Compartilhar via


Noções básicas de autenticação do NIST

Use as informações neste artigo para aprender a terminologia associada às diretrizes do NIST (National Institute of Standards and Technology). Além disso, os conceitos de tecnologia e fatores de autenticação do TPM (Módulo de Plataforma Confiável) são definidos.

Terminologia

Use a tabela a seguir para entender a terminologia do NIST.

Termo Definição
Asserção Uma instrução de um verificador para uma terceira parte confiável que contém informações sobre o assinante. Uma declaração pode conter atributos verificados
Autenticação O processo de verificar a identidade de uma entidade
Fator de autenticação Algo que você é, sabe, ou tem. Todo autenticador tem um ou mais fatores de autenticação
Autenticador Algo que o solicitante tem e controla para autenticar a identidade do solicitante
Solicitante Uma entidade de identidade a ser verificada com um ou mais protocolos de autenticação
Credencial Um objeto ou estrutura de dados que vincula uma identidade com autoridade a pelo menos um autenticador de assinante que um assinante possui e controla
CSP (provedor de serviços de credencial) Uma entidade confiável que emite ou registra autenticadores de assinante e emite credenciais eletrônicas para assinantes
Terceira parte confiável Uma entidade que depende da declaração de um verificador ou de autenticadores e credenciais de um solicitante, geralmente para permitir acesso a um sistema
Assunto Uma pessoa, uma organização, um dispositivo, um hardware, uma rede, um software ou um serviço
Subscriber Uma entidade que recebeu uma credencial ou um autenticador de um CSP
TPM (Trusted Platform Module) Um módulo resistente a adulterações que executa operações criptográficas, incluindo a geração de chaves
Verificador Uma entidade que verifica a identidade do solicitante verificando a posse e o controle de autenticadores

Sobre a tecnologia Trusted Platform Module

O TPM tem funções relacionadas à segurança baseadas em hardware: um chip TPM ou TPM de hardware é um processador de criptografia seguro que ajuda a gerar, armazenar e limitar o uso de chaves criptográficas.

Para obter informações sobre TPMs e Windows, consulte Módulo de Plataforma Confiável.

Observação

Um TPM de software é um emulador que imita a funcionalidade de TPM de hardware.

Fatores de autenticação e os pontos fortes deles

Agrupe fatores de autenticação em três categorias:

Gráfico de fatores de autenticação, agrupados por algo que alguém é, sabe ou tem

A força do fator de autenticação é determinada pela certeza de que é algo que somente o assinante é, sabe ou tem. A organização NIST fornece diretrizes limitadas sobre a força do fator de autenticação. Use as informações na seção a seguir para saber como Microsoft avalia os pontos fortes.

Algo que você sabe

As senhas são a coisa mais comum conhecida e representam a maior superfície de ataque. As mitigações a seguir aprimoram a confiança no assinante. Elas são eficazes na prevenção de ataques de senha, como força bruta, escuta e engenharia social:

Algo que você tem

A força de algo que você tem é baseada na probabilidade de o assinante mantê-lo em sua posse, sem que um invasor obtenha acesso a ele. Por exemplo, ao se proteger contra ameaças internas, um dispositivo móvel pessoal ou uma chave de hardware possui afinidade maior. O dispositivo, ou chave de hardware, é mais seguro do que um computador desktop em um escritório.

Algo que você é

Ao determinar os requisitos para algo que você é, considere como é fácil para um invasor obter ou falsificar algo como uma biometria. O NIST está elaborando uma estrutura para biometria, no entanto, atualmente não aceita biometria como um único fator. Ele deve fazer parte da MFA (autenticação multifator). Essa precaução ocorre porque a biometria nem sempre fornece uma correspondência exata, como as senhas fazem. Para obter mais informações, confira SOFA-B (Força da Função para Autenticadores – Biometria).

Estrutura SOFA-B para quantificar a força da biometria:

  • Taxa de correspondência falsa
  • Taxa de falha falsa
  • Taxa de erros de detecção de ataque de apresentação
  • Esforço necessário para executar um ataque

Autenticação de fator único

Você pode implementar uma autenticação de fator único usando um autenticador que verifica algo que você sabe ou é. Um fator que seja algo-que-você-é pode ser aceito como autenticação, mas não é aceito apenas como autenticador.

Como funciona a autenticação de fator único

Autenticação multifator

Implementar a MFA usando um autenticador de MFA ou dois autenticadores de fator único. Um autenticador de MFA requer dois fatores de autenticação para uma única transação de autenticação.

MFA com dois autenticadores de fator único

A MFA requer dois fatores de autenticação, que podem ser independentes. Por exemplo:

  • Segredo memorizado (senha) e fora da banda (SMS)

  • Segredo memorizado (senha) e senha de uso único (hardware ou software)

Esses métodos habilitam duas transações de autenticação independentes com a ID do Microsoft Entra.

MFA com dois autenticadores

MFA com um autenticador multifator

A autenticação multifator requer um fator (algo que você sabe ou é) para desbloquear um segundo fator. Esse experiência do usuário é mais fácil do que a de vários autenticadores independentes.

MFA com um único autenticador multifator

Um exemplo é o aplicativo Microsoft Authenticator, no modo sem senha: o usuário acessa um recurso seguro (terceira parte confiável) e recebe uma notificação no aplicativo Authenticator. O usuário fornece uma biometria (algo que você é) ou um PIN (algo que você sabe). Esse fator desbloqueia a chave de criptografia no celular (algo que você tem), que o verificador valida.

Próximas etapas

Visão geral do NIST

Saiba mais sobre AALs

Noções básicas de autenticação

Tipos de autenticadores NIST

Obtendo o NIST AAL1 usando o ID do Microsoft Entra

Obter o NIST AAL2 usando a ID do Microsoft Entra

Obter o NIST AAL3 usando a ID do Microsoft Entra