Tomar la decisión de completamente eliminar contraseña en Entra ID es monumental para su organización. Sin lugar a dudas, aumentará la seguridad y mejorar la experiencia del usuario en torno a la autenticación. ¡Bienvenido a la nueva era de la autenticación!
La opción sin contraseña en Azure implica el uso de métodos de autenticación "alternativos" que no dependen de Contraseñas "tradicionales". Los métodos principales (léase: más populares) incluyen el método basado en certificados. Autenticación (tarjetas inteligentes), claves de seguridad de hardware y autenticación de dispositivos móviles.
El primer paso para no usar contraseña es seleccionar su(s) método(s) de autenticación. Hay 3 métodos sin contraseña. métodos de autenticación: autenticación basada en certificados (CBA), FIDO2 y autenticación telefónica (Microsoft Authenticator App). Cada Uno de los métodos de autenticación tiene sus ventajas y desventajas, la mayoría de las organizaciones implementan 2 o incluso los tres métodos de autenticación para ayudar a su organización a no tener contraseñas.
Entra CBA usa certificados X.509 para autenticar usuarios. Estos certificados se pueden almacenar en el almacén de certificados de Windows, una smartcard o un YubiKey. Este método de autenticación es el método de autenticación resistente al phishing más antiguo y ha sido utilizado por gobiernos de todo el mundo durante décadas; Este uso a largo plazo hace que la autenticación basada en certificados sea el método de autenticación sin contraseña más compatible. Antes de la nube, era muy difícil de configurar y requería varios servidores para permitir la incorporación de usuarios, pero gracias a Entra CBA y EZCMS esto ahora se puede hacer completamente en la nube, brindándole la seguridad y compatibilidad de la autenticación de certificados sin necesidad de infraestructura.
FIDO2 es un estándar industrial desarrollado por Alianza FIDO este método facilita la autenticación sin contraseña. FIDO2 utiliza los mismos algoritmos criptográficos que la autenticación basada en certificados, pero en lugar de utilizar un certificado con la información del usuario, la llave pública debe registrarse con el proveedor de identidad, brindando la seguridad criptográfica de la autenticación basada en certificados, sin necesidad de complejos infraestructura que se requería para la autenticación con tarjeta inteligente cuando se creó FIDO2.
Si bien FIDO2 es una forma muy conveniente de proteger su identidad, debido a su vida relativamente corta, no es compatible en todas partes; Si bien puede crear un conector para Active Directory, FIDO2 no es compatible de forma nativa con Active Directory. Otro lugar común donde la gente se sorprende porque FIDO2 no es compatible es Aplicaciones nativas de iOS Entra ID. Afortunadamente, muchos tokens FIDO2 también pueden usar certificados, lo que le permite tener tanto la autenticación de certificados como las claves FIDO2 en la misma clave, lo que permite al usuario usar cualquiera de ellos y tener soporte completo sin contraseña en todas partes.
El último método de autenticación sin contraseña que ofrece Microsoft es su propia aplicación de autenticación. Esta es una excelente opción para usuarios que no tienen conocimientos técnicos para usar un token de hardware o para usuarios de organizaciones que no son objetivos de alta visibilidad, lo que permite a la organización no tener contraseñas sin tener que comprar llaves de hardware para todos los usuarios. Nota: si bien este es un método de autenticación sin contraseña, es el único de los tres que no es resistente al phishing
La parte más difícil de no tener contraseña es la incorporación de usuarios y la administración de los tokens. Para ayudar a resolver este problema, hemos creado EZCMS, el primer sistema de administración de credenciales con control remoto auto-incorporación y software y servicios de logística diseñados para la fuerza laboral distribuida de hoy. Permite que sus empleados soliciten nuevas credenciales sin la intervención de su equipo de TI.
El primer paso para que un usuario se incorpore es que el usuario solicite una tarjeta inteligente (smartcard); para los usuarios que recién se están uniendo a la organización, su gerente puede solicitar una tarjeta inteligente en su nombre. Dependiendo de su configuración, la solicitud podría ir a su equipo o la llave será enviada automáticamente por el equipo de logística de Keytos.
Una vez que se recibe la solicitud, su equipo de TI asigna una tarjeta inteligente de su inventario al usuario, esto no creará el certificado o la clave FIDO2, sino que asignará la tarjeta o YubiKey específica a ese usuario. Si está utilizando YubiKeys nuestra tecnología única de certificación criptográfica lo protegerá de ataques a la cadena de suministro. y asegúrese de que solo el usuario asignado pueda usar esa clave.
Una vez que el usuario recibe la llave de hardware, podrá realizar el autoservicio de creación de credencial. Si ya tienen una identidad confiable, pueden iniciar sesión con esa identidad y solicitar su certificado e identidad FIDO2. Si el usuario no tiene una credencial existente o no puede acceder a su cuenta, puede usar su identificación gubernamental y un escaneo de su rostro para validar su identidad.
Cuando un usuario bloquea su YubiKey, puede utilizar el portal de autoservicio EZCMS para recuperar su identidad. El usuario deberá utilizar su identificación gubernamental y un escaneo de su rostro para validar su identidad (o una identidad Entra secundaria como Windows Hello). Una vez que el usuario haya validado su identidad, podrá restablecer su YubiKey de fábrica y volver a inscribirse tanto en FIDO2 como en Entra CBA