Jaminan pengautentikasi NIST tingkat 2 dengan ID Microsoft Entra

Artikel
03/26/2024

National Institute of Standards and Technology (NIST) mengembangkan persyaratan teknis untuk lembaga federal AS yang menerapkan solusi identitas. Organisasi yang bekerja dengan lembaga federal harus memenuhi persyaratan ini.

Sebelum memulai jaminan pengautentikasi tingkat 2 (AAL2), Anda dapat melihat sumber daya berikut:

Gambaran umum NIST: Memahami tingkat AAL
Dasar-dasar autentikasi: Jenis terminologi dan autentikasi
Jenis pengautentikasi NIST: Jenis authenticator
AAL NIST: Komponen AAL dan metode autentikasi Microsoft Entra

Jenis pengautentikasi AAL2 yang diizinkan

Tabel berikut ini memiliki jenis pengautentikasi yang diizinkan untuk AAL2:

Metode autentikasi Microsoft Entra	Jenis pengautentikasi NIST
Metode yang direkomendasikan
Sertifikat Perangkat Lunak Multifaktor (Dilindungi PIN) Windows Hello untuk Bisnis dengan Modul Platform Tepercaya (TPM) perangkat lunak	Perangkat lunak kripto multifaktor
Sertifikat yang dilindungi perangkat keras (smartcard/kunci keamanan/TPM) Kunci keamanan FIDO 2 Windows Hello untuk Bisnis dengan TPM perangkat keras	Perangkat keras kripto multifaktor
Aplikasi Microsoft Authenticator (Tanpa Kata Sandi)	Out-of-band multifaktor
Metode tambahan
Password AND - Aplikasi Microsoft Authenticator (Pemberitahuan Push) - ATAU - Microsoft Authenticator Lite (Pemberitahuan Push) - ATAU - Telepon (SMS)	Rahasia yang dihafal AND Faktor tunggal di luar band
Password AND - Token perangkat keras OATH (pratinjau) - ATAU - Aplikasi Microsoft Authenticator (OTP) - ATAU - Microsoft Authenticator Lite (OTP) - ATAU - Token perangkat lunak OATH	Rahasia yang dihafal AND OTP faktor tunggal
Password AND - Sertifikat perangkat lunak faktor tunggal - ATAU - Microsoft Entra bergabung dengan TPM perangkat lunak - ATAU - Microsoft Entra hybrid bergabung dengan TPM perangkat lunak - ATAU - Perangkat seluler yang sesuai	Rahasia yang dihafal AND Perangkat lunak kripto faktor tunggal
Password AND - Microsoft Entra bergabung dengan TPM perangkat keras - ATAU - Microsoft Entra hybrid bergabung dengan TPM perangkat keras	Rahasia yang dihafal AND Perangkat keras kripto faktor tunggal

Catatan

Saat ini, Microsoft Authenticator dengan sendirinya tidak tahan phishing. Untuk mendapatkan perlindungan dari ancaman pengelabuan eksternal saat menggunakan Microsoft Authenticator, Anda juga harus mengonfigurasi kebijakan Akses Bersyarat yang memerlukan perangkat terkelola.

Rekomendasi AAL2

Untuk AAL2, gunakan pengautentikasi perangkat keras atau perangkat lunak kriptografi multifaktor. Autentikasi tanpa kata sandi menghilangkan permukaan serangan terbesar (kata sandi), dan menawarkan kepada pengguna metode untuk mengautentikasi yang disederhanakan.

Untuk panduan tentang memilih metode autentikasi tanpa kata sandi, lihat Merencanakan penyebaran autentikasi tanpa kata sandi di ID Microsoft Entra. Lihat juga, panduan penyebaran Windows Hello untuk Bisnis

Validasi FIPS 140

Gunakan bagian berikut untuk mempelajari tentang validasi FIPS 140.

Persyaratan pemverifikasi

MICROSOFT Entra ID menggunakan modul kriptografi tervalidasi Keseluruhan Windows FIPS 140 Level 1 untuk operasi kriptografi autentikasi. Oleh karena itu, ini adalah pemverifikasi yang mematuhi FIPS 140 yang diperlukan oleh lembaga pemerintah.

Persyaratan authenticator

Pengautentikasi kriptografi lembaga pemerintah divalidasi untuk FIPS 140 Level 1 secara keseluruhan. Persyaratan ini bukan untuk lembaga non-pemerintah. Pengautentikasi Microsoft Entra berikut memenuhi persyaratan saat berjalan di Windows dalam mode yang disetujui FIPS 140:

Kata sandi
Microsoft Entra bergabung dengan perangkat lunak atau dengan TPM perangkat keras
Microsoft Entra hybrid bergabung dengan perangkat lunak atau dengan TPM perangkat keras
Windows Hello untuk Bisnis dengan TPM perangkat lunak atau perangkat keras
Sertifikat yang disimpan dalam perangkat lunak atau perangkat keras (smartcard/kunci keamanan/TPM)

Aplikasi Microsoft Authenticator mematuhi FIPS 140 di iOS. Kepatuhan Android FIPS 140 sedang berlangsung. Untuk informasi selengkapnya tentang modul kriptografi tervalidasi FIPS yang digunakan oleh Microsoft Authenticator Lihat aplikasi Microsoft Authenticator

Untuk token perangkat keras OATH dan kartu pintar, kami sarankan Anda berkonsultasi dengan penyedia Anda untuk status validasi FIPS saat ini.

Penyedia kunci keamanan FIDO 2 berada dalam berbagai tahap sertifikasi FIPS. Sebaiknya tinjau daftar vendor kunci FIDO 2 yang didukung. Konsultasikan dengan penyedia Anda untuk status validasi FIPS saat ini.

Autentikasi ulang

Untuk AAL2, persyaratan NIST adalah autentikasi ulang setiap 12 jam, terlepas dari aktivitas pengguna. Autentikasi ulang diperlukan setelah periode tidak aktif 30 menit atau lebih. Karena rahasia sesi adalah sesuatu yang Anda miliki, menyajikan sesuatu yang Anda ketahui, atau, diperlukan.

Untuk memenuhi persyaratan autentikasi ulang, terlepas dari aktivitas pengguna, Microsoft merekomendasikan untuk mengonfigurasi frekuensi masuk pengguna hingga 12 jam.

Dengan NIST, Anda dapat menggunakan kontrol kompensasi untuk mengonfirmasi kehadiran pelanggan:

Atur waktu tidak aktif sesi hingga 30 menit: Kunci perangkat di tingkat sistem operasi dengan Microsoft System Center Configuration Manager, objek kebijakan grup (GPO), atau Intune. Agar pelanggan membuka kuncinya, perlu autentikasi lokal.
Waktu habis terlepas dari aktivitas: Jalankan tugas terjadwal (Configuration Manager, GPO, atau Intune) untuk mengunci komputer setelah 12 jam, terlepas dari aktivitas.

Ketahanan terhadap man-in-the-middle

Komunikasi antara penuntut dan ID Microsoft Entra melalui saluran yang diautentikasi dan dilindungi. Konfigurasi ini memberikan ketahanan terhadap serangan man-in-the-middle (MitM) dan memenuhi persyaratan resistensi MitM untuk AAL1, AAL2, dan AAL3.

Ketahanan terhadap replay

Metode autentikasi Microsoft Entra di AAL2 menggunakan nonce atau tantangan. Metode ini menolak serangan pemutaran ulang karena pemverifikasi mendeteksi transaksi autentikasi yang diputar ulang. Transaksi tersebut tidak akan berisi data nonce atau timeliness yang diperlukan.