FIDO2 key vraag over werking met Azure

dinsdag 20 december 2022 09:24

Acties:

0 Henk 'm!

Topicstarter

Mijn vraag
Momenteel ben ik opzoek naar een andere manier van inloggen voor Azure/O365 zaken. Ik wil afstappen van wachtwoord + MFA en overstappen naar passwordless of wachtwoord en MFA door middel van 1 key in plaats van een app.

Nu loop ik alleen tegen een limiet aan dat FIDO2 max 25 users lijkt te ondersteunen per key? Is het mogelijk om onbeperkte users/MFA zaken te ondersteunen met Azure/O365?

Relevante software en hardware die ik gebruik
Yubico Gen5 key

Wat ik al gevonden of geprobeerd heb
Op de website van Yubico zeggen ze dat FIDO2 max 25 users ondersteunt en Microsoft geeft aan alleen met FIDO2 te werken en geen FIDO U2F. Ik kan nergens echt iets vinden hoe ik dit kan omzeilen via welke weg dan ook, behalve meer keys kopen. Ik hoop dat er toch een manier is, die ik zelf over het hoofd zie.

Iemand een idee?

Alvast bedankt.

dinsdag 20 december 2022 13:33

Acties:

+1 Henk 'm!

br00ky

Moderator Harde Waren

Ik gooi deze naar Privacy en beveiliging. Daar past je vraag imo beter.

dinsdag 20 december 2022 14:46

Acties:

0 Henk 'm!

BytePhantomX

Ik ken deze limiet niet, maar waarom zou je meerdere users op 1 key willen?
Het idee is dat die key persoonlijk is en per gebruiker je een key uitgeeft.

En voor AzureAD kun je af met de blauwe security keys. Die kosten ongeveer de helft. https://www.yubico.com/products/security-key/

Daarnaast kun je de key gewoon instellen als MFA optie en daarna de rest van je MFA opties verwijderen. Voor passwordless zal je misschien nog wat stappen moeten ondernemen.

Ps, je wilt echt niet met maar 1 key werken. Als je die key kwijt raakt kun je nergens meer bij. Of meerdere admins die allemaal 1 key hebben en het van elkaar kunnen opvangen. Of voor jezelf minimaal twee keys hebben waarbij je er eentje veilig opbergt voor het geval je de primaire kwijt raakt.

T.a.v. AzureAD zou ik daarnaast ook een break glass account inrichten met een sterk wachtwoord, zonder MFA en met alerting als die gebruikt wordt. Alles om te voorkomen dat je jezelf buiten sluit.

[ Voor 72% gewijzigd door BytePhantomX op 20-12-2022 14:49 ]

dinsdag 20 december 2022 15:31

Acties:

0 Henk 'm!

erwin26

Topicstarter

BytePhantomX schreef op dinsdag 20 december 2022 @ 14:46:
Ik ken deze limiet niet, maar waarom zou je meerdere users op 1 key willen?
Het idee is dat die key persoonlijk is en per gebruiker je een key uitgeeft.

En voor AzureAD kun je af met de blauwe security keys. Die kosten ongeveer de helft. https://www.yubico.com/products/security-key/

Daarnaast kun je de key gewoon instellen als MFA optie en daarna de rest van je MFA opties verwijderen. Voor passwordless zal je misschien nog wat stappen moeten ondernemen.

Ps, je wilt echt niet met maar 1 key werken. Als je die key kwijt raakt kun je nergens meer bij. Of meerdere admins die allemaal 1 key hebben en het van elkaar kunnen opvangen. Of voor jezelf minimaal twee keys hebben waarbij je er eentje veilig opbergt voor het geval je de primaire kwijt raakt.

T.a.v. AzureAD zou ik daarnaast ook een break glass account inrichten met een sterk wachtwoord, zonder MFA en met alerting als die gebruikt wordt. Alles om te voorkomen dat je jezelf buiten sluit.

Het gaat om meerdere accounts waarbij MFA ingesteld moet worden en meerdere collega's bij moeten kunnen. Nu hebben we allemaal de MS app hiervoor, maar als je vrij bent krijg je elke keer een pop-up voor goedkeuren van MFA. Hier willen we vanaf en willen we iets anders hebben, bijvoorbeeld een key. En we nemen er dan 2 voor het geval dat.

Een break-glass account maken wij gelukkig ook aan

. Stel beide keys zijn kwijt of kapot etc. dan hebben we uiteraard dit account nog.

