Was ändert sich durch moderne Authentifizierung?

Viele Organisationen haben damit begonnen, Cloud-Dienste wie Exchange Online und Azure AD einzuführen. Mit der zunehmenden Nutzung von Cloud-Diensten verbessern sich auch die Sicherheitsverfahren.

Sich keine Gedanken über lokalen Exchange-Speicher und Redundanz machen zu müssen, ist für Unternehmen oft Grund genug, den Schritt zu wagen. Allerdings bringt der Wechsel zur Cloud auch Sicherheitsbedenken mit sich, da jede integrierte Anwendung nun über das Internet eine Verbindung zur Exchange Online-Umgebung herstellen muss und nicht mehr direkt zur lokalen Exchange-Umgebung.

Die Exchange Online-Basisauthentifizierung wird geschlossen – Cengiz YILMAZ

Das bedeutet, dass auch andere lokale Anwendungen und Skripte die Cloud erreichen müssen, um eine Verbindung zum Postfach eines Benutzers herzustellen. Jahrelang erlaubte Microsoft in Exchange Online die Standardauthentifizierung, was bedeutete, dass lediglich ein Benutzername und ein Kennwort erforderlich waren. Um die Sicherheit zu erhöhen, kündigte Microsoft jedoch Pläne an, die Möglichkeit, eine Verbindung zu Exchange Online über die Standardauthentifizierung herzustellen, einzustellen und stattdessen OAuth 2.0 (auch als moderne Authentifizierung bekannt) zu erfordern. OAuth ist ein offener Standard, der für viele Anwendungen und Websites verwendet wird und den Zugriff auf andere Systeminformationen gewähren kann, ohne ihnen jedoch ein Passwort zu geben.

Ab dem 1. September 2022 begann Microsoft schließlich mit der Entfernung der Standardauthentifizierung und forderte alle Mandantenadministratoren auf, die moderne Authentifizierung für ihre Benutzer zu aktivieren.

image005 125

Was ist Basisauthentifizierung?

Seit Jahren verlassen sich Windows (und andere Systeme) auf Protokolle wie CHAP, NTLM und Kerberos, die über das Internet nicht besonders gut funktionieren. Die Authentifizierung für Internetressourcen erfolgt in der Regel über die Basisauthentifizierung, die den Vorteil hat, dass sie sehr einfach ist. Benutzername und Passwort in einem einzigen Header-Feld, im Klartext, base64 wurde in die Kodierung einbezogen. Daher musste die Standardauthentifizierung mit SSL kombiniert werden, um die Header zu verschlüsseln (denken Sie an das Sprichwort: Authentifizieren Sie sich NIEMALS auf einer Website, die nicht SSL-geschützt ist :)) und um die Anmeldeinformationen des Benutzers zu schützen. Allerdings gibt es auch bei der Verwendung von HTTPS immer noch eine Reihe von Schwachstellen bei der Basisauthentifizierung. Erstens wird der Authentifizierungsheader bei jeder Anfrage gesendet, sodass die Möglichkeiten zur Erfassung von Anmeldeinformationen praktisch unbegrenzt sind. Zweitens wird das Passwort im Browser zwischengespeichert (und möglicherweise dauerhaft gespeichert), wodurch eine weitere Angriffsfläche für Kompromittierungen geschaffen wird. Darüber hinaus basiert die gesamte Grundlage der Basisauthentifizierung auf einer sehr einfachen und veralteten Benutzernamen-Passwort-Architektur, die Microsoft zu beseitigen versucht.

Image

Darüber hinaus unterstützt die Basisauthentifizierung keine verschiedenen Berechtigungsstufen. Mit anderen Worten: Wenn jemand Zugriff auf Ihren Benutzernamen und Ihr Passwort erhält, hat er die Schlüssel zum Königreich. In der perfekten Welt von heute bestünde die beste Sicherheitspraxis darin, nur den Zugriff auf die Daten und Ressourcen zu erlauben, die für die Ausführung einer Anwendung erforderlich sind.

BasicAuthenticationUsingWCFRest 3

Was ist moderne Authentifizierung?

