staat voor: Fast Identity Online

FIDO is opgericht door de FIDO Alliance, een open industry association met als doel: authenticatie standaarden ontwikkelen die alternatieven voor wachtwoorden voor online authenticatie mogelijk moeten maken.

FIDO2 is de term voor de laatste set aan standaarden. Met FIDO2 kunnen gebruikers eenvoudige apparaten gebruiken om zich eenvoudig aan te melden bij online diensten. FIDO2 is een combinatie van 2 protocollen: de World Wide Web Consortium’s (W3C) Web Authentication (WebAuthn) specification en de FIDO Alliance’s Client-to-Authenticator Protocol (CTAP). Hiermee is het mogelijk om met een eenvoudige USB key, of smartcard, of zelfs je telefoon aan te melden bij online diensten zoals Azure AD. Dit gaat dan op basis van de drager van je identiteit, je USB key dus in combinatie met iets dat je weet of bent. Bijvoorbeeld een PIN code, of een vingerafdruk.

Nadelen van wachtwoorden

Wachtwoorden worden veel gebruikt, zodat ze zo eenvoudig te implementeren zijn. Maar dat eenvoudige gebruik heeft echter ook nadelen!

Wachtwoorden worden vaak hergebruikt

Hetzelfde wachtwoord wordt vaak hergebruikt voor verschillende diensten. Dus zodra één wachtwoord in verkeerde handen valt, zijn meerdere diensten in gevaar omdat die van hetzelfde wachtwoord gebruik maken.

Vatbaar voor database hacks

Wachtwoorden zijn op basis van een pre-shared key. Dus de online dienst heeft een kopie van je wachtwoord, of een gehashde en gesalte kopie. Deze zijn weer te brute forcen waardoor een aanvaller een wachtwoord kan achterhalen.

Vatbaar voor Brute Force aanvallen

Wachtwoorden moeten worden onthouden, dus zijn vaak relatief eenvoudig te brute forcen met bijvoorbeeld een dictionary attack.

Vatbaar voor social engineering aanvallen

Dit kan iets simpels zijn door over iemands schouder mee te kijken als hij/zij het wachtwoord intypt, of door het te raden.

Vatbaar voor keyloggers

Reguliere wachtwoorden zijn vatbaar voor keyloggers. Dit kan een hardwarematige keylogger zijn, die tussen de PC en keyboard zit, maar ook een softwarematige. Deze keyloggers registreren alle toetsaanslagen, inclusief wachtwoorden.

Voordelen van FIDO2 (password-less)

Met FIDO2 worden alle nadelen van wachtwoorden omzeild. Dit komt onder andere door de volgende redenen.

Public / private keys

Omdat FIDO2 niet gebruik maakt van een pre shared key, maar van public / private key pairs. De public key wordt verstrekt aan de identity provider (Azure AD bijv.), en de private key blijft op het device staan, en wordt alleen gebruikt om een challenge te ‘signen’. Ook al wordt je public key dus gestolen is er niks aan de hand, want deze is volledig nutteloos.

Unieke keypairs

Waar wachtwoorden vaak worden hergebruikt is dat bij FIDO2 niet het geval. Voor elke online identity wordt namelijk een nieuw key pair gegenereerd. Hierbij is elke keypair uniek.

Phishing behoord tot het verleden

Phishing websites behoren tot het verleden, aangezien het key pair (en dus je identiteit) is gekoppeld aan een login domain (bijv. login.microsoft.com) zal een challenge van een phishing site niet worden geaccepteerd, daarvoor is immers geen key pair of identiteit op je device opgeslagen.

Social engineering

Waar met wachtwoorden het meekijken nog mogelijk was, is dit met FIDO2 niet het geval. Er valt niks mee te kijken, want het gaat op basis van een public / private key.

Requirements

Om FIDO2 authenticatie in te stellen zijn er enkele requirements waar we aan moeten voldoen.

  • Gecombineerde registratie (preview) aanzetten
  • Windows 10 versie 1809 of hoger met Microsoft Edge
  • Compatible FIDO2 security key

Voor Windows sign in:

  • Azure AD joined Windows 10 versie 1809 of hoger

Gecombineerde registratie (preview) aanzetten

De mogelijkheid voor gebruikers om hun security key te registreren zit alleen in de nieuwe registratie portaal. Daarom moeten we deze preview feature aanzetten.

Log hiervoor in bij https://portal.azure.com met een global administrator account.

Ga vervolgens naar User Settings -> Manage user feature preview settings

Zorg ervoor dat de feature:

  • Users can use preview features for registering and managing security info – enhanced

Staat op: All of Selected

Bij selected selecteer de gebruikers van een pilot groep.

