无密码身份验证和 Azure AD

自 IT 早期以来,用户名和密码一直是主要的身份验证方法。技术发生了显着变化,用户名和密码的使用已经成为问题。用户名很容易被猜到,并且通过网络钓鱼尝试获取密码。更复杂的是,用户需要管理一系列用户名和密码。他们经常对多个站点使用相同的凭据。因此,当与不太安全的网站一起使用时,他们的凭据将面临风险。

多因素身份验证 (MFA) 降低了单一因素、用户名和密码身份验证要求的风险。身份验证因素是指用户知道的东西,例如密码或 PIN,他们的身份,例如指纹或面部扫描,或者他们拥有的东西,例如智能卡或手机。与密码不同,生物识别和物理设备被认为是不可获取的,不易受到网络钓鱼尝试的影响。

虽然多因素身份验证可以显着提高安全性,但也存在一些缺点。两因素身份验证可能不方便。用户需要使用低安全性密码以及第二个高安全性因素。密码为保护用户帐户增加了最小的价值。无密码身份验证是 MFA 的安全替代方案。无密码身份验证删除了较弱的安全操作,即密码,同时保留了更强的身份验证方法。  

每个组织都有由公司或行业最佳实践驱动的不同身份验证要求。在许多情况下,登录需要多个因素。虽然无密码身份验证会删除密码,但仍然需要多个因素来进行身份验证。其中包括用户拥有的东西,例如 Windows 10 或 11 客户端设备、移动电话或安全密钥,以及用户是或知道的东西,例如生物识别或 PIN。无密码身份验证为最终用户提供了高安全性和便利性。

Azure AD 集成了三个无密码身份验证选项:Windows Hello 企业版、Microsoft 身份验证器应用程序 和 FIDO2 安全密钥。以下信息是每个选项的概述。

Windows Hello 企业版

Windows Hello 企业版利用了大多数笔记本电脑上可用的 TPM 芯片。对于拥有专用计算机的用户来说,这是一个不错的选择。公钥和私钥对保护登录过程。证书绑定到计算机,这意味着它是不可钓鱼的,不能用于从其他设备登录。为了进行身份验证,登录过程使用用户拥有的东西,带有私人证书的笔记本电脑,以及 PIN 或生物识别手势。

Microsoft 身份验证器应用程序

许多组织已经使用 Microsoft 身份验证器应用程序 for MFA。该应用程序还可用于无密码身份验证。 Microsoft Authenticator 应用程序利用基于密钥的身份验证以及绑定到移动设备的凭据。要求用户将登录屏幕上的一个号码与登录时应用程序中显示的多个号码进行匹配。之后,在登录完成之前,系统会提示用户输入第二个因素的生物特征或 PIN。

安全密钥

在某些环境中,不能选择 Windows Hello 或 Microsoft Authenticator 应用程序。这可能包括法律要求或受监管的环境,其中组织不能要求员工使用个人设备进行工作。 Azure AD 支持用于无密码身份验证的快速身份联机 (FIDO2) 安全密钥。对于不需要移动设备的无密码身份验证,安全密钥是一种廉价的选择。 FIDO2 密钥是通常也支持 NFC 的小型 USB 设备。 Azure AD 兼容的 FIDO2 安全密钥需要客户端 PIN。安全密钥和 PIN 相结合,可提供强大的、无密码的多因素登录体验。

Windows Hello、Microsoft Authenticator 和 FIDO2 安全密钥是无密码身份验证的不错选择。 Azure AD 支持所有这三个,几乎没有管理员开销。它们为用户提供了一种安全登录的便捷方式,同时几乎消除了泄露或网络钓鱼凭据的可能性。