Bei der modernen Authentifizierung handelt es sich nicht um eine einzelne Authentifizierungsmethode, sondern um eine Kategorie mehrerer verschiedener Protokolle, die darauf abzielen, die Sicherheitslage cloudbasierter Ressourcen zu verbessern. Beispiele für moderne Authentifizierungsprotokolle sind SAML, WS-Federation und OAuth. Während sich jede in ihrer Ausführung unterscheidet, zielen sie alle darauf ab, von der klassischen Benutzername-Passwort-Methode abzuweichen und stattdessen auf tokenbasierte Anfragen zu setzen.

Daher kann der Benutzer zwar weiterhin einen Benutzernamen und ein Passwort angeben, diese werden jedoch zur Authentifizierung bei einem Identitätsanbieter verwendet, um ein Token für den Zugriff zu generieren. Dieses Token enthält spezifischere Informationen (in Form einer Anfrage), die angeben, worauf der Anforderer Zugriff hat und worauf nicht. Token verfallen außerdem und können widerrufen werden, sodass der Zugriff besser verwaltet werden kann.

Eine treffende Analogie vergleicht den Zugang zum eigenen Zuhause mit dem Zugang zu einem Hotelzimmer. Wenn Sie die Haustür Ihres Hauses aufschließen, betreten Sie das Haus und haben Zugang zu allem; Alle Schlafzimmer, Küche, Badezimmer und wenig genutzter Fitnessraum. Wenn Sie in einem Hotel eine Schlüsselkarte erhalten, haben Sie damit Zutritt zur Haustür, zu Ihrem Zimmer, vielleicht zur VIP-Lounge und zum wenig genutzten Fitnessraum. Aufgrund der Codierung der Schlüsselkarte haben Sie jedoch keinen Zugang zu den Zimmern anderer Gäste, zum Wäscheschrank oder zu den Mitarbeitern vorbehaltenen Bereichen. Die Hotelschlüsselkarte kann auch über weitere Funktionen verfügen, wie z. B. einen zeitabhängigen Zugang zu bestimmten Bereichen (z. B. ist der Zugang zum Schwimmbad nach 9 Uhr uneingeschränkt möglich). Am wichtigsten ist, dass die Schlüsselkarte vom Hotel dauerhaft gesperrt werden kann, wenn Sie unweigerlich vergessen, sie beim Check-out zurückzugeben.

MApost2-Daumen

Innerhalb der Cloud helfen diese Token dabei, den Zugriff auf einzelne Ressourcen zu verwalten. Dazu können Microsoft-Ressourcen oder Anwendungen von Drittanbietern gehören, die mit der Office 365-Identität des Benutzers verknüpft sind. Diese Erweiterbarkeit ist vielleicht der anspruchsvollste Teil dieser Architektur. Wenn Sie schon einmal Ihr Facebook- oder Google-Konto verwendet haben, um auf andere Websites oder Apps zuzugreifen, haben Sie das Konzept bereits kennengelernt.

Diese Token können Informationen über mehr als nur Ihr Benutzerkonto enthalten, einschließlich Details wie den aktuellen Computer oder den aktuellen Standort, und ermöglichen so eines der besten Sicherheitstools von Microsoft. Mit dem bedingten Zugriff kann eine Organisation Regeln erstellen, die den Zugriff basierend auf Standort oder Gerät einschränken. Beispielsweise kann sich eine Organisation dafür entscheiden, den Zugriff von bestimmten Ländern oder persönlichen Geräten aus nicht zuzulassen.

Sie denken vielleicht: „Ja, aber ich muss immer noch einen Benutzernamen und ein Passwort eingeben“, aber diese Anforderung verschwindet möglicherweise. Mit Technologien wie Seamless Single Sign-On, Windows Hello und der kennwortlosen Authentifizierung mit der Microsoft Authenticator-App wurde die Anzahl der Fälle, in denen Sie Ihr Kennwort tatsächlich eingeben müssen, erheblich reduziert. Ich persönlich kann einerseits abzählen, wie oft ich im letzten Monat mein Passwort eingeben musste

Basic Authentication
Windows (und andere Systeme) basieren auf Protokollen wie CHAP, NTLM und Kerberos, die über das Internet nicht besonders gut funktionieren. Die Authentifizierung für Internetressourcen erfolgt in der Regel über die Basisauthentifizierung, die den Vorteil hat, dass sie sehr einfach ist. Der Benutzername und das Passwort waren in einem einzigen Header-Feld im Klartext in Base64-Kodierung enthalten. Daher musste die Standardauthentifizierung mit SSL kombiniert werden, um die Header zu verschlüsseln.

