1. (Valgfritt) Anskaffelse av nødvendige maskinvarekomponenter
2. (Valgfritt) Forstå biometriske enheter og operativsystemalternativer
3. Aktiver tofaktorautentisering for maskinvare
4. Brukerne registrerer enhetene sine
I tillegg til den tradisjonelle innloggingen via e-post (brukernavn) og passord, tilbyr Provet Cloud også ulike innloggingsalternativer med passord. Disse funksjonene bruker systemet WebAuthn.
maskinvareinnloggingsalternativet betyr bruk av fysiske tokens (nøkler) med en NFC-leser koblet til en datamaskin. Brukerne trenger bare å bruke nøkkelen og taste inn en firesifret PIN-kode for å få tilgang til Provet Cloud i den enkleste konfigurasjonen. Tokenene og NFC-leserne leveres ikke av Provet Cloud, men må kjøpes separat. Dette er best egnet for delte arbeidsstasjoner på klinikken. Klinikken kan kjøpe én NFC-leser for hver felles arbeidsstasjon og sikkerhetsnøkler til alle ansatte som trenger tilgang.
Med biometrisk påloggingsalternativ kan brukerne utnytte biometriske enheter som kanskje allerede er tilkoblet eller integrert i enheter, for eksempel en fingeravtrykksleser på en bærbar datamaskin. Apples Face ID og Touch ID støttes, i tillegg til lignende funksjoner på Windows 10-enheter. I den enkleste konfigurasjonen trenger brukerne bare å bruke den biometriske metoden og taste inn en firesifret PIN-kode for å få tilgang til Provet Cloud. Dette anbefales hvis brukerne har personlige enheter som støtter biometrisk autentisering.
Notat
Passkey-påloggingsalternativene har blitt testet med Chrome-nettleseren på macOS og Windows 10. Det er ikke sikkert at alternativene fungerer korrekt med andre kombinasjoner av nettleser og operativsystem.
Hvis du velger å sette opp alternativer for maskinvare-sikkerhetsnøkler, trenger du kompatible NFC-enheter og sikkerhetsnøkler som kan kjøpes direkte fra produsenter eller velutstyrte nettbutikker. I teorien skal også innebygde NFC-lesere fungere. Leserne bør være koblet til arbeidsstasjoner som trenger funksjonaliteten.
Feitian R502-CL er en smartkort-/NFC-leser som har vist seg å være kompatibel med kontaktløs WebAuthn-verifisering på Windows 10-enheter. Den er testet med både Feitian- og Yubico Security Key NFC-enheter.
Feitian-leseren anbefales fordi den har:
-
Lavere pris (ca. 27 € vs. 40 €, ekskl. mva.)
-
Lengre ledning
-
Mangel på innebygde høyttalere (gir ikke lyd fra seg når kort/taster leses)
Tips: Vi anbefaler å kjøpe direkte fra Feitian for lavest mulig pris.
ACS ACR1252U er en NFC-leser som har vist seg å være egnet for kontaktløs autentisering ved bruk av Windows 10. ACR1252U (Amazon link) skal være tilgjengelig fra ulike nettbutikker og lokale elektronikkbutikker. Leseren må kobles til datamaskinen ved hjelp av en USB-tilkobling.
Autentiseringen skjer ved at en fysisk sikkerhetsnøkkel leses av NFC-leseren. Alle brukere som trenger funksjonaliteten, trenger sin egen nøkkel.
Security Key NFC fra Yubico er det anbefalte alternativet for denne arbeidsflyten. Nøkkelen støtter både tofaktorverifisering og passordløs innlogging. NFC-variantene kan også brukes med kompatible NFC-lesere når du bruker Windows 10, eller med NFC-aktiverte smartenheter som iPhone eller nyere Android-telefoner.
Yubico tilbyr en programvare kalt YubiKey Manager som gjør det mulig å tilbakestille PIN-koden for maskinvaren, tilbakestille hele enheten eller endre hvilke grensesnitt sikkerhetsnøkkelen fungerer på (du kan f.eks. deaktivere NFC).
Merk at det har vært mange versjoner av Security Keys, og at de eldste enhetene mangler FIDO2-støtte og dermed ikke kan brukes til passordløs autentisering.
