Descrever os métodos de autenticação do Azure

  • 6 minutos

A autenticação é o processo de estabelecer a identidade de uma pessoa, serviço ou dispositivo. Exige que a pessoa, serviço ou dispositivo forneça algum tipo de credencial para provar quem é. A autenticação é como apresentar um documento de identificação quando você está viajando. Ele não confirma que você está com ingresso, apenas prova que você é quem diz ser. O Azure dá suporte a vários métodos de autenticação, incluindo senhas padrão, logon único (SSO), autenticação multifator (MFA) e sem senha.

Durante muito tempo, a segurança e a conveniência pareciam estar em desacordo. Felizmente, as novas soluções de autenticação oferecem segurança e conveniência.

O diagrama a seguir mostra o nível de segurança em comparação com a conveniência. Aviso: A autenticação sem senha é de alta segurança e alta conveniência, enquanto as senhas por si só são de baixa segurança, mas alta conveniência.

Diagrama de quatro quadrantes mostrando segurança versus conveniência, com as senhas + autenticação de dois fatores sendo de alta segurança, mas baixa conveniência.

O que é o início de sessão único?

O logon único (SSO) permite que um usuário entre uma vez e use essa credencial para acessar vários recursos e aplicativos de diferentes provedores. Para que o SSO funcione, os diferentes aplicativos e provedores devem confiar no autenticador inicial.

Mais identidades significam mais palavras-passe a lembrar e alterar. As políticas de palavra-passe podem variar entre aplicações. À medida que os requisitos de complexidade aumentam, torna-se cada vez mais difícil para os utilizadores memorizarem as mesmas. Quanto mais palavras-passe um utilizador tiver de gerir, maior é o risco de ocorrerem incidentes de segurança relacionados com credenciais.

Considere o processo de gestão de todas essas identidades. Mais pressão é colocada sobre os help desks à medida que lidam com bloqueios de contas e solicitações de redefinição de senha. Se um usuário sair de uma organização, rastrear todas essas identidades e garantir que elas sejam desativadas pode ser um desafio. Caso se ignore uma identidade, o acesso pode acabar por ser permitido quando deveria ter sido eliminado.

Com o SSO, só precisa de memorizar um ID e uma palavra-passe. O acesso a várias aplicações é concedido a uma única identidade que está associada a um utilizador, o que simplifica o modelo de segurança. À medida que os utilizadores mudam de funções ou saem de uma organização, o acesso está associado a uma única identidade. Esta alteração reduz consideravelmente o esforço necessário para alterar ou desativar as contas. O uso do SSO para contas torna mais fácil para os usuários gerenciar suas identidades e para a TI gerenciar usuários.

Importante

O logon único é tão seguro quanto o autenticador inicial porque as conexões subsequentes são todas baseadas na segurança do autenticador inicial.

O que é a autenticação multifator?

A autenticação multifator é o processo de solicitar a um usuário um formulário (ou fator) extra de identificação durante o processo de entrada. O MFA ajuda a proteger contra um comprometimento de senha em situações em que a senha foi comprometida, mas o segundo fator não.

Pense em como você entra em sites, e-mail ou serviços online. Depois de introduzir o seu nome de utilizador e palavra-passe, alguma vez precisou de introduzir um código que foi enviado para o seu telemóvel? Se sim, utilizou a autenticação multifator para iniciar sessão.

A autenticação multifator fornece segurança adicional para as suas identidades ao exigir dois ou mais elementos para que ocorra uma autenticação completa. Estes elementos dividem-se em três categorias:

  • Algo que o usuário sabe – esta pode ser uma pergunta desafiadora.
  • Algo que o utilizador tem – pode ser um código que é enviado para o telemóvel do utilizador.
  • Algo que o usuário é – isso normalmente é algum tipo de propriedade biométrica, como uma impressão digital ou escaneamento facial.

A autenticação multifator aumenta a segurança das identidades ao limitar o impacto da exposição das credenciais (por exemplo, nomes de utilizador e palavras-passe roubados). Com a autenticação multifator ativada, os atacantes que tivessem a palavra-passe do utilizador também teriam de dispor do telemóvel ou da impressão digital do mesmo para conseguirem concluir a autenticação.

