Garantia do autenticador NIST nível 2 com ID do Microsoft Entra

Artigo
03/26/2024

O National Institute of Standards and Technology (NIST) desenvolve requisitos técnicos para agências federais dos EUA que implementam soluções de identidade. As organizações que trabalham com agências federais devem atender a esses requisitos.

Antes de iniciar o nível 2 de garantia do autenticador (AAL2), você pode ver os seguintes recursos:

Visão geral do NIST: Compreender os níveis de AAL
Noções básicas de autenticação: terminologia e tipos de autenticação
Tipos de autenticador NIST: Tipos de autenticador
AALs NIST: componentes AAL e métodos de autenticação Microsoft Entra

Tipos de autenticador AAL2 permitidos

A tabela a seguir tem tipos de autenticador permitidos para AAL2:

Método de autenticação Microsoft Entra	Tipo de autenticador NIST
Métodos recomendados
Certificado de Software Multifator (Protegido por PIN) Windows Hello para Empresas com software Trusted Platform Module (TPM)	Software de criptografia multifator
Certificado protegido por hardware (cartão inteligente/chave de segurança/TPM) Chave de segurança FIDO 2 Windows Hello para Empresas com TPM de hardware	Hardware de criptografia multifator
Aplicação Microsoft Authenticator (sem palavra-passe)	Multi-fator fora da banda
Métodos adicionais
Palavra-passe E AINDA - Aplicação Microsoft Authenticator (Push Notification) - OU - Microsoft Authenticator Lite (Notificação Push) - OU - Telefone (SMS)	Segredo memorizado E AINDA Fator único fora da banda
Palavra-passe E AINDA - Tokens de hardware OATH (visualização) - OU - Aplicativo Microsoft Authenticator (OTP) - OU - Microsoft Authenticator Lite (OTP) - OU - Tokens de software OATH	Segredo memorizado E AINDA OTP de fator único
Palavra-passe E AINDA - Certificado de software de fator único - OU - Microsoft Entra juntou-se ao software TPM - OU - Microsoft Entra híbrido unido com software TPM - OU - Dispositivo móvel compatível	Segredo memorizado E AINDA Software de criptografia de fator único
Palavra-passe E AINDA - Microsoft Entra juntou-se com hardware TPM - OU - Microsoft Entra híbrido unido com hardware TPM	Segredo memorizado E AINDA Hardware de criptografia de fator único

Nota

Hoje, o Microsoft Authenticator por si só não é resistente a phishing. Para obter proteção contra ameaças de phishing externas ao usar o Microsoft Authenticator, você deve configurar adicionalmente a política de Acesso Condicional que exija um dispositivo gerenciado.

Recomendações AAL2

Para AAL2, use autenticadores de hardware ou software criptográfico multifator. A autenticação sem senha elimina a maior superfície de ataque (a senha) e oferece aos usuários um método simplificado de autenticação.

Para obter orientação sobre como selecionar um método de autenticação sem senha, consulte Planejar uma implantação de autenticação sem senha no Microsoft Entra ID. Consulte também o guia de implantação do Windows Hello for Business

Validação FIPS 140

Use as seções a seguir para saber mais sobre a validação FIPS 140.

Requisitos do verificador

O Microsoft Entra ID usa o módulo criptográfico validado geral do Windows FIPS 140 Nível 1 para operações criptográficas de autenticação. É, portanto, um verificador compatível com FIPS 140 exigido por agências governamentais.

Requisitos do autenticador

Os autenticadores criptográficos de agências governamentais são validados para FIPS 140 Nível 1 em geral. Este requisito não é para agências não-governamentais. Os seguintes autenticadores do Microsoft Entra atendem aos requisitos quando executados no Windows em um modo aprovado pelo FIPS 140:

Palavra-passe
Microsoft Entra juntou-se com software ou com hardware TPM
Microsoft Entra híbrido unido com software ou com hardware TPM
Windows Hello para Empresas com software ou com hardware TPM
Certificado armazenado em software ou hardware (cartão inteligente/chave de segurança/TPM)

O aplicativo Microsoft Authenticator é compatível com FIPS 140 no iOS. A conformidade com o Android FIPS 140 está em andamento. Para obter mais informações sobre os módulos criptográficos validados FIPS usados pelo Microsoft Authenticator, consulte o aplicativo Microsoft Authenticator

Para tokens de hardware OATH e cartões inteligentes, recomendamos que você consulte seu provedor para obter o status atual de validação FIPS.

Os fornecedores de chaves de segurança FIDO 2 estão em vários estágios de certificação FIPS. Recomendamos que você revise a lista de fornecedores de chaves FIDO 2 suportados. Consulte seu provedor para obter o status atual da validação FIPS.

Reautenticação

Para AAL2, o requisito do NIST é a reautenticação a cada 12 horas, independentemente da atividade do usuário. A reautenticação é necessária após um período de inatividade de 30 minutos ou mais. Porque o segredo da sessão é algo que você tem, apresentar algo que você sabe, ou é, é necessário.

Para atender ao requisito de reautenticação, independentemente da atividade do usuário, a Microsoft recomenda configurar a frequência de entrada do usuário para 12 horas.

Com o NIST, você pode usar controles de compensação para confirmar a presença do assinante:

Defina o tempo limite de inatividade da sessão para 30 minutos: bloqueie o dispositivo no nível do sistema operacional com o Microsoft System Center Configuration Manager, objetos de política de grupo (GPOs) ou Intune. Para que o assinante o desbloqueie, exija autenticação local.
Tempo limite independentemente da atividade: execute uma tarefa agendada (Configuration Manager, GPO ou Intune) para bloquear a máquina após 12 horas, independentemente da atividade.

Resistência homem-no-meio

As comunicações entre o requerente e o Microsoft Entra ID são feitas através de um canal autenticado e protegido. Esta configuração fornece resistência a ataques man-in-the-middle (MitM) e satisfaz os requisitos de resistência MitM para AAL1, AAL2 e AAL3.

Resistência à repetição

Os métodos de autenticação Microsoft Entra no AAL2 usam nonce ou challenges. Os métodos resistem a ataques de repetição porque o verificador deteta transações de autenticação repetidas. Essas transações não conterão os dados necessários de nonce ou pontualidade.