A Microsoft anunciou recentemente uma alteração substancial ao seu sistema de autenticação multifator (MFA) que dá prioridade à utilização dos métodos de autenticação mais seguros disponíveis para os utilizadores finais.
Esta abordagem visa mitigar riscos de segurança, como a "fadiga de MFA", em que invasores “bombardeiam” os utilizadores com solicitações de autenticação até obter o acesso como o exemplo recente do ataque da Uber cuja história já contámos aqui: Uber Hack - Como um adolescente quebrou a segurança da Uber.
Com esta nova política o sistema irá escolher a opção mais segura das opções que o utilizador configurou para o segundo factor de autenticação. Por exemplo, se um utilizador tem ativo o Microsoft Authenticator e o envio de SMS o sistema irá pedir sempre a utilização do auhenticator.
Embora o lançamento comercial se encontre atualmente disponível, o MFA preferencial do sistema foi introduzido inicialmente em abril num estado inativo. O objetivo da Microsoft é ativar esta opção por defeito, mas prometeu mais detalhes acerca dos timings destas alterações em junho.
Atualmente, as organizações podem ativar este novo modelo, seguindo as instruções no Portal do Azure ou por meio das APIs do Graph. No entanto, existe uma ressalva em relação às chaves de segurança FIDO2 em dispositivos móveis e autenticação baseada em certificado que ainda não são suportados neste novo sistema, pelo que enquanto não for disponibilidade um update a Microsoft recomenda criar uma política de exceção para os utilizadores que utilizem estes fatores de autenticação.
O MFA preferido pelo sistema determina dinamicamente o método de autenticação mais seguro e será "atualizado à medida que o cenário de segurança muda”. Os principais métodos de MFA incluem:
- Passe de Acesso Temporário
- Autenticação baseada em certificado
- Chave de segurança FIDO2
- Notificações por push do Microsoft Authenticator
- Palavra-passe única baseada no tempo (TOTP)
- Chamada telefônica.
Com esta nova abordagem de autenticação multifator, a Microsoft procura aprimorar a segurança das contas dos seus utilizadores e incentivar a adoção de métodos de autenticação mais robustos.
O que nós dizemos
Quem nos conhece sabe que falamos há anos da importância de sistemas de multi-fator nas organizações. Defendemos que para uma autenticação segura pelo menos dois fatores da tríade (algo que eu sou, algo que eu tenho, algo que eu sei) deverão ser utilizados. Assim, a utilização de uma password (algo que eu sei) e de um telemóvel com authenticator (algo que eu tenho) conjugado igualmente com regras de acesso condicional garantem um acesso seguro à grande maioria das organizações. Recebemos com algum entusiasmo esta alteração que a Microsoft está a implementar, mas tendo em conta a criticidade do tema ficaríamos mais satisfeitos se a utilização do MFA fosse obrigatória. Muitas organizações não estão a obrigar ainda a utilização do MFA pelo que esta alteração não vai ter impacto nessas empresas. Aproveitando o facto de sermos lidos por muitos gestores, pedimos-lhe que caso não tenha o MFA ativo na sua organização, e antes de ler o próximo artigo, peça à sua equipa de IT para que ponha em marcha essa ativação e já agora peça-lhes para lhe explicarem como é que o acesso condicional pode também proteger e muito a sua empresa.
|