Compare a autenticação multifator com a autenticação de fator único. Com a autenticação de fator único, um atacante só precisaria de um nome de utilizador e palavra-passe para efetuar a autenticação. Deverá ativar a autenticação multifator sempre que possível, pois melhora imenso a segurança.

O que é a autenticação multifator do Microsoft Entra?

A autenticação multifator Microsoft Entra é um serviço da Microsoft que fornece recursos de autenticação multifator. A autenticação multifator do Microsoft Entra permite que os usuários escolham uma forma adicional de autenticação durante o login, como uma chamada telefônica ou notificação de aplicativo móvel.

O que é a autenticação sem senha?

Recursos como MFA são uma ótima maneira de proteger sua organização, mas os usuários muitas vezes ficam frustrados com a camada de segurança adicional, além de terem que se lembrar de suas senhas. As pessoas são mais propensas a cumprir quando é fácil e conveniente fazê-lo. Os métodos de autenticação sem senha são mais convenientes porque a senha é removida e substituída por algo que você tem, além de algo que você é, ou algo que você sabe.

A autenticação sem senha precisa ser configurada em um dispositivo antes que ele possa funcionar. Por exemplo, o seu computador é algo que você tem. Depois de registrado ou registrado, o Azure agora sabe que está associado a você. Agora que o computador é conhecido, uma vez que você fornece algo que você sabe ou é (como um PIN ou impressão digital), você pode ser autenticado sem usar uma senha.

Cada organização tem necessidades diferentes quando se trata de autenticação. O Microsoft global Azure e o Azure Government oferecem as seguintes três opções de autenticação sem senha que se integram ao Microsoft Entra ID:

  • Windows Hello para empresas
  • Aplicação Microsoft Authenticator
  • chaves de segurança FIDO2

Windows Hello para empresas

O Windows Hello for Business é ideal para profissionais da informação que têm o seu próprio PC Windows designado. As credenciais biométricas e PIN estão diretamente ligadas ao PC do utilizador, o que impede o acesso de qualquer pessoa que não seja o proprietário. Com integração de PKI (infraestrutura de chave pública) e suporte interno para logon único (SSO), o Windows Hello for Business fornece um método conveniente para acessar recursos corporativos diretamente no local e na nuvem.

Aplicação Microsoft Authenticator

Você também pode permitir que o telefone do seu funcionário se torne um método de autenticação sem senha. Você já pode estar usando o Microsoft Authenticator App como uma opção conveniente de autenticação multifator, além de uma senha. Você também pode usar o aplicativo autenticador como uma opção sem senha.

O aplicativo autenticador transforma qualquer telefone iOS ou Android em uma credencial forte e sem senha. Os usuários podem entrar em qualquer plataforma ou navegador recebendo uma notificação em seu telefone, combinando um número exibido na tela com o de seu telefone e, em seguida, usando sua biométrica (toque ou rosto) ou PIN para confirmar. Consulte Baixar e instalar o aplicativo Microsoft Authenticator para obter detalhes de instalação.

chaves de segurança FIDO2

A FIDO (Fast IDentity Online) Alliance ajuda a promover padrões de autenticação abertos e reduzir o uso de senhas como forma de autenticação. FIDO2 é o padrão mais recente que incorpora o padrão de autenticação web (WebAuthn).

As chaves de segurança FIDO2 são um método de autenticação sem senha baseado em padrões não phishable que pode vir em qualquer fator de forma. O Fast Identity Online (FIDO) é um padrão aberto para autenticação sem senha. O FIDO permite que usuários e organizações aproveitem o padrão para entrar em seus recursos sem um nome de usuário ou senha usando uma chave de segurança externa ou uma chave de plataforma incorporada em um dispositivo.

Os usuários podem se registrar e, em seguida, selecionar uma chave de segurança FIDO2 na interface de login como seu principal meio de autenticação. Estas chaves de segurança FIDO2 são normalmente dispositivos USB, mas também podem usar Bluetooth ou NFC. Com um dispositivo de hardware que lida com a autenticação, a segurança de uma conta é aumentada, pois não há senha que possa ser exposta ou adivinhada.