Adoptar la autenticación credenciales no resistentes al phishing para Azure es más que un simple cambio técnico. Se trata de fomentar una “cultura de seguridad” dentro de su organización, donde cada miembro comprenda y contribuya al esfuerzo colectivo de ciberseguridad. En una época en la que las amenazas a la ciberseguridad continúan volviéndose cada vez más sofisticadas, proteger los datos de su organización nunca ha sido más importante. Una de las formas más efectivas de fortalecer la ciberseguridad de su organización es implementar la autenticación resistente al phishing; una estrategia que va MUCHO más allá de la autenticación tradicional basada en contraseñas, que sabemos que es demasiado problemática e insegura. En esta publicación, lo guiaremos a través de la terminología básica y el proceso asociados con la implementación de MFA resistente al phishing para toda su organización.
Comencemos definiendo algunos términos básicos asociados con la autenticación sin contraseña. Lo primero es lo primero: el concepto de credenciales resistente phishing, implica la utilización de credenciales inmunes a los intentos de phishing por parte de malos actores, también conocidos como Hackers. El principio fundamental de estas credenciales reside en su composición: se basan en claves criptográficas asimétricas. Este intrincado diseño facilita un proceso de autenticación seguro en el que la clave privada permanece oculta, frustrando así cualquier intento de los atacantes de robar este secreto confidencial. Este método de autenticación evita las vulnerabilidades inherentes a las contraseñas tradicionales mediante el empleo de alternativas como biometría, claves de seguridad o códigos de un solo uso.
En la actualidad, existen simplemente dos tipos distintos de credenciales resistentes al phishing: FIDO2 y autenticación con tarjeta inteligente (SmartCard). Si bien comparten una similitud conceptual en su funcionamiento, su diferencias radican en el mecanismo a través del cual se valida la clave criptográfica.
Autenticación FIDO2: este método aprovecha un marco más moderno. Por lo general, involucra dispositivos de hardware como llaves de seguridad. El proceso de validación en FIDO2 está diseñado para permitir la autenticación criptográfica sin la necesidad de implementar una PKI y distribuir certificados. a sus usuarios, sino que depende de que la clave pública del dispositivo se asigne al usuario. Si bien esto es muy conveniente, es posible que algunos dispositivos no admitan la autenticación FIDO2 (como los dispositivos iOS en Entra ID).
Autenticación con tarjeta inteligente: por el contrario, la autenticación con tarjeta inteligente utiliza autenticación basada en certificados. donde el certificado tiene la información del usuario y dado que ha sido el método preferido por los gobiernos de todo el mundo, es ampliamente utilizado y respaldado.
Si ha llegado hasta aquí, lo más probable es que se esté preguntando: “¿Cómo empiezo? ¿Cómo es la implementación?” ¡Me alegra que hayas preguntado! Primero, querrás considerar todo el proceso de eliminación de contraseñas, no solo qué método emplearás. Incluso la seguridad de primer nivel es ineficaz si los usuarios finales la encuentran engorrosa y TI tiene dificultades para implementarla. A continuación, querrá investigar para asegurarse de tener una comprensión profunda de la tarea en cuestión.
Si bien en esta sección la dividimos en diferentes categorías, no es necesario que utilices el mismo método de autenticación para todas tus cuentas. Por ejemplo, puede hacer que su equipo de ventas utilice la aplicación Microsoft Authenticator, mientras que sus ejecutivos de nivel C emplean llaves de hardware FIDO2 + tarjetas inteligentes. A fin de cuentas, se trata de un equilibrio entre usabilidad, costo y tolerancia al riesgo. No olvide nunca que no existe un enfoque único que sirva para todos y que un enfoque híbrido, en la mayoría de los casos, tiende a ser la solución más práctica para la mayoría de las organizaciones.
