Garantía del autenticador de NIST de nivel 2 con Microsoft Entra ID
El Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) desarrolla los requisitos técnicos de las agencias federales de Estados Unidos que implementan soluciones de identidad. Las organizaciones que trabajan con agencias federales también deben cumplir estos requisitos.
Antes de empezar a usar el nivel 2 de seguridad del autenticador (AAL2), puede consultar los siguientes recursos:
- Información general sobre NIST: descripción de los niveles de AAL.
- Conceptos básicos de autenticación: terminología y tipos de autenticación
- Tipos de autenticadores de NIST: tipos de autenticadores
- ALL de NIST: componentes de AAL y métodos de autenticación de Microsoft Entra
Tipos de autenticadores permitidos para AAL2
La siguiente tabla incluye los tipos de autenticadores permitidos para AAL2:
| Método de autenticación de Microsoft Entra | Tipo de autenticador de NIST |
|---|---|
| Métodos recomendados | |
| Certificado de software multifactor (protegido por PIN) Windows Hello para empresas con un módulo de plataforma segura (TPM) de software |
Software criptográfico multifactor |
| Certificado protegido por hardware (tarjeta inteligente/clave de seguridad/TPM) Claves de seguridad FIDO 2 Windows Hello para empresas con TPM de hardware |
Hardware criptográfico multifactor |
| Aplicación Microsoft Authenticator (sin contraseña) | Fuera de banda multifactor |
| Otros métodos | |
| Contraseña AND - Aplicación Microsoft Authenticator (notificación push) - OR - Microsoft Authenticator Lite (notificación push) - O - Teléfono (SMS) |
Secreto memorizado AND Fuera de banda de factor único |
| Contraseña AND - Tokens de hardware OATH (versión preliminar) - OR - Aplicación Microsoft Authenticator (OTP) - O - Microsoft Authenticator Lite (OTP) - O - Tokens de software OATH |
Secreto memorizado AND OTP de factor único |
| Contraseña AND - Certificado de software de factor único - OR - Microsoft Entra unido con TPM de software - OR - Microsoft Entra híbrido unido con TPM de software - OR - Dispositivo móvil compatible |
Secreto memorizado AND Software criptográfico de factor único |
| Contraseña AND - Microsoft Entra unido con TPM de hardware - OR - Microsoft Entra híbrido unido con TPM de hardware |
Secreto memorizado AND Hardware criptográfico de factor único |
Nota
Actualmente, Microsoft Authenticator no es resistente a la suplantación de identidad por sí mismo. Para obtener protección frente a amenazas de phishing externas al utilizar Microsoft Authenticator, debe configurar adicionalmente una directiva de acceso condicional que requiera un dispositivo administrado.
Recomendaciones para AAL2
Para AAL2, use autenticadores criptográficos multifactor de software o hardware. La autenticación sin contraseña elimina la mayor superficie de ataque (la contraseña) y ofrece a los usuarios un método simplificado para autenticarse.
Para obtener instrucciones sobre cómo seleccionar un método de autenticación sin contraseña, consulte Planeamiento de una implementación de autenticación sin contraseña en Microsoft Entra ID. Consulte también Introducción a la implementación de Windows Hello para empresas
Validación de FIPS 140
Lea las siguientes secciones para obtener información sobre la validación de FIPS 140.
Requisitos del comprobador
Microsoft Entra ID usa el módulo criptográfico validado globalmente de Windows FIPS 140 de nivel 1 para las operaciones criptográficas de autenticación. Por tanto, es un comprobador conforme con FIPS 140 como exigen los organismos públicos.
Requisitos del autenticador
Los autenticadores criptográficos de organismos públicos se somete a la validación de su conformidad con FIPS 140 de nivel 1 global. Esto no es un requisito para las organizaciones que no son organismos públicos. Los siguientes autenticadores de Microsoft Entra cumplen el requisito cuando se ejecutan en Windows en un modo aprobado por FIPS 140:
Contraseña
Microsoft Entra unido con TPM de hardware o software
Microsoft Entra híbrido unido con TPM de hardware o software
Windows Hello para empresas con TPM de software o hardware
Certificado almacenado en software o hardware (tarjeta inteligente/clave de seguridad/TPM)
La aplicación Microsoft Authenticator es compatible con FIPS 140 en iOS. El cumplimiento de Android FIPS 140 está en curso. Para obtener más información sobre los módulos criptográficos validados por FIPS usados por Microsoft Authenticator, consulte la aplicación Microsoft Authenticator.
Para tokens de hardware y tarjetas inteligentes OATH, le recomendamos que consulte con su proveedor el estado actual de validación FIPS.
Los proveedores de claves de seguridad FIDO 2 se encuentran en varias fases de certificación para FIPS. Se recomienda consultar la lista de proveedores de claves FIDO 2 admitidos. Consulte a su proveedor sobre su estado de validación de FIPS actual.
Reautenticación
Para AAL2, el NIST requiere repetir la autenticación cada 12 horas, independientemente de la actividad del usuario. La reautenticación es necesaria después de cualquier período de inactividad que dure 30 minutos o más. Dado que el secreto de sesión es algo que tiene, es necesario presentar algo que sepa o sea.
Para cumplir el requisito de reautenticación independientemente de la actividad del usuario, Microsoft recomienda establecer la frecuencia de inicio de sesión del usuario en 12 horas.
El NIST permite usar controles de compensación para confirmar la presencia del suscriptor:
Establezca el tiempo de espera de inactividad de sesión en 30 minutos. Para ello, bloquee el dispositivo en el nivel de sistema operativo con Microsoft System Center Configuration Manager, objetos de directiva de grupo (GPO) o Intune. Para que el suscriptor lo desbloquee, debe requerir autenticación local.
Tiempo de espera independientemente de la actividad: ejecute una tarea programada (Configuration Manager, GPO o Intune) para bloquear la máquina después de 12 horas, independientemente de la actividad.
Resistencia de tipo "man in the middle" (MitM)
La comunicación entre el solicitante y Microsoft Entra ID se realiza a través de un canal autenticado y protegido. Esta configuración proporciona una barrera contra los ataques de tipo “Man in the middle” (MitM) y satisface los requisitos de resistencia a ataques MitM para AAL1, AAL2 y AAL3.
Resistencia de reproducción
Los métodos de autenticación de Microsoft Entra en el nivel AAL2 usan nonce o desafíos. Estos métodos son resistentes a los ataques de reinyección, porque el comprobador detecta las transacciones de autenticación reinyectadas. Estas transacciones no contienen los datos de nonce o de escala de tiempo necesarios.
Pasos siguientes
Conceptos básicos sobre autenticación
Tipos de autenticadores de NIST
Lograr NIST AAL1 con Microsoft Entra ID