Forefront + PointSharp del 2 om flerfaktorautentisering

Jag har tidigare skrivit om hur du med hjälp av PointSharp ID och PointSharp SecureActiveSync kan höja säkerheten för din Exchange ActiveSync. Här kommer en fortsättning som handlar om hur du kan nyttja PointSharp ID även för flerfaktor- autentisering till webbpubliceringar. Låt oss ta exemplet att publicera Outlook Web App (OWA) för att på ge en säkrare tillgång även till den Exchange tjänsten.

OTP metoder
Det finns flera tillvägagångssätt att ge användaren en engångskod (även kallat One-Time Password OTP). Det klassiska som man nyttjar till flera banktjänster med mera är hårdvarudosor, det här har även PointSharp, men jag kan tycka att det är lite bökigt att kräva att användaren skall ha med sig denna dosa. Det finns då några andra smart alternativ, dels finns en kort-dosa som är i samma storlek som ett bankkort/smartcard och får lätt plats i plånboken, kortet har en liten display och med hjälp av ett enkelt tryck generar den OTP koder. Ett annat alternativ är att använda telefonen som man ändå alltid har med sig. Här finns två alternativ, dels kan man få ett SMS skickat vid inloggning med en engångskod, dels finns det även OTP appar till i stort sett varenda telefonmodell vilket jag tycker är den smidigaste lösningen. Telefonen har man alltid med sig och man slipper kostnad för SMS eller eventuella fördröjningar.

image

Distribution av PointSharp app
Distribution av PointSharp appen är enkel från PointSharp Admin gränssnittet där man kan välja att skicka ut den via SMS eller E-post till valfri användare och det finns en dosa per mobilplattform. Användaren får då ett meddelande med en länk till appen från appstore/marketplace samt en personlig kod som knyter OTP dosan till användaren. Användaren kan även ta hem appen på egen hand för att i efterhand få en kod och knyta appen till användarkontot.

Inloggningsformulär
Som det ser ut i nuvarande PointSharpversion så finns det bara ett specialanpassat gränssnitt för inloggningsformulär med SMS. Om man använder annan OTP metod så nyttjar man standard inloggningsformulären som i exemplet nedan är Exchange OWA formuläret.
Här anger man sitt användarnamn och lösenord (vilket kan vara användarens AD lösenord alternativt ett unik PointSharplösenord) följt utav genererad OTP kod i samma lösenordsfält.

image

Naturligtvis kan man editera gränssnittet själv och förklara mer tydligt för användaren hur han skall ange kombinationen av lösenord och OTP.
Det finns även planer från PointSharp att komma med fler modifierade formulär för att kunna skilja på lösenord och OTP.

Det här är en perfekt metod för att höja säkerheten till de webbtjänster som du publicerar via TMG med en stark autentisering, som då innebär något användaren vet (lösenordet) samt något den har (dosan).

En fördel kan också vara att man har ett unikt lösenord via PointSharp för alla webbtjänster och ActiveSync för att på så sätt hindra att användaren anger sitt AD lösenord på främmande datorer så som Internet-Caféer och liknande.

Advertisements
Det här inlägget postades i Forefront TMG och har märkts med etiketterna . Bokmärk permalänken.

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s