Selskapet som produserer den anbefalte NFC-leseren, lager også passende sikkerhetsnøkler. Yubico-nøkkelen anbefales her fordi den gir bedre brukervennlighet - den logger inn nesten umiddelbart etter at PIN-koden er oppgitt, mens Feitian-nøklene har en forsinkelse på 4 sekunder.
Hvis du velger biometri, må du sette deg inn i enhetens funksjoner og begrensninger.
Windows 10-datamaskiner kan brukes til tofaktorverifisering eller passordfri pålogging ved hjelp av Windows Hello, som støtter PIN-koder, ansiktsgjenkjenning og fingeravtrykkslesing. Dette kan gjøres enten ved hjelp av integrert maskinvare (f.eks. innebygde lesere i bærbare datamaskiner) eller eksternt tilbehør (f.eks. webkameraer med Windows Hello-støtte).
Windows Hello anbefales ikke å brukes med delte Windows-brukerkontoer. Det går fint å bruke en delt datamaskin med separate Windows-brukerkontoer.
Passordinnstillingene kan administreres i Innstillinger > Kontoer > Påloggingsalternativer. Her kan brukerne konfigurere eller endre PIN-koden sin, administrere lagrede fingeravtrykk, vise lagret legitimasjon (for passordfri autentisering), administrere Windows Hello-funksjoner og andre funksjoner.
VeriMark Pro Key annonseres som en FIDO2-kompatibel fingeravtrykksleser. Den fungerer som en Windows Hello autentisering. Som sådan er den kun kompatibel med Windows 10-enheter.
Fingeravtrykk må først legges til på en Windows-konto, og først da kan de brukes til innlogging i Provet Cloud. Det er ikke mulig å bruke ulike fingeravtrykk til å logge på ulike Provet Cloud-kontoer fra én og samme Windows-brukerkonto. I stedet må hver bruker på en datamaskin ha sin egen Windows-konto som de må bruke til pålogging.
Denne enheten anbefales hvis du ønsker å implementere Windows Hello-pålogging på datamaskiner uten innebygd fingeravtrykksleser eller kompatibelt webkamera for ansiktsgjenkjenning. Den bør ikke kjøpes som en bærbar biometrisk sikkerhetsnøkkel - den kommende YubiKey Bio vil være en bedre kandidat for denne typen implementering. YubiKey Bio er for øyeblikket bare tilgjengelig gjennom et lukket forhåndsvisningsprogram.
Apples Face ID- og Touch ID-funksjoner er tilgjengelige for innlogging med passerkort, med henholdsvis ansiktsgjenkjenning og fingeravtrykk. Se bruksanvisningen til enheten din for å se hvilke funksjoner som støttes.
I Google Chrome på Apple-enheter kan brukerne administrere nettautentiseringene sine i Innstillinger > Personvern og sikkerhet > Sikkerhet > Administrer sikkerhetsnøkler.
Dette gjør det mulig for brukere å sette opp eller endre PIN-koden, administrere lagrede fingeravtrykk, se lagret legitimasjon (for passordfri autentisering) og tilbakestille enheten helt ved behov.
Hovedkontrollområdet kan nås fra Innstillinger > Brukere > Passordinnstillinger. Der finnes det to relevante innstillinger, med flere moduser å velge mellom. Disse innstillingene gjelder for hele organisasjonen.
Aktiver tofaktorautentisering for maskinvare (Webautentisering) - Denne innstillingen aktiverer både maskinvareinnlogging og biometrisk innlogging med passkode.
Webautentiseringsmodus - Her kan du velge mellom påloggingsalternativene som er beskrevet nedenfor.
Kun tofaktorverifisering - I denne modusen må brukerne oppgi e-postadressen (brukernavn) og passordet sitt på vanlig måte for innlogging, OG verifisere med en av de tilgjengelige passordene.
To-faktor verifisering og passordfri innlogging - I denne modusen kan brukerne enten bruke e-postadressen (brukernavn) og passord som vanlig innloggingsmetode MED ekstra verifisering ELLER logge inn kun ved hjelp av autentiseringsenheten (passordet er tilgjengelig for dem).
