¿Qué es Azure AD Multi-Factor Authentication?

Spread the love
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Impactos: 8

23 / 100

¿Qué es Azure AD Multi-Factor Authentication?

La protección de los recursos en la nube es uno de los principales objetivos del grupo de seguridad.

Una de las principales formas en que los usuarios no autorizados obtienen acceso a los sistemas es mediante la obtención de una combinación válida de nombre de usuario y contraseña. Azure puede ayudar a mitigar esto con varias características de Azure Active Directory, entre las que se incluyen las siguientes:

  • Reglas de complejidad de la contraseña. Esto obligará a los usuarios a generar contraseñas (más) difíciles de adivinar.
  • Reglas de expiración de la contraseña. Puede obligar a los usuarios a que cambien sus contraseñas de forma periódica (y evitar que se utilicen contraseñas usadas anteriormente).
  • Autoservicio de restablecimiento de contraseña (SSPR). Esto permite que los usuarios restablezcan su contraseña si la han olvidado, sin necesidad de que intervenga un departamento de TI.
  • Azure AD Identity Protection. Para facilitar la protección de las identidades de la organización, puede configurar directivas basadas en el riesgo que respondan automáticamente a comportamientos de riesgo. Estas directivas pueden bloquear los comportamientos de forma automática, o bien iniciar la corrección, incluido el requisito de cambiar las contraseñas.
  • Protección de contraseñas de Azure AD. Puede bloquear las contraseñas que se usan con frecuencia y las que están en peligro a través de una lista de contraseñas prohibidas de forma global.
  • Bloqueo inteligente de Azure AD. El bloqueo inteligente ayuda a bloquear a los hackers malintencionados que intentan adivinar las contraseñas de los usuarios o que usan métodos de fuerza bruta para obtenerlas. Reconoce los inicios de sesión que proceden de usuarios válidos y los trata de forma distinta a los que provienen de hackers malintencionados y otros orígenes desconocidos.
  • Azure AD Application Proxy. Puede aprovisionar el acceso remoto con seguridad mejorada a las aplicaciones web locales.
  • Acceso de inicio de sesión único (SSO) a las aplicaciones. Esto incluye miles de aplicaciones SaaS integradas previamente.
  • Azure AD Connect. Cree y administre una identidad única para cada usuario en toda la empresa híbrida, lo que mantiene la sincronización de usuarios, grupos y dispositivos.

Todas son opciones excelentes que impiden que alguien adivine una contraseña o la obtenga mediante fuerza bruta. Pero, en ocasiones, las contraseñas se obtienen a través de la ingeniería social o prácticas de seguridad físicas deficientes (como escribir la contraseña en una nota bajo el teclado). En estos casos, las características anteriores no podrán detener una intrusión. En su lugar, a los administradores de seguridad les interesará activar Azure AD Multi-Factor Authentication (MFA).

¿Qué es Azure AD MFA?

Azure AD Multi-Factor Authentication (MFA) proporciona seguridad adicional a las identidades al requerir dos o más elementos para una autenticación completa.

Estos elementos se dividen en tres categorías:

  • Algo que sabe: que podría ser una contraseña o la respuesta a una pregunta de seguridad.
  • Algo que posee: que podría ser una aplicación móvil que recibe una notificación o un dispositivo generador de tokens.
  • Algo que es: que suele ser una propiedad biométrica, como una huella digital o un escaneo facial que se usan en muchos dispositivos móviles.

Ilustración conceptual en la que se muestran los elementos de MFA

El uso de Azure AD MFA aumenta la seguridad de las identidades al limitar el impacto de la exposición de credenciales. Para completar la autenticación, un hacker malintencionado que tenga la contraseña de un usuario también necesitaría tener su teléfono o su huella digital. La autenticación con un solo factor no es suficiente, y sin la autenticación de Azure AD MFA, un hacker malintencionado no podría usar esas credenciales para autenticarse. Debe habilitar Azure AD MFA siempre que sea posible, ya que aporta enormes ventajas a la seguridad.