Moderne Authentifizierung

Dabei handelt es sich nicht um eine einzelne Authentifizierungsmethode, sondern um eine Kategorie mehrerer verschiedener Protokolle, die darauf abzielen, die Sicherheitslage cloudbasierter Ressourcen zu verbessern. Beispiele für moderne Authentifizierungsprotokolle sind SAML, WS-Federation und OAuth. Während sich jede in ihrer Ausführung unterscheidet, zielen sie alle darauf ab, von der klassischen Benutzername-Passwort-Methode abzuweichen und stattdessen auf tokenbasierte Anfragen zu setzen. Während der Benutzer also noch einen Benutzernamen und ein Passwort angeben kann (vorerst; mehr dazu weiter unten), wird es zur Authentifizierung bei einem Identitätsanbieter verwendet, um ein Token für den Zugriff zu generieren. Dieses Token enthält spezifischere Informationen (in Form einer Anfrage), die angeben, worauf der Anforderer Zugriff hat und worauf nicht.

Was ändert sich, wenn ich die moderne Authentifizierung verwende?

Während es bei der modernen Authentifizierung um die Kommunikation zwischen Client und Server geht, sind es die Schritte, die bei der Konfiguration des MA unternommen werden evoSTS (ein von Azure AD verwendeter Sicherheitstokendienst) bewirkt, dass er als Authentifizierungsserver für den lokalen Skype for Business- und Exchange-Server festgelegt wird.

Durch den Wechsel zu evoSTS können Ihre lokalen Server OAuth (Token-Ausgabe) nutzen, um Ihre Clients zu autorisieren. Außerdem können Ihre lokalen Server Sicherheitsmethoden verwenden, die häufig in der Cloud verwendet werden (z. B. Multi-Faktor-Authentifizierung). Zusätzlich, evoSTSstellt Token aus, die es Benutzern ermöglichen, Zugriff auf Ressourcen anzufordern, ohne ihr Passwort als Teil der Anfrage anzugeben. Unabhängig davon, wo Ihre Benutzer gehostet werden (online oder vor Ort) und welcher Standort auch immer die erforderliche Ressource hostet, wird EvoSTS nach der Konfiguration der modernen Authentifizierung zum Kern der Autorisierung von Benutzern und Clients.

Was ändert sich nicht? 

Unabhängig davon, ob Sie sich in einer Split-Domain-Hybridstruktur befinden oder Skype for Business und Exchange-Server vor Ort verwenden, stellen Sie zunächst sicher, dass alle Benutzer innerhalb des Unternehmens muss sich authentifizieren. In einer hybriden Implementierung moderner Authentifizierung, LyncEntdeckungund AutoDiscovery beide verweisen auf Ihren lokalen Server.

Alle Szenarien für lokale Server umfassen die Einrichtung einer modernen Authentifizierung vor Ort (es gibt tatsächlich eine Liste unterstützter Topologien für Skype for Business), sodass sich der für die Authentifizierung und Autorisierung verantwortliche Server in der Microsoft Cloud befindet (so heißt der Sicherheitstokendienst von Azure AD). „evoSTS“) und Aktualisieren von Azure AD über die URLs oder Namespaces, die von Ihrer lokalen Skype for Business- oder Exchange-Installation verwendet werden. Daher übernehmen lokale Server die Abhängigkeit von der Microsoft Cloud. Diese Aktion ausführen Hybride Man kann es sich als Konfiguration der Authentifizierung vorstellen.


Ähnliche Artikel – Was die moderne Authentifizierung verändert

Ein Kommentar zu „Was verändert die moderne Authentifizierung?“

Kommentar