Azure AD aanmelden via een FIDO2 Security Key; zo werkt het!

Een wachtwoord is als je er over nadenkt best lastig, en je vergeet hem vast wel eens. Ook heeft een gebruiker tegenwoordig meerdere accounts – en zijn de wachtwoorden allemaal uniek? – vaak is dit niet het geval. In een aantal vorige blog berichten hebben wij verschillende functies toegelicht, zoals het aanmelden via Phone Sign-in. Dit keer gaan we verder in op de Azure Active directory Password-less login via een beveiligingssleutel. 

In een vorig blog hebben we uitgebreid de verschillende functionaliteiten besproken van Password-less, hierin zijn de opties als een app, security key, gezichtsherkenning en een pin voorbij gekomen. Microsoft staat niet stil op dit vlak en blijft investeren rondom de Password-less ervaring. Zo merk je goed dat er steeds meer functionaliteiten beschikbaar komen. Nu gaan wij niet in op alle mogelijkheden in dit specifieke blog, maar alleen op de mogelijkheid in combinatie met een beveiligingssleutel, zoals een Yubikey.

De meest voorkomende vraag, waarom Password-less als MFA aanstaat?

MFA en Password-less kan je zien als twee aparte werelden. Uiteraard heb je verschillende niveau’s; waaronder het inloggen met alleen een wachtwoord zonder MFA. Bij de MFA activatie ben je al goed beveiligd tegen phishing en overige aanvallen, maar nog steeds is er een wachtwoord en moet je deze mogelijk wijzigen – uiteraard kan je deze ook vergeten. MFA bestaat uit twee stappen, eerst het wachtwoord waarna de tweede verificatie. Qua gebruikerservaring ben je hiermee de gebruiker twee keer tot last. Password-less maakt dit een stuk eenvoudiger tot één niveau.

Om het duidelijk in een afbeelding te weergeven;

Password-less via fysieke beveiligingssleutel/FIDO2

Wat is FIDO2

Allereerst een introductie. FIDO2 authenticatie is een methode om Password-less in te loggen op apparaten en website. Bij Microsoft is het mogelijk om in te loggen met FIDO2 security keys. FIDO staat voor Fast Identity Online en is opgericht door de FIDO Alliance, een open industry association met als doel om een standaard te ontwikkelen. Meer informatie is beschikbaar op de site van de FIDO Alliance.

Public/private keys

FIDO2 maakt niet gebruik van een pre shared key, maar van een public/private key pair. De public key zal worden verstrekt aan de identity provider, bijvoorbeeld Azure AD, en de public key blijft op het device zelf. De public key is hierdoor alleen maar nodig voor een digital sign. Wanneer de public key wordt gestolen is er nog steeds niks aan de hand, aangezien deze volledig nutteloos is zonder bijpassende private key. Bij een wachtwoord zonder MFA was het een ander verhaal.

Bij elke online identity wordt er een nieuw key pair gegenereerd. Hierdoor zijn alle keypairs uniek.

Configuratie

Om een FIDO2 security key te koppelen aan Azure AD zijn er een aantal voorwaarde vereist. Allereerst is het vereist om de preview feature’s te activeren in de portal van Azure.

Om de preview feature te activeren ga naar User Settings -> Manage user feature preview settings

De feature previews zijn in te schakelen voor iedereen of een pilot groep. Zorg ervoor dat de functie is ingesteld op All of Selected

FIDO2 authenticatie activeren

Voor het configureren van de FIDO2 is het vereist om de authenticatie methode te configureren in Azure AD. Hiervoor ga je naar Azure Active Directory -> Authentication Methods klik vervolgens op FIDO2 Security Keys. Deze configuratie is vereist om een FIDO2 Security Key te gebruiken. Ook bij deze groep is het mogelijk om de instelling op All Users te richten op een beperkte pilot groep.

FIDO2 registreren

Nu de basis is geconfigureerd in AzureAD heeft de gebruiker de optie om een security key te koppelen aan het AzureAD account.

Om als gebruiker een security key te registreren open je de Mysignins/ Mijn aanmeldingen pagina van Microsoft. http://aka.ms/setupsecurityinfo

Ga naar het menu item beveilingsgegevens(1) en klik op methode toevoegen (2)

Vervolgens selecteer je de methode beveiligingssleutel:

Afhankelijk van het type security key is het vereist om een type op te geven. Wanneer USB klik je op USB device. Wanneer het gaat om een NFC device selecteer je de optie NFC.

Er zijn behoorlijk veel types security keys. Zo zijn er security keys welke beschikken over een fingerprint reader waarmee de stappen verschillend kunnen zijn. In dit geval is het een Yubikey Security Key. Tijdens de configuratie is goed te zien dat er een key aangemaakt wordt voor login.microsoft.com.

Vanwege het type security key is het vereist om een pincode op te geven, aangezien een overige vorm van authenticatie ontbreekt.

Vervolgens kan er tijdens de configuratie een naam worden gekozen voor de specifieke security key. Dit is vooral handig als er meerdere keys worden toegepast. Hierna is de key zichtbaar in de security info portal en kan je hem gebruiken om in te loggen op Microsoft diensten.

Inloggen op de websites

Inloggen op de Microsoft sites is nu mogelijk. Wanneer je klikt op sign-in opties/ aanmeldingsopties zie je de optie aanmelden met een beveiligingssleutel 

In dit specifieke geval hebben we de security key gekoppeld aan de AzureAD login van Microsoft. Het is mogelijk om meerdere websites te koppelen aan de security key. Steeds meer diensten en websites supporten de mogelijkheden voor security keys.

Windows 10 werkplek

Nu het werkt voor een online login op de sites van Microsoft via AzureAD is het ook mogelijk om de security key optie te configureren voor een lokale werkplek. Hiervoor zijn wel een aantal stappen vereist en moet je device beschikken over minimaal 1809+, een Azure AD join en bij voorkeur Intune voor het activeren van settings.

Wanneer het gaat om een AzureAD device is het een vereiste om een credential provider te configureren. Dit kan bijvoorbeeld via Intune. Via een custom OMA-URI setting heb je de mogelijkheid om een setting te activeren. Hiervoor gebruiken we de onderstaande settings als device configuration.

Name: Turn on FIDO Security Keys for Windows Sign-In
OMA-URI: ./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSignin
Data Type: Integer
Value: 1

Vervolgens heb je de mogelijkheid om in het aanmeld venster de authenticatie te voltooien via een security key.

Benieuwd naar meer mogelijkheden qua security in de omgeving van Microsoft. Bekijk de Enteprise categorie.