Entonces, estás intentando no usar contraseña para evitar todos los problemas asociados con las contraseñas, pero no puedes dejar de pensar, “¿Cómo diablos se crea una identidad sin contraseña sin tener primero una contraseña?” ¡No estás solo! Consideramos que esta es la versión de ciberseguridad del enigma de “El huevo y la gallina”. Sus próximos pensamientos probablemente gravitarán hacia: “¿No debería alguien como Microsoft haber descubierto esto ya?” Bueno, no lo han hecho… a menos que consideres que TAP resuelve el problema (consejo profesional: una contraseña temporal es tan vulnerable como una contraseña “normal”). Recuerde, una vez que no tenga contraseña, los atacantes intentarán atacar la parte más débil de su historia de identidad, que suele ser la incorporación o el restablecimiento de contraseña. De todos modos, eche un vistazo a la captura de pantalla a continuación para inspirarme al escribir esta publicación…
Entonces, hablemos del problema y luego ofreceré algunas soluciones sobre cómo incorporar nuevos usuarios a Entra ID sin usar TAP.
Microsoft ha estado impulsando la tecnología sin contraseña durante un tiempo (quiero decir, estuve en su equipo sin contraseña en 2017, ¡así que ha pasado un tiempo!). Cuando hablan de sin contraseña, hablan de cómo es más seguro, mejora la experiencia del usuario y cómo puedes usarlo en todas partes; sin embargo, rara vez hablan del proceso de incorporación. ¿Por qué? Porque no tienen una buena solución.
Se les ocurrió TAP para ayudar a incorporarse a FIDO2 y dijeron que ese- La contraseña de tiempo es multifactorial. Dato curioso: cuando le pregunté al primer ministro a cargo de ese proyecto por qué TAP se consideraba MFA (ya que es solo una contraseña), ella respondió: “¡Es MFA porque decimos que es MFA!” Entonces, si tampoco considera que esa sea una respuesta aceptable, hablemos de las opciones que existen.
Bien, si TAP no es una opción, hablemos de los otros métodos sin contraseña, veamos sus opciones de incorporación y partamos de allí.
El primero que me viene a la mente es Windows Hello para empresas, que utiliza el TPM de su computadora para almacenar la clave privada, lo que la hace casi tan segura como tener una clave externa como una YubiKey, con el beneficio adicional de no tener que pagar por ella. una clave externa.
Como su nombre lo indica, Windows Hello For Business está adjunto a Windows, lo que significa que cuando obtiene una nueva PC no puede usar su Windows Hello For Business existente en otra máquina para autenticarse en la nueva máquina; las opciones que tiene son:
El siguiente método de autenticación que me viene a la mente (debido a su increíble marketing dentro de la comunidad de ciberseguridad) es FIDO2 (las claves de acceso también son una variante de FIDO2). Las claves FIDO2 son populares porque son uno de los métodos de autenticación sin contraseña que se consideran resistentes al phishing, ya que la clave nunca sale del dispositivo, lo que hace que sea casi imposible para los atacantes realizar phishing con sus credenciales. Lo mejor de FIDO2 es que se puede utilizar para incorporarlo a Windows Hello For Business. Lo que hacemos internamente en Keytos es crear una clave FIDO2 y luego usarla para crear nuestras credenciales de Windows Hello For Business, haciendo de WH4B nuestro método de autenticación principal, y luego la clave de hardware un método de respaldo y dispositivo de arranque para cuando obtengamos una nueva. máquina.
Es posible que vea una tendencia aquí: todavía necesita un MFA para obtener la credencial FIDO2, por lo que puede hacerlo a la manera de Microsoft y emitirles un TAP, o puede usar un sistema de administración de credenciales como EZCMS para permitir la creación de FIDO2 de autoservicio utilizando una identificación gubernamental y un escaneo facial, rompiendo el problema del huevo y la gallina y al mismo tiempo protegiendo su proceso de incorporación con autenticación multifactor (Factor 1, algo que tiene (tu identificación gubernamental), Factor 2 algo que eres (tu cara)).
La autenticación con tarjeta inteligente es el método de autenticación sin contraseña más antiguo; sin embargo, se ha ganado una mala reputación en los últimos años porque solía ser muy difícil de configurar. Con una infraestructura exclusiva de Microsoft, necesitaba más de 10 servidores para permitir la incorporación y autenticación de tarjetas inteligentes; sin embargo, en los últimos años con la introducción de Entra ID CBA y autoridades de certificación basadas en Azure. La autenticación con tarjeta inteligente se puede configurar en menos de una hora sin un solo servidor, todo mediante servidores administrados en la nube.
Si está utilizando el proceso de autenticación de tarjeta inteligente antigua con su infraestructura local, necesita una cuenta AD existente.
Si está utilizando una herramienta de incorporación de tarjetas inteligentes como EZCMS moderna, solo necesita una identificación gubernamental y un rostro, o incluso una cuenta existente de otro inquilino (esto es muy popular entre nuestros clientes gubernamentales, donde utilizan una identidad existente para crear otras identidades para otros inquilinos).
Crear una experiencia de incorporación totalmente sin contraseña requiere muchas cosas en movimiento, y como nos mostró el hack de MGM de 2023, proteger el proceso de incorporación del usuario es una de las partes más importantes del ciclo de vida de la identidad. Mi recomendación personal es usar una llave de hardware como método de incorporación principal y luego usar otros métodos como Windows Hello For Business para su autenticación diaria, lo que le permitirá tener una autenticación completa sin contraseña y al mismo tiempo tener un método de respaldo para incorporar nuevos dispositivos.
