Följ med oss den 9 november för att lära dig hur du framgångsrikt kan innovera och uppnå effektivitet genom att uppfostra och skala medborgarutvecklare på Low-Code/No-Code Summit. Registrera här.
Det FIDO-alliansdrivna tillslaget mot lösenord och nätfiske-bedrägerier har varit en av årets viktigaste säkerhetsutvecklingar, där leverantörer inklusive Microsoft, Google och Apple åtar sig att utveckla lösenordslösa autentiseringslösningar.
Bara idag, Microsoft meddelade att det släpper lösenordslös, certifikatbaserad autentisering (CBA) för Azure AD på iOS- och Android-enheter via en hårdvarusäkerhetsnyckel som heter YubiKey, från Yubico. Den nya lösningen kommer att ge Android- och iOS-användare en FIPS (Federal Information Processing Standards)-certifierad, nätfiske-resistent inloggningslösning.
Med nätfiskeattacker fortfarande på öka, kommer denna expansion att tjäna till att göra Microsofts ekosystem mer motståndskraftigt mot social ingenjörskonst och identitetsstöld. I synnerhet kommer det att skydda användare i hybridarbetsmiljöer som ansluter till Azure AD med iOS- och Android-enheter.
Bekämpa nätfiskeattacker i hybridarbetsmiljöer
Tillkännagivandet kommer mindre än en månad efter att Microsoft tillkännagav lanseringen av tre nya CBA och phishing-resistenta lösningar utformade för att hjälpa organisationer att förhindra phishing-attacker i Azure, Office 365 och Remote Desktop-miljöer.
Händelse
Toppmöte med låg kod/ingen kod
Lär dig hur du bygger, skalar och styr lågkodsprogram på ett enkelt sätt som skapar framgång för allt den 9 november. Registrera dig för ditt gratiskort idag.
Registrera här
Det kommer också efter Biden-administrationens 2021 Verkställande Ordning om att förbättra nationens cybersäkerhet mandat att amerikanska federala myndigheter måste anta nätfiske-resistent multifaktorautentisering för att bekämpa allt vanligare nätfiskeattacker.
Så sent som i går bekräftade Dropbox att det var det hackad via ett nätfiskebedrägeri som gav angripare tillgång till en del av organisationens källkod och kundinformation.
Med dessa hot så vanliga är ett minskat beroende av lösenordsbaserad säkerhet nu avgörande för att minska exponeringen för dessa allt mer effektiva bedrägerier, särskilt i hybridarbetsmiljöer.
”US cybersecurity Executive Order 14028 kräver användning av nätfiske-resistent MFA på alla enhetsplattformar. På mobil, medan kunder kan tillhandahålla användarcertifikat på sin personliga mobila enhet för att användas för autentisering, är detta i första hand genomförbart för hanterade mobila enheter. Men den här nya offentliga förhandsvisningen låser upp stöd för BYOD, säger Vimala Ranganathan, produktchef för Microsoft Entra, i tillkännagivandet blogg posta.
Hur Microsoft/YubiKey phishing-resistent autentisering fungerar
Den nya Microsoft/YubiKey-inloggningslösningen gör det möjligt för användare att tillhandahålla certifikat med en hårdvarusäkerhetsnyckel så att användare kan autentisera på iOS- och Android-enheter.
iOS-användare kan registrera sig via Yubico Authenticator för iOS app och kopiera YubiKeys offentliga certifikat till iOS-nyckelringen. Sedan kan användare välja YubiKey-certifikatet från certifikatväljaren för att logga in och ange en unik PIN-kod via YubiKey-autentiseringsverktyget.
På Android kan användare aktivera Azure AD CBA-stöd via den senaste MSAL utan behov av YubiKey Authenticator-appen. YubiKey kan anslutas via USB, där användaren kan välja ett certifikat och ange PIN-koden för att bli autentiserad för att komma åt applikationen.
Det här tillvägagångssättet innebär att det finns mindre risk för identitetsstöld till följd av nätfiske eller social ingenjörskonst.
”Microsofts mobila certifikatbaserade lösning tillsammans med hårdvarusäkerhetsnycklarna är en enkel, bekväm FIPS-certifierad nätfiske-resistent MFA-metod”, sa Ranganathan.
Det lösenordslösa autentiseringsekosystemet
Med hotet om identitetsstöld förblir högt, globalt lösenordslös autentisering marknadsföra fortsätter att växa. Forskare räknar med att det kommer att öka från ett värde på 12,79 miljarder dollar 2021 till 53,64 miljarder dollar 2030.
Sedan FIDO-alliansens åtagande tillkännagavs i början av detta år har en rad leverantörer börjat förnya sina egna lösenordsfria autentiseringslösningar.
Nyligen introducerade Google lösenordslös autentisering till Chrome och Android genom att göra det möjligt för användare att skapa och använda lösenord för att logga in på Android-enheter. Användare kan lagra dessa lösenord på sina telefoner och använda dem för att logga in lösenordsfritt.
På samma sätt erbjuder Apple en lösenordslösning för iOS 16 och macOS Ventura-enheter, så att användare kan logga in på appar och webbplatser med Face ID eller Touch ID.
Men enligt Yubicos meddelande blogginlägg, ”YubiKey är den enda FIPS-certifierade nätfiske-resistenta lösningen som är tillgänglig för Azure AD på mobil.”