La clave para una autenticación segura sin contraseñas en Azure AD
Las contraseñas son un desastre, MFA puede ser más una solución temporal que una solución para el phishing y administrar su propia infraestructura de clave pública para certificados es mucho trabajo. El objetivo a largo plazo es pasar a credenciales sin contraseña que no puedan ser objeto de phishing.
"Las contraseñas son un gran problema: un gran problema de usabilidad y un gran problema de gestión", dijo Alex Weinert, vicepresidente de seguridad de identidad en Microsoft, a Newsmatic. "Existen diferentes formas de evitar el uso de contraseñas, y la forma anticuada es tener una contraseña de todos modos, pero respaldarla con algo más".
Desafortunadamente, debido a la ingeniería social, este método sigue siendo inseguro.
"Cada vez más, estamos pasando a credenciales resistentes al phishing, porque el problema de respaldar una contraseña con algo más es que si alguien adivina tu contraseña, puede engañarte para que apruebes la otra parte", dijo Weinert.
Las dos opciones de autenticación multifactor que se consideran resistentes al phishing son las claves de seguridad FIDO, que incluyen opciones biométricas incorporadas como Windows Hello, y la verificación de identidad personal y las tarjetas de acceso comunes.
Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivelActualizar certificados a través de ADFS es complicado y costoso
Irónicamente, si eres una organización consciente de la seguridad en una industria regulada que ya ha hecho el trabajo duro de adoptar el estándar anterior: tarjetas inteligentes que contienen un certificado de seguridad y lo validan con una autoridad de certificación en tu infraestructura, es posible que te encuentres atrapado ejecutando ADFS mientras intentas pasar a las nuevas claves FIDO. Esto es especialmente cierto para las empresas con una política BYOD.
Hasta hace poco, la única forma de utilizar PIV y CAC con Azure AD era ejecutar ADFS en tu propia infraestructura, federado con tu autoridad de certificación. Utilizar ADFS como un servidor para firmar tokens SAML significa administrar certificados de firma.
"Administrar certificados es difícil, administrar certificados de manera segura es muy difícil y la infraestructura local es extremadamente difícil de defender", dijo Weinert. "Si vas a hacerlo, quieres poder dedicar muchos recursos a ello".
La infraestructura local está propensa a ataques
No todas las organizaciones tienen esos recursos disponibles, y gran parte del impulso para mover la infraestructura de identidad a la nube se debe a lo difícil que es mantenerla segura en tus propios servidores. Weinert señaló recientes brechas de datos como ejemplo.
"El ataque casi siempre proviene de la infraestructura local", dijo. "En la mayoría de los entornos, no es tan difícil ingresar a la VPN, porque todo lo que necesito es que un usuario en ese entorno haga clic en un enlace malicioso y obtenga malware, y ahora tengo el control dentro de la VPN. A partir de ahí, es relativamente fácil hacer movimientos laterales hacia un servidor que esté haciendo algo importante, como validar certificados o firmar cosas".
Un reciente ataque colocó malware a nivel del sistema en un servidor ADFS, lo que permitió a los atacantes envolver el proceso e interceptar firmas, a pesar de que la organización estaba utilizando un HSM. Esto fue realizado por lo que Weinert llama un atacante bastante sofisticado.
Cómo proteger tu computadora de los virus: métodos y consejos"Ahora que lo han hecho, todos lo intentarán", advirtió.
Certificados móviles y Azure AD
Windows Hello, tokens FIDO y claves de acceso proporcionan la misma autenticación sólida que la autenticación basada en el servidor sin tener que ejecutar una infraestructura de certificados. Sin embargo, algunas organizaciones aún no pueden hacer ese cambio.
"El objetivo a largo plazo es que las personas no administren su PKI en absoluto, porque es mucho más fácil para ellos y es mucho más seguro" tenerlos gestionados en la nube, dijo Weinert. "La gestión de su propia PKI es algo que probablemente todos quieran evitar, pero nadie puede evitarlo instantáneamente".
