Nivel 2 de seguridad del autenticador de NIST con Azure Active Directory

El Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) desarrolla los requisitos técnicos de las agencias federales de Estados Unidos que implementan soluciones de identidad. Las organizaciones que trabajan con agencias federales también deben cumplir estos requisitos.

Antes de empezar a usar el nivel 2 de seguridad del autenticador (AAL2), puede consultar los siguientes recursos:

Tipos de autenticadores permitidos para AAL2

La siguiente tabla incluye los tipos de autenticadores permitidos para AAL2:

Método de autenticación de Azure AD Tipo de autenticador de NIST
Métodos recomendados
Aplicación Microsoft Authenticator para iOS (sin contraseña)
Windows Hello para empresas con un módulo de plataforma segura (TPM) de software
Software criptográfico multifactor
Clave de seguridad FIDO 2
Aplicación Microsoft Authenticator para Android (sin contraseña)
Windows Hello para empresas con TPM de hardware
Smartcard (Servicios de federación de Active Directory [AD FS])
Hardware criptográfico multifactor
Otros métodos
Contraseña y teléfono (SMS) Secreto memorizado y fuera de banda
Contraseña y contraseña de un solo uso (OTP) de la aplicación Microsoft Authenticator
Contraseña y OTP de un solo factor
Secreto memorizado y OTP de un solo factor
Contraseña y unión a Azure AD con un TPM de software
Contraseña y dispositivo móvil conforme
Contraseña y unión a Azure AD híbrido con un TPM de software
Contraseña y aplicación Microsoft Authenticator (notificación)
Secreto memorizado y software criptográfico de un solo factor
Contraseña y unión a Azure AD con un TPM de hardware
Contraseña y unión a Azure AD híbrido con un TPM de hardware
Secreto memorizado y hardware criptográfico de un solo factor

Nota:

En una directiva de acceso condicional, Authenticator actúa como barrera contra la suplantación del comprobador, si necesita que un dispositivo sea conforme o esté unido a Azure AD híbrido.

Recomendaciones para AAL2

Para AAL2, use autenticadores criptográficos multifactor de software o hardware. La autenticación sin contraseña elimina la mayor superficie de ataque (la contraseña) y ofrece a los usuarios un método simplificado para autenticarse.

Para obtener instrucciones sobre cómo seleccionar un método de autenticación sin contraseña, vea Planeamiento de una implementación de autenticación sin contraseña en Azure Active Directory. Consulte también Introducción a la implementación de Windows Hello para empresas

Validación de FIPS 140

Lea las siguientes secciones para obtener información sobre la validación de FIPS 140.

Requisitos del comprobador

Azure AD usa el módulo criptográfico validado global Windows FIPS 140 de nivel 1 para las operaciones criptográficas de autenticación. Por tanto, es un comprobador conforme con FIPS 140 como exigen los organismos públicos.

Requisitos del autenticador

Los autenticadores criptográficos de organismos públicos se somete a la validación de su conformidad con FIPS 140 de nivel 1 global. Esto no es un requisito para las organizaciones que no son organismos públicos. Los siguientes autenticadores de Azure AD cumplen el requisito cuando se ejecutan en Windows en un modo aprobado por FIPS 140:

  • Contraseña

  • Unión a Azure AD con TPM de software o hardware

  • Unión a Azure AD híbrido con TPM de software o hardware

  • Windows Hello para empresas con TPM de software o hardware

  • Smartcard (Servicios de federación de Active Directory [AD FS])

Aunque la aplicación Microsoft Authenticator (en los modos de notificación, OTP y sin contraseña) usa la criptografía aprobada por FIPS 140, no está validada para FIPS 140 de nivel 1.

Los proveedores de claves de seguridad FIDO 2 se encuentran en varias fases de certificación para FIPS. Se recomienda consultar la lista de proveedores de claves FIDO 2 admitidos. Consulte a su proveedor sobre su estado de validación de FIPS actual.

Reautenticación

Para AAL2, el NIST requiere repetir la autenticación cada 12 horas, independientemente de la actividad del usuario. La reautenticación es necesaria después de cualquier período de inactividad que dure 30 minutos o más. Dado que el secreto de sesión es algo que tiene, es necesario presentar algo que sepa o sea.

Para cumplir el requisito de reautenticación independientemente de la actividad del usuario, Microsoft recomienda establecer la frecuencia de inicio de sesión del usuario en 12 horas.

El NIST permite usar controles de compensación para confirmar la presencia del suscriptor:

  • Establezca el tiempo de espera de inactividad de sesión en 30 minutos. Para ello, bloquee el dispositivo en el nivel de sistema operativo con Microsoft System Center Configuration Manager, objetos de directiva de grupo (GPO) o Intune. Para que el suscriptor lo desbloquee, debe requerir autenticación local.

  • Tiempo de espera independientemente de la actividad: ejecute una tarea programada (Configuration Manager, GPO o Intune) para bloquear la máquina después de 12 horas, independientemente de la actividad.

Resistencia de tipo "man in the middle" (MitM)

La comunicación entre el solicitante y Azure AD se realiza a través de un canal autenticado y protegido. Esta configuración proporciona una barrera contra los ataques de tipo “Man in the middle” (MitM) y satisface los requisitos de resistencia a ataques MitM para AAL1, AAL2 y AAL3.

Resistencia de reproducción

Los métodos de autenticación de Azure AD en el nivel AAL2 usan nonce o desafíos. Estos métodos son resistentes a los ataques de reinyección, porque el comprobador detecta las transacciones de autenticación reinyectadas. Estas transacciones no contienen los datos de nonce o de escala de tiempo necesarios.

Pasos siguientes

Introducción a NIST

Más información sobre los AAL

Conceptos básicos sobre autenticación

Tipos de autenticadores de NIST

Logro del nivel 1 de seguridad del autenticador de NIST con Azure Active Directory

Logro del nivel 2 de seguridad del autenticador de NIST con Azure Active Directory

Logro del nivel 3 de seguridad del autenticador de NIST con Azure Active Directory