Klik vervolgens op Save

Aanzetten van FIDO2 authenticatie

Om FIDO2 aan te zetten als authenticatie methode loggen we in op de azure portal

Log hiervoor in bij https://portal.azure.com met een account dat global administrator rechten heeft.

Ga vervolgens naar Azure Active Directory -> Authentication Methods

Klik vervolgens op

FIDO2 Security Key

Klik bij ENABLE op Yes

Bij TARGET heb ik All users geselecteerd. Het is mogelijk om hier eerst een pilot groep of gebruiker te selecteren.

Klik vervolgens op Save

Gebruikers registratie en beheer van FIDO2 security keys

Om als gebruiker een security key te registreren kan naar de volgende pagina worden gegaan.

http://aka.ms/setupsecurityinfo

Klik vervolgens op Add method

Kies vervolgens de optie:

Security Key

En klik op Add

Aangezien mijn type security key een USB device is, kies ik daarvoor.

Vervolgens moet ik nog actie ondernemen op mijn security key. Afhankelijk van hoe de key is ingesteld en welke functionaliteiten deze heeft kan dat verschillend zijn.

Ik heb een Feitian Biopass, deze heeft een fingerprint reader en dat is voor mij voldoende. Soms zit er ook alleen een knop op, en moet er daarnaast nog een PIN code worden ingevoerd.

Ook valt te zien dat ik de key wordt aangemaakt voor login.microsoft.com. Dus het key pair dat wordt gegenereerd zal alleen voor login.micosoft.com werken.

Vervolgens kan een naam worden gekozen voor de security key.

Ik noem hem: FeitianBiopass-Roel

Hierna is de security key klaar voor gebruik!

Inloggen op websites met FIDO2 Security keys

Om in te loggen bij websites gaan we naar een Microsoft pagina waar we kunnen inloggen met een Azure AD account. Bijvoorbeeld https://myapps.micosoft.com, https://outlook.office.com, of https://office.com

Klik op Sign-in options

En vervolgens op Sign in with a security key

Vervolgens moeten we onze security key in de USB poort stoppen als dat nog niet het geval is, en vervolgens actie ondernemen op de key. In mijn geval weer met mijn fingerprint hem unlocken.

En daarmee zijn we ingelogd bij microsoft.com, zonder ook maar onze gebruikersnaam of wachtwoord te gebruiken!

Inloggen bij Windows 10 met FIDO2 security key aanzetten

Om bij Windows 10 in te loggen met een security key moeten we deze functionaliteit eerst aanzetten.

Dit kan op 2 manieren:

  1. credential provider via Intune
  2. credential provider via provisioning package

Ik kies voor optie 1, via Intune.

De reden hiervoor is dat mijn device toch Azure AD joined moet zijn om met mijn Azure AD account in te loggen op Windows. Dan is het een kleine moeite om de configuratie via Intune te doen. Op deze manier kan het ook eenvoudig worden uitgevoerd op meerdere devices.

Ga naar de Azure portal, en zoek naar Intune (of klik hier voor de directe link)

Ga vervolgens naar Device configuration -> Profiles -> Create profile

Maak vervolgens een profiel aan met de volgende settings: Name: [profielnaam] Description: [beschrijving van het profiel] Platform: Windows 10 and later Profile type: Custom

Bij settings moet er een nieuw OMA-URI worden toegevoegd.

Klik hiervoor op Add Vul vervolgens de volgende velden in: Name: [Naam voor de OMA-URI setting] Description: [beschrijving van de setting] OMA-URI: ./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSignin Data type: Integer Value: 1

Ga vervolgens naar Assignments

Bij Assign to selecteer All Users & All Devices, of selecteer optioneel een pilot groep.

Zodra deze settings zijn doorgevoerd is het mogelijk om in te loggen op windows met een security key. Klik hiervoor op Sign-in Options, en kies voor het USB symbool (FIDO security key)

Vervolgens kan op de security key met een fingerprint worden geauthentiseerd, en worden we in Windows ingelogd, zonder een gebruikersnaam of wachtwoord in te geven

Hiermee hebben we onze volledige setup voltooid. We kunnen nu aanmelden met onze Azure Active Directory identiteit op zowel Microsoft pagina’s, en op onze Windows 10 werkplek met de voordelen van password-less authenticatie!

Ook geïnteresseerd in FIDO2 security keys, de moderne werkplek of Azure? Neem dan contact op met ResultaatGroep!