消除密码–一年漫长的旅程的第一步

什么公告!如果您还没有听到消息,微软已正式开始在企业中消除密码的旅程。这篇文章已发表于此 Azure博客 和there is already new fancy entry page: aka.ms/gopasswordless..

这使微软不仅会谈到密码的第一家公司,提供了良好和坏密码的建议(这是一个 早些时候白皮书关于密码)但现在积极寻求在企业和个人空间中消除密码。凭借现代工人的中心件 - 可能是保护企业资产的关键变革。但是,作为一个中心件也可能意味着今天的企业将被中断 - 而用户必须改变他们的工作方式,亲吻密码再见,没有?

我们都在那里,为企业密码或访问个人网站而轻松路线。它只是人类懒惰,这是一段不是亲爱的,靠近你的心,而是不应该。谁能责怪他们的最终用户?

为什么密码需要去

我们都在那里,为企业密码或访问个人网站而轻松路线。它只是人类懒惰,这是一段不是亲爱的,靠近你的心,而是不应该。谁能责怪他们的最终用户?

让我们说实话,密码是:

  • 糟糕要记住,因为复杂,它必须包含数字
  • 令人讨厌的进入,他们越复杂
  • 进入痛苦,我的设备越闪亮,如果它没有带键盘
  • 从不是独特的,因为我可以在许多地方使用不同的保护(企业资源,PayPal,eBay,Dave的车库Webshop,Tailspin玩具中国)。

多年来,我们已经设法将我们的最终用户运送到我们需要复杂密码的状态,使它们能够向下写入密码或者将一个好的密码删除,然后迭代到最后的数字(“ContosoPassword!1”, “ContosoPassword!2” or “ContosoSummer2018”, “ContosoAutumn2018”, …).

微软在做什么?

Microsoft将开始使用其他手段来保护人们身份的旅程而不是密码。通常,这是一个设备上的秘密或更改代码,受到引脚或生物识别的保护或任何类型的独特甚至个性的解锁方式。此外,它将实现一些部署疼痛,即某些较早的日子可能拥有的技术(思考智能卡)。

有不同的方式:

  • 保护凭证 生物识别学 和only unlock them with the right face, finger print, blood sample (just kidding)
  • 使用 经过验证的协议和practices to verify the credentials, once unlocked (OATH, certificates, keys) transmitted and verified via well-known industry protocols
  • 让它变得如此 部署很容易和not a nightmare

如果以下因素是真的,这可能会成功 - 是的,这将需要一些时间:

  • 用户可以携带此额外的东西 - 或者最佳 - 不要携带任何额外的东西。 (想想令牌,智能手机,小钥匙) - 或最好的案例:他们的脸,拇指打印)
  • 部署和推出必须尽可能无缝。
  • 它适用于本地,就像为云一样好,许多公司不是“cloud only”并且将是一段时间,这只是一个现实。
  • 我们可以消除所有入学点都有传统的密码提示,用户必须记住他们的密码

还有什么?

已经有一些公司开始以不同的方式考虑密码。由于密码必须复杂并且用户易于更改密码,因此它们有一个很好的密码,只有略有变化,只有在每90天每90天更改*的体积*密码时都有很小的价值。那么为什么没有用户每年只更改他们的密码 - 并确保他们选择一个好密码?

那么组织所做的是:

  • 教育用户继续战斗
  • 删除清除文本密码传输和静止密码的旧协议
  • 尝试并确保人们选择好密码,不要选择蹩脚的密码(有您 查看Azure广告密码保护, in preview now?)
  • 将密码更改间隔调整为SIC(6)个月,甚至每年一次。

去DOS.

显然,这是微软正在进行的旅程,并且需要完全消除密码的时间。最终,这不仅是一个识别解决方案提供商或平台提供商可以解决的问题 - 而是行业范围内的合作问题,以做正确的事情 - 并建立可以支持所有这些的应用程序。而且,客户推动创新以使这些应用程序现代化。

然而,有许多事情,你今天可以做到,缓解“password pain”:

  • 立即向Windows部署Windows Hello for Business - 这使您的用户方便的SSO到Windows AD以及Azure AD应用程序 - 并且每次用户解锁设备时都是真实的多因素身份验证(1 英石 因子:销还是它们的生物识别,2 n 因子:他们的设备,具有由第一因素保护的秘密/键,不能离开设备)。
  • 彻底消灭“special”保留自己的登录逻辑,密码提示和用户存储的应用程序。让他们谈谈现代协议(OpenID Connect,Outhz等OAuth等)

如果您是Azure广告客户,这些是额外的GO-DOS:

  • 看看p. 通过Azure广告的Windows广告的股票保护
  • 将Microsoft Authenticator App部署到用户的公司手机。使用手机预览密码登录 Microsoft身份验证器应用程序.
  • 看看关闭“遗留身份验证”通常有办公室365和Azure广告 - 这可以防止仍在使用的身份验证流程“traditional” and “非现代认证”从验证中流动 - 亲吻那些旧的,弱协议,如SMTP,Pop Goodbye - AS 这里描述 (谨防,这需要对您的客户景观和测试很好地了解)
  • 立即使用Azure MFA和SSPR,让您的用户注册到服务 - 以便他们可以解锁并使用今天在那里有MFA的非密码选项。
标签

相关文章

发表评论

本网站使用AkisMet减少垃圾邮件。 了解如何处理评论数据.