Azure AD MFA es la solución de verificación en dos pasos de Microsoft. Azure AD MFA ayuda a proteger el acceso a los datos y las aplicaciones mientras se cumple la exigencia del usuario en cuanto a un proceso de inicio de sesión simple. Ofrece una autenticación segura a través de una gran variedad de métodos de comprobación, como la comprobación mediante llamadas telefónicas, mensajes de texto o aplicaciones móviles. La seguridad de Azure AD MFA se basa en su enfoque por niveles. Poner en peligro varios factores de autenticación representa un reto importante para los atacantes. Incluso si un atacante consigue obtener la contraseña del usuario, es inútil sin tener también el dispositivo de confianza. Si el usuario pierde el dispositivo, la persona que lo encuentre no podrá usarlo sin la contraseña del usuario.

Cómo funciona Multi-Factor Authentication

Esto es lo que sucede cuando alguien intenta conectarse a un recurso con seguridad mejorada mediante Azure AD MFA y el servicio es local:

Diagrama en el que se muestra cómo funciona Multi-Factor Authentication, o MFA, y todos los componentes implicados.

  1. El servicio Azure AD MFA local valida la solicitud de inicio de sesión inicial pasando la solicitud de autenticación a la instancia local de Active Directory.
  2. Si se han escrito y validado las credenciales correctas, el servicio envía la solicitud al Servidor Multi-Factor Authentication de Azure AD.
  3. El Servidor Multi-Factor Authentication de Azure AD envía un desafío de verificación adicional al usuario. Los métodos que puede configurar fácilmente son los siguientes:
    • Llamada de teléfono. El Servidor Multi-Factor Authentication de Azure AD realiza una llamada al teléfono registrado del usuario.
    • Mensaje de texto. El Servidor Multi-Factor Authentication de Azure AD envía un código de seis dígitos al teléfono móvil del usuario.
    • Notificación en aplicación móvil. El Servidor Multi-Factor Authentication de Azure AD envía una solicitud de comprobación al smartphone de un usuario, en la que se le pide que complete la comprobación mediante la selección de Verificar en la aplicación móvil.
    • Código de verificación de la aplicación móvil. El Servidor Multi-Factor Authentication de Azure AD envía un código de seis dígitos a la aplicación móvil del usuario. Después, el usuario escribe este código en la página de inicio de sesión.
    • Iniciativa para tokens compatibles con la autenticación abierta (OATH). Puede usarlos como método de comprobación.

Si el servicio se ejecuta en Azure:

  1. El servicio envía primero la solicitud de inicio de sesión a Azure AD para la validación inicial y, después, al Servidor Multi-Factor Authentication de Azure AD.
  2. [orbital_cluster categories=”3804,3821,3813,3814,3817,1,3803″ order=”ASC”]
  3. El Servidor Multi-Factor Authentication de Azure AD envía un desafío de verificación adicional al usuario, como se acaba de describir.

Azure AD MFA permite al proveedor del servicio de solicitudes validar que los usuarios son personas reales y no bots, que tienen sus dispositivos con ellos y que pueden proporcionar información adicional.

  1. Azure AD MFA mejora la seguridad de los usuarios que lo solicitan, ya que no es fácil suplantarlos.

Debería requerir Azure AD MFA en todos los servicios, especialmente en los servicios para dispositivos móviles.

¿Cómo se consigue Multi-Factor Authentication?

Multi-Factor Authentication forma parte de las ofertas siguientes:

  • Azure Active Directory Premium o Microsoft 365 Empresa: estas dos ofertas admiten Azure AD Multi-Factor Authentication mediante directivas de acceso condicional para requerir la autenticación multifactor.
  • Licencias de Azure AD Free o Microsoft 365 independiente: use directivas de protección de línea de base de acceso condicional creadas previamente para requerir la autenticación multifactor para usuarios y administradores.
  • Administradores globales de Azure Active Directory: un subconjunto de las funcionalidades de Azure AD Multi-Factor Authentication está disponible como medio de protección de las cuentas de administrador global.

Siguiente unidad: Planificación de la implementación de la autenticación multifactor

Continuar

  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Leave a Reply