Zover ik begreep van Microsoft en Yubico ondersteunt Microsoft alleen FIDO2. Kan goed dat ik het verkeerd begrijp wat ze zeggen hoor. Ik wil namelijk niet passwordless inloggen, ik wil de key gebruiken als MFA inderdaad. Dus de FIDO2 U2F optie.

https://www.microsoft365....ection-met-een-fido2-key/ << Dit heb ik gevolgd om in te stellen. Dit is passwordless en dat werkt prima, maar dan kan ik max 25 users op 1 key zetten.

Wat ik dus zoek is de FIDO U2F optie/Key gebruiken als MFA en niet als passwordless sign in optie. Mits dit kan natuurlijk of via andere key etc. Als we, maar van die APP af kunnen op een gemakkelijke manier.

dinsdag 20 december 2022 15:42

Acties:

0 Henk 'm!

BytePhantomX

Dit lijkt op een MSP / IT dienstverlener waar accounts gedeeld worden.

Puur vanuit security zou iedereen een eigen persoonlijk account moeten hebben, maar goed dat zal al wel afgeschoten zijn vanwege kosten of haalbaarheid.

Alternatief: richt een goede wachtwoord manager in, zet daar MFA op met een persoonlijk yubikey en sla in die wachtwoord manager de TOTP van de mfa op.

Pré van een yubikey t.o.v. een totp is vooral dat je beter bestand bent tegen phishing. Maar als jullie toch al accounts delen, dan maakt dat niet zoveel meer uit. Dan lijkt me bovenstaande oplossing veel beter werkbaar. En je hebt ook nog eens een audit log m.b.t. wie welk account op welk moment geraadpleegt heeft, mits je wachtwoord manager dat ondersteund.

Hoe je hem configureert als extra MFA optie ipv passwordless durf ik niet te zeggen, maar volgens mij maakt dat weinig verschil tussen FIDO2 en FIDO2 U2F.

Ps hardware keys zijn bedoeld voor persoonlijk gebruik. Ik zou de grenzen niet op willen zoeken met dit soort toepassingen.

[ Voor 10% gewijzigd door BytePhantomX op 20-12-2022 15:51 ]

dinsdag 20 december 2022 16:00

Acties:

+1 Henk 'm!

erwin26

Topicstarter

BytePhantomX schreef op dinsdag 20 december 2022 @ 15:42:
Dit lijkt op een MSP / IT dienstverlener waar accounts gedeeld worden.

Puur vanuit security zou iedereen een eigen persoonlijk account moeten hebben, maar goed dat zal al wel afgeschoten zijn vanwege kosten of haalbaarheid.

Alternatief: richt een goede wachtwoord manager in, zet daar MFA op met een persoonlijk yubikey en sla in die wachtwoord manager de TOTP van de mfa op.

Pré van een yubikey t.o.v. een totp is vooral dat je beter bestand bent tegen phishing. Maar als jullie toch al accounts delen, dan maakt dat niet zoveel meer uit. Dan lijkt me bovenstaande oplossing veel beter werkbaar. En je hebt ook nog eens een audit log m.b.t. wie welk account op welk moment geraadpleegt heeft, mits je wachtwoord manager dat ondersteund.

Hoe je hem configureert als extra MFA optie ipv passwordless durf ik niet te zeggen, maar volgens mij maakt dat weinig verschil tussen FIDO2 en FIDO2 U2F.

Ps hardware keys zijn bedoeld voor persoonlijk gebruik. Ik zou de grenzen niet op willen zoeken met dit soort toepassingen.

Iedereen heeft zijn eigen persoonlijke account met X rechten op de Azure tenants. Echter wordt het hoofd account gedeeld en daar willen we MFA op, maar zonder de app.

TOPT zonder MFA op het account is een no go, aangezien je niet kan zien wanneer het account is ingelogd in Azure. Tenzij je monitoring wilt hebben op dat account, maar dit staat bij onze meeste tenants uit, in verband met beveiliging. Geen Azure plan aanwezig als het niet nodig is. Zo kan een aanvaller nooit de subscriptie over zetten naar zijn eigen tenant en op onze kosten de VM's aanmaken en bitcoins etc gaan minen. Je hebt een Azure Plan nodig voor VM's aan te maken, die dan weer gekoppeld is aan jou.

Jammer, hopelijk hebben andere mede tweakers ook nog goede ideeën

Vraag

Alle reacties