Autenticación resistente al phishing para Active Directory local + Azure Cloud
Si se suscribe a nuestro boletín, probablemente lea la publicación en FIDO2 local Y sepa que, en el ámbito local, la tarjeta inteligente sigue siendo la reina. Lo que significa que si tiene un entorno híbrido, puede salirse con la autenticación solo con tarjeta inteligente e incluso obtener tarjetas inteligentes heredadas que son más baratas (y multipropósito, ya que pueden usarse para crear acceso e identificaciones de empleados) que los tokens de hardware más modernos como YubiKeys o Claves Feitian. Sin embargo, tenga en cuenta que lo que ahorre en tarjetas inteligentes lo gastará en lectores de tarjetas inteligentes y con las claves de hardware más modernas también obtendrá capacidades FIDO2 que le permitirán tener las dos mejores credenciales antiphishing en un solo dispositivo.
Autenticación resistente al phishing para Entra ID solo en la nube y Microsoft 365
Si solo tiene recursos en la nube (Azure y/o Microsoft 365), es posible que se sienta inclinado a optar por FIDO2 únicamente, ya que Microsoft lo ha comercializado como la credencial no phishing basada en la nube; Desafortunadamente, sin embargo, no es compatible con todos sus servicios. Las herramientas que utilizan MSAL, como Azure PowerShell, no admiten la autenticación FIDO2 y, aunque están avanzando para que esté disponible en más lugares, como en navegadores iOS todavía no es compatible con las aplicaciones de Microsoft iOS. Para mitigar esto, utilizamos la autenticación de certificado FIDO2 + Azure CBA. EZCMS es el único CMS que agrega un certificado de tarjeta inteligente y una credencial FIDO2 a una YubiKey en el mismo proceso de incorporación, lo que lo hace perfecto para el usuario: no No saben cuándo están usando Azure CBA y cuándo están usando FIDO2, solo saben que están usando su clave de hardware para la autenticación sin contraseña.
Reconocer las habilidades especializadas de sus profesionales de TI es crucial. Después de todo, son contratados por su experiencia en tecnología de la información. Su valioso tiempo debe destinarse a utilizar herramientas como YubiKeys para mejorar y fortalecer el marco de ciberseguridad de su organización, en lugar de navegar por las complejidades logísticas de ordenar y distribuir estos dispositivos.
Esta responsabilidad logística se alinea perfectamente con los servicios ofrecidos por Keytos. Nuestro EZCMS, un CMS pionero de incorporación de autenticación resistente al phishing para Entra ID, está diseñado específicamente para aliviar esta carga. Utilizamos nuestra amplia infraestructura para gestionar los desafíos logísticos y de envío asociados con la implementación de YubiKeys, independientemente del tamaño de su organización.
Keytos cuenta con una infraestructura global sólida, lo que nos permite colaborar con proveedores locales en todo el mundo para una entrega eficiente y rentable de YubiKeys. Por ejemplo, si su empresa con sede en EE. UU. requiere 500 YubiKeys en la India, nuestro sistema activa rápidamente nuestra red en la India para identificar al proveedor más ventajoso, lo que garantiza un cumplimiento fluido, económico y rápido de su pedido. Este enfoque no sólo ahorra tiempo y costes, especialmente en impuestos de importación, sino que también le evita las complejidades típicas asociadas con la logística internacional de la distribución de YubiKey.
Como puede ver claramente, implementar credenciales resistentes al phishing en Azure puede tener muchas partes móviles, ¡pero es posible! Una vez que lo hagas, ¡nunca mirarás atrás! Si está listo para dar el siguiente paso en su viaje sin contraseñas, reserve una llamada con uno de nuestros ingenieros con décadas de experiencia moviendo a algunas de las empresas más grandes (incluida Microsoft ) a un entorno totalmente sin contraseña. Obtenga más información sobre EZCMS, nuestra herramienta incorporación sin contraseña para Azure, para ver exactamente lo fácil que es implementar una autenticación resistente al phishing para toda su organización. Recuerde, implementar la autenticación resistente al phishing es un paso crucial para proteger los activos digitales de su organización, especialmente en el mundo centrado en la nube de Azure. Al comprender su importancia, evaluar los mejores métodos e implementar y escalar de manera efectiva estas soluciones, puede mejorar significativamente la postura de ciberseguridad de su organización.