Microsoft đang tìm cách bảo vệ tốt hơn các nhân viên kết hợp kết nối với dịch vụ Azure Active Directory (AD) của mình thông qua các điểm cuối iOS hoặc Android (mở trong tab mới) khỏi lừa đảo và mật khẩu (mở trong tab mới) -tấn công ăn cắp.
Công ty đã giới thiệu một phương thức xác thực mới cho dịch vụ nhận dạng doanh nghiệp mà họ cho biết là phương thức xác thực dựa trên chứng chỉ (CBA) không cần mật khẩu, được kích hoạt thông qua khóa bảo mật phần cứng YubiKey do Yubico xây dựng.
Theo thông báo của Microsoft, công cụ này sẽ cung cấp cho người dùng di động giải pháp đăng nhập được chứng nhận Tiêu chuẩn xử lý thông tin liên bang (FIPS), hoàn toàn có khả năng chống lại các cuộc tấn công lừa đảo.
Xác thực dễ dàng và an toàn
“Sắc lệnh điều hành an ninh mạng 14028 của Hoa Kỳ yêu cầu sử dụng MFA chống lừa đảo trên tất cả các nền tảng thiết bị. Trên thiết bị di động, mặc dù khách hàng có thể cung cấp chứng chỉ người dùng trên thiết bị di động cá nhân của họ để sử dụng cho việc xác thực nhưng điều này chủ yếu khả thi đối với các thiết bị di động được quản lý. Nhưng bản xem trước công khai mới này mở ra sự hỗ trợ cho BYOD,” Vimala Ranganathan, giám đốc sản phẩm của Microsoft Entra, đã viết trong bài đăng trên blog (mở trong tab mới) công bố các tính năng mới.
Với giải pháp mới, người dùng Microsoft AD sẽ có thể cấp chứng chỉ bằng khóa bảo mật phần cứng, cho phép họ dễ dàng xác thực trên thiết bị di động. Người dùng iOS của Apple cần đăng ký qua ứng dụng Yubico Authenticator và sao chép chứng chỉ công khai vào móc khóa iOS. Sau đó, họ có thể chọn chứng chỉ YubiKey để đăng nhập và nhập mã PIN.
Đối với người dùng Android, Microsoft cho biết hỗ trợ Azure AD CBA với YubiKey trên thiết bị di động Android được kích hoạt thông qua MSAL mới nhất. Người dùng Android không cần ứng dụng YubiKey Authenticator vì họ có thể cắm YubiKey qua USB, khởi chạy Azure AD CBA, chọn chứng chỉ từ YubiKey, nhập mã PIN và được xác thực.
Microsoft tuyên bố phương pháp xác thực này giảm thiểu nguy cơ bị đánh cắp thông tin xác thực và đánh cắp danh tính, được thực hiện thông qua lừa đảo hoặc kỹ thuật xã hội.
Ranganathan kết luận: “Giải pháp dựa trên chứng chỉ di động của Microsoft kết hợp với các khóa bảo mật phần cứng là một phương pháp MFA chống lừa đảo được chứng nhận FIPS đơn giản, tiện lợi”.