På plats i New York för den ledande Identity konferensen HIPConf

Knowledge Factory News
09.11.2018

Hybrid Identity Protection Conference

 

Jimmy Andersson och Andreas Kjellman från Advania på plats i New York för att ta del av det senaste på Hybrid Identity Protection Conference, förkortat HIPConf. Det är den ledande konferensen för identitetsexperter och det ger oss som företag möjlighet att träffa de bästa konsultkollegorna i branschen och höra om deras utmaningar och insikter. HipConf är efterföljaren till DEC och TEC som Quest körde i många år. Att sammanfatta HIPConf är svårt då det är en djup teknisk konferens, dvs inte så mycket trender, utan mer djupgående hur det fungerar tekniskt. Dock så var det två sessioner som var mer generella och sammanfattas nedan:

 

Säkerheten i AzureAD

Microsoft hade en session på HIP konferensen om säkerhet i Azure AD och vilka som är de vanligaste säkerhetsproblemen. De tre största problemen är: Password SprayPhishing och Breach replay.

  • Password spray är att man testar konton med kända lösenord med varianter. Bara under September 2018 så kunde Microsoft konstatera att 208,000 konton i Azure AD knäcktes då användarna använder för enkla lösenord. Den mest utnyttjade end-pointen för detta är Legacy AuthN protocols, de som framförallt äldre versioner av Outlook använder. Microsoft rekommenderar att man ska använda deras nya banned password feature (i preview) för detta problem. Om man dessutom kan så är det önskvärt att helt stänga av dessa protokoll.
  • Nästa problem är phishing. Dessa attacker är svårare att göra något åt från Azure AD utan detta blir framförallt Outlook och Exchange som får lösa detta.
  • Den sista är breach replay, alltså att användare använder samma användarnamn/lösenord på flera siter och där en av dessa har fått sina databaser hackade och publicerade. Av de 2 miljarder konton som finns i Azure AD så kunde man matcha 6 miljoner mot läckta credentials. Här rekommenderar man att slå på Password Hash Sync så att Microsoft har en möjlighet att kunna testa för detta. Som kommentar kan sägas att 82% av aktiva tenants har detta påslaget, vilket också bevisar att detta är den huvudsakliga påloggningsmetoden till Azure AD som kunder använder.

Det noterades också att av de 20 miljoner admin konton som finns idag i Azure AD så är det endast 1.7% som har MFA påslaget för dessa. För de inbyggda rollerna (Global admin, Exchange admin, conditional access admin etc) så är det inte ens en kostnad för att slå på MFA på dessa. Detta borde vara ett enkelt första steg för att skydda sina mest känsliga konton.

Mer information finns på http://aka.ms/securitysteps.

 

FIDO2

Microsoft berättade om att FIDO2 är det som gäller framåt och visade hur det fungerar med Yubicos YubikKey, framförallt så gäller hårdvarutoken som kan användas på devices oavsett om stöd för fingerprint eller liknande finns.

Alla "authenticators" (platform och roaming) kan triggas från molnet med WebAuthN fördelarna är:

  • Ingen Certificate Authority
  • Köpa i bulk och förprovisionera
  • Olika riskmodeller kan hanteras. Man bör tänka på att inte bara ha "en" lösning, exempelvis YubiKey eller Authenticator app, man bör ha flera lösningar för att täcka alla behov.

Microsoft vill standardisera på FIDO2. Man bör tänka på att FIDO2 är gjort för mänsklig interaktion och är därför inte optimalt för att användas i applikationer då det förväntas att användaren aktivt "rör" sitt token, exempelvis "fingerprint", detta kallas "user verification" och kan också beskrivas som "posession token". FIDO2 är bakåtkompatibelt och målet är att FIDO2 ska kunna hantera allt.


Read more about Knowledge Factory.


Back
?i