Geekly articles weekly

Encore un autre examen de la fonctionnalité des jetons matériels OATH dans Azure Cloud MFA

Il y a environ trois mois, Microsoft a annoncé la disponibilité des jetons matériels OATH TOTP dans Azure MFA. La fonctionnalité est toujours en «aperçu public», mais nous voyons déjà beaucoup de nos clients utiliser la fonctionnalité en production. Comme nous testons cela depuis quelques mois dans notre environnement de laboratoire et, dans de nombreux cas, nous aidons également nos clients à activer la fonctionnalité, nous avons certaines observations qui, selon nous, méritent d'être partagées.

image

Prise en charge de la dérive du temps et de l'inclinaison


Il n'y a pas de spécifications exactes publiées par Microsoft sur la détection et l'ajustement de la dérive temporelle du côté serveur, mais comme ils ont mentionné que l'implémentation est basée sur la RFC 6238, cela peut signifier indirectement que la dérive temporelle est prise en charge. Les détails de la prise en charge du décalage temporel ne sont pas non plus divulgués, mais il était plus facile de le découvrir en expérimentant à l'aide de notre ensemble d'outils TOTP ; il s'avère que Azure MFA autorise les codes OTP dans un intervalle de temps de 900 secondes . Avec une telle tolérance d'asymétrie, les ajustements de dérive temporelle ne sont même pas nécessaires.

Jeton matériel «unicité»


Étonnamment, Azure MFA permet d'attribuer le même jeton matériel à plusieurs utilisateurs. Il permet non seulement de dupliquer les graines de base32, mais également les numéros de série et les modèles, même au sein du même locataire.

Aspects relatifs aux licences


Ce n'est pas une nouvelle observation, il a été clairement mentionné que l'activation du jeton matériel nécessite des licences Azure AD P1 ou P2. Nous avions quelques clients prêts à bénéficier de l'introduction de jetons matériels avec leurs abonnements Office 365, mais pas prêts à payer environ 5-6 EUR par utilisateur et par mois juste pour une fonctionnalité aussi banale.
Jeton matériel programmable C300 Notre recommandation dans ce cas est d'utiliser l'un de nos jetons matériels programmables . Aucune licence supplémentaire n'est requise pour cela (car nos jetons programmables sont « vus » par le système comme des applications Authenticator), car MFA est disponible sur tous les abonnements Office 365 à partir de Business Essentials.

Source: https://habr.com/ru/post/fr438366/

More articles:


All Articles