无密码身份验证和 Azure AD

自 IT 早期以来,用户名和密码一直是主要的身份验证方法。技术发生了重大变化,用户名和密码的使用已经成为问题。用户名很容易被猜到,密码是通过网络钓鱼尝试获得的。更糟糕的是,用户需要管理一系列用户名和密码。通常,他们对多个站点使用相同的凭据。因此,当与不太安全的网站一起使用时,会将他们的凭据置于危险之中。

多因素身份验证 (MFA) 降低了单一因素、用户名和密码身份验证要求的风险。身份验证因素是指用户知道的东西,例如密码或 PIN,它们是什么,例如指纹或面部扫描,或者它们拥有的东西,例如智能卡或手机。与密码不同,生物识别技术和物理设备被认为是不可获取的,不易受到网络钓鱼攻击。

虽然多因素身份验证可以显着提高安全性,但也存在一些缺点。两因素身份验证可能不方便。用户需要使用低安全性密码以及第二个高安全性因素。密码对保护用户帐户的价值微乎其微。无密码身份验证是 MFA 的安全替代方案。无密码身份验证删除了较弱的安全操作,即密码,同时保留了更强大的身份验证方法。  

每个组织都有由公司或行业最佳实践驱动的不同身份验证要求。在许多情况下,登录需要多种因素。尽管无密码身份验证会删除密码,但仍需要多种因素才能进行身份验证。其中包括用户拥有的东西,例如 Windows 10 或 11 客户端设备、移动电话或安全密钥,以及用户拥有或知道的东西,例如生物识别或 PIN。无密码认证为最终用户提供了高安全性和便利性。

Azure AD 与三个无密码身份验证选项集成:Windows Hello 企业版、Microsoft 身份验证器应用程序和 FIDO2 安全密钥。以下信息是每个选项的概述。

Windows Hello 企业版

Windows Hello 企业版利用了大多数笔记本电脑上可用的 TPM 芯片。对于拥有专用计算机的用户来说,这是一个不错的选择。公钥和私钥对确保登录过程的安全。该证书绑定到计算机,这意味着它是不可网络钓鱼的,不能用于从其他设备登录。为了进行身份验证,登录过程使用用户拥有的东西,带有私人证书的笔记本电脑,以及 PIN 或生物识别手势。

Microsoft 身份验证器应用程序

许多组织已经使用 Microsoft 身份验证器应用程序 for MFA。该应用程序还可用于无密码身份验证。 Microsoft Authenticator 应用程序利用基于密钥的身份验证和绑定到移动设备的凭据。要求用户将登录屏幕上的一个数字与登录时应用中显示的多个数字进行匹配。之后,在登录完成之前,系统会提示用户输入生物特征或 PIN 码作为第二个因素。

安全密钥

在某些环境中,Windows Hello 或 Microsoft Authenticator 应用程序不是一个选项。这可能包括法律要求或组织不能要求员工使用个人设备工作的受监管环境。 Azure AD 支持用于无密码身份验证的 Fast Identity Online (FIDO2) 安全密钥。安全密钥是不需要移动设备的无密码身份验证的廉价选项。 FIDO2 密钥是一种小型 USB 设备,通常也支持 NFC。符合 Azure AD 的 FIDO2 安全密钥需要客户端 PIN。安全密钥和 PIN 相结合,可提供强大的无密码多因素登录体验。

Windows Hello、Microsoft Authenticator 和 FIDO2 安全密钥是无密码身份验证的不错选择。 Azure AD 支持所有这三个,管理员开销很小。它们为用户提供了一种安全登录的便捷方式,同时几乎消除了泄露或网络钓鱼凭据的可能性。