Kun passordløs innlogging - I denne modusen kan brukeren logge inn med e-postadressen (brukernavn) og passordet på vanlig måte, ELLER bare bruke autentiseringsenheten (passordmetoden som er tilgjengelig for dem).
|
Modus |
Innlogging med e-post og passord |
Authenticator-pålogging |
|
Kun to-faktor (standard) |
Mulig, autentisering kreves |
Ikke mulig |
|
To-faktor og passordfri |
Mulig, autentisering kreves |
Mulig |
|
Kun uten passord |
Mulig, autentisering ikke nødvendig |
Mulig |
Når tofaktorautentiseringen er aktivert som beskrevet ovenfor, kan brukerne registrere nye enheter og administrere eksisterende enheter fra brukerprofilsiden som er tilgjengelig øverst til høyre, ved å velge menyen som åpnes fra brukernavnet.
På brukerprofilsiden finnes det en seksjon som heter "Flerfaktorautentisering". Der kan de se de registrerte enhetene eller legge til en ny enhet ved hjelp av knappen "Registrer enhet".
De kan også fjerne eller redigere eksisterende autentiseringsenheter, men sletting av en passnøkkelautentisering vil ikke fjerne den fra autentiseringssystemets minne - andre, enhetsavhengige metoder må brukes for å slette legitimasjonen fra enheten hvis det er ønskelig.
Passord - Når de velger å registrere en ny enhet, kommer det opp en ny dialog. For å legge til en ny enhet må de først bekrefte sitt eksisterende Provet Cloud-brukerpassord for å kunne registrere en enhet.
Passordfritt alternativ - Deretter kan de velge om påloggingen skal være passordfri eller ikke. Dette anbefales for å gjøre det enklere å bruke, men det er ikke sikkert at det fungerer med alle enheter. Vær oppmerksom på at hvis alternativet for passordløs innlogging er aktivert, kan det ikke deaktiveres uten å fjerne og registrere enheten på nytt.
Autentiseringstype - Til slutt kan de velge om de vil legge til en bærbar autentisering som YubiKey+NFC-leseren nevnt ovenfor, eller en autentisering på enheten som en fingeravtrykksleser eller Face ID. Som det står i informasjonsteksten, kan en bærbar autentisering flyttes mellom datamaskiner, mens dataene til en autentisering på enheten lagres på selve enheten (Windows Hello, Apples Touch ID).
Kallenavn - Merk at du også kan gi enheten et kallenavn, men bare ved å redigere enheten etter den første registreringen.
For å hjelpe brukere som blir utestengt fra kontoen sin hvis autentiseringen av en eller annen grunn mislykkes, finnes det en funksjon for sikkerhetskopieringskoder. Sikkerhetskoder er et sett med 10 alfanumeriske koder på 8 tegn som skiller mellom store og små bokstaver, og som kan brukes til å omgå autentiseringssystemet etter å ha tastet inn e-postadressen (brukernavn) og passordet på riktig måte.
Sikkerhetskopieringskoder kan genereres fra brukerens profilside. En knapp for dette vises ved siden av knappen for enhetsregistrering når minst én enhet er lagt til.
En dialog viser kodene og gjør det også mulig å generere nye koder hvis alle kodene er brukt eller kompromittert. Sikkerhetskopikodene bør lagres eksternt, på et sikkert, men lett tilgjengelig sted for brukeren.
Notat
Alternativet for sikkerhetskopikode er ikke synlig på brukerprofilsiden hvis alternativet for kun passord brukes, ettersom brukerne kan logge inn på vanlig måte med e-postadressen (brukernavnet) og passordet hvis enheten ikke er tilgjengelig eller ikke fungerer.
Administratorer med brukeradministrasjonsrettigheter kan sjekke og kontrollere brukernes multifaktorautentisering ved å åpne brukerprofilen fra Innstillinger > Brukere.
Ved å velge alternativet "Tilbakestill totrinnsautentiseringsinformasjonen" og lagre, fjernes alle brukerens enheter, og de kan begynne å gjenopprette oppsettet ved å logge inn på vanlig måte med e-postadressen (brukernavn) og passordet sitt.
Oppdatert
Kommentarer
0 kommentarer
Logg på hvis du vil legge inn en kommentar.