La autenticación basada en certificados en Azure AD agrega soporte de tarjetas inteligentes a Azure AD, y ahora puedes establecer una política que requiere MFA resistente al phishing para iniciar sesión en aplicaciones nativas y basadas en la web en iOS y Android utilizando claves de seguridad FIDO. Esto también funciona para la aplicación Microsoft Authenticator en iOS y Android con un YubiKey para iniciar sesión en aplicaciones que no utilizan la última versión de la Biblioteca de Autenticación de Microsoft.
Usar claves de hardware permite a los equipos asignar certificados a trabajadores remotos, BYOD y otros dispositivos no administrados, sin tener que alejarse de tu infraestructura existente hasta que estés listo. También obtienes más confianza en que el certificado está protegido, porque nunca sale de la protección de hardware de la clave de seguridad: si asignas certificados directamente en los dispositivos, debes confiar en el PIN del dispositivo, y establecer una política de PIN más estricta puede ser un gran golpe para la productividad del usuario.
La buena seguridad mejora la productividad
Además de que las organizaciones obtienen una mejor seguridad, los empleados obtienen una mejor experiencia porque no tienen que asegurarse de que su dispositivo móvil se conecte con la suficiente frecuencia para tener un certificado actualizado o lidiar con tantas solicitudes de autenticación que les causa fatiga de MFA y simplemente hacen clic en "sí" en lo que podría ser un ataque de phishing. Usar un certificado, en el teléfono o a través de una clave de seguridad, significa que no necesitas solicitarle al usuario en absoluto.
¡Defiéndete! Protege tu seguridad en línea contra amenazas críticasDemasiadas organizaciones piensan que solicitar a los usuarios que inicien sesión con MFA repetidamente cada hora o dos mejora la seguridad. Según Weinert, hace lo contrario.
"Es contraproducente, y no solo porque es frustrante para el usuario", dijo. "Ahora no puedes usar una solicitud interactiva como medida de seguridad, porque van a decir 'sí' a ella".
Lo comparó con los cambios de contraseña obligados.
"A primera vista parece una buena idea, pero en realidad es la peor idea de todas", dijo Weinert. "Cambiar tu contraseña no hace otra cosa que facilitar que un atacante adivine la siguiente contraseña o adivine la contraseña que tienes ahora, porque las personas son predecibles".
Una clave de hardware también es más portátil: si alguien obtiene un nuevo teléfono, o un trabajador de primera línea inicia sesión en un quiosco compartido u obtiene un dispositivo diferente cada día, puede usar el token de inmediato.
El acceso basado en certificados de Azure AD para dispositivos móviles está en vista previa pública y, inicialmente, solo funciona con claves de seguridad YubiKey que se conectan a través de un puerto USB: Microsoft planea agregar soporte NFC, así como más proveedores de hardware.
Protege tus contraseñas con PAM: Tu aliado para la seguridadTambién se adapta a otras mejoras en Azure AD que podrían ser útiles. Si ya utilizas un YubiKey para proteger el acceso a Active Directory y ADFS, el mismo certificado en la clave de seguridad ahora te permitirá autenticarte en recursos protegidos por Azure AD, como Azure Virtual Desktop.
Combina esto con las nuevas políticas de acceso condicional granulares en Azure AD para elegir qué nivel de MFA se requiere para diferentes aplicaciones. Ahora puedes permitir el acceso a aplicaciones heredadas que pueden no admitir FIDO con opciones como TOTP sin tener que permitirlo para todas las aplicaciones.
Estas son opciones que no obligan a elegir falsamente entre productividad y seguridad, señala Weinert.
"Si limitas la productividad de alguien, como organización o usuario, siempre elegirán la productividad por encima de la seguridad", dijo. "Si quieres que las personas tengan mejores prácticas de seguridad, lo que debes hacer es hacer que la forma segura de hacer las cosas sea la forma productiva de hacerlo".
Cómo configurar un servidor VPN para hacer conexiones a través de firewallsEn Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a La clave para una autenticación segura sin contraseñas en Azure AD , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados