Seguridad en la &#39nueva normalidad&#39: sin contraseña es el camino a seguir


Pasar de las contraseñas a la autenticación sólida y las políticas de acceso adaptativo es clave para mejorar la seguridad sin afectar la productividad, especialmente dado el aumento del trabajo remoto.

Violaciones de datos, phishing, ransomware: los detalles pueden cambiar, pero las credenciales robadas están detrás del 80% de los ataques. «Los nombres de usuario y las contraseñas simplemente no son seguros por naturaleza», CVP de la División de Identidad de Microsoft Alegría chik le dice a TechRepublic. Además, a nadie le gustan las contraseñas, simplemente las soportamos.

VER: Navegando por la privacidad de los datos (Característica especial de ZDNet / TechRepublic) | Descarga la versión gratuita en PDF (TechRepublic)

«La mejor manera de proteger al usuario es brindar una experiencia más intuitiva y amigable y una forma más segura de sin contraseña«, Dice Chik.

MFA (autenticación multifactor) ha estado disponible para las cuentas de Azure Advertisement desde 2014, pero la adopción ha sido lenta. «MFA, que es el nombre de usuario, la contraseña y otro component, es difícil de adoptar para los usuarios es complejo y la contraseña todavía está ahí, por lo que en muchos de nuestros clientes empresariales, TI simplemente no activa MFA», dice Chik. «Activar sin contraseña simplifica mucho la administración, minimize el costo hace que la adopción de lo que es básicamente la autenticación multifactor sea más segura y con una mejor experiencia de usuario».

Ahora que la biometría como Windows Hello there Las cámaras se encuentran en muchas computadoras portátiles, las aplicaciones de autenticación son comunes en los teléfonos inteligentes y relojes inteligentes, y Apple finalmente anunció su soporte para FIDO 2, el interés está aumentando. En noviembre de 2019, 100 millones de cuentas de consumidores y empresas de Microsoft utilizaban autenticación sin contraseña para mayo de 2020, eso ascendía a 150 millones.

Hasta el 90% de los más de 150.000 empleados de Microsoft han optado por iniciar sesión sin contraseña. «Eso ilustra que no es solo un impulso de TI de arriba hacia abajo, sino también porque a los usuarios les encanta, y es más seguro». Esa es una combinación rara, enfatiza Chik.

También es una forma de ahorrar dinero, agrega Chik: «La gente no recuerda las contraseñas y hay un gran costo de TI solo para ayudar a los usuarios a restablecer las contraseñas». Cuando Microsoft cambió a sin contraseña, el costo de soporte de la administración de contraseñas internamente se redujo en un 80%.

Seguro pero conveniente

El trabajo remoto es un escenario central para los clientes de Microsoft en empresas, gobiernos y educación durante el resto de este año calendario, los próximos 12 meses y probablemente más allá, señala Chik: «El 71% de los empleados y gerentes quieren continuar trabajando desde casa, especialmente cuando no tenemos la vacuna COVID, pero incluso en un mundo pospandémico, la gente quiere la flexibilidad de poder trabajar desde casa «. Eso está ayudando a colocar la seguridad, la identidad y la MFA en las cinco áreas de inversión principales para los líderes de seguridad, aunque los CISO deben mejorar la seguridad de los trabajadores remotos sin reducir su productividad.

La adopción de MFA ya está aumentando, dice Chik: «Tratamos de alentar a todos nuestros clientes empresariales a activar MFA incluso tenemos una oferta de MFA gratuita. También trabajamos muy duro para obtener comentarios de los clientes sobre cómo simplificar algunas de las pautas de implementación y las opciones de implementación para los administradores «.

Eso ayudó a que el uso de MFA por parte de los clientes comerciales de Microsoft aumentara en más del 25%. «Comenzamos con un solo dígito bajo, y ahora está en los dígitos dobles no es donde queremos estar, pero la buena noticia es que MFA está activado de manera predeterminada para todos los nuevos inquilinos creados en Azure A», dijo. dice.

Chik espera que más organizaciones se trasladen al Valores predeterminados de seguridad que se han aplicado automáticamente a los nuevos inquilinos de Azure Advert desde octubre de 2019 y están disponibles para todos los inquilinos de Azure Advertisement (incluida la capa gratuita). Busque en Administrar / Propiedades / Administrar valores predeterminados de seguridad en su configuración de inquilino de Azure Advertisement.

Además de activar MFA para todos los usuarios (usando la aplicación Authenticator en lugar de SMS), los valores predeterminados agregan verificaciones adicionales para roles de administrador clave (y cualquiera que acceda al portal de Azure, CLI o Azure PowerShell) y bloquean la autenticación heredada de clientes más antiguos (como Workplace 2010 y aplicaciones POP3), que detiene los ataques de propagación de contraseñas.

Los clientes más sofisticados seguirán utilizando políticas de acceso condicional y las pocas organizaciones que han optado por no utilizar los valores predeterminados de seguridad en un nuevo inquilino lo han hecho para activar el acceso condicional. «Están usando políticas basadas en identidad y controles granulares en lugar de la política VPN tradicional, de modo que pueden establecer, según los usuarios, sus dispositivos y purple, a qué aplicaciones pueden acceder y qué documentos confidenciales son permitido el acceso «, le dice Chik a TechRepublic.

Habilitar el acceso a aplicaciones heredadas ha sido a menudo el obstáculo para activar MFA Los desafíos de COVID y la economía significan que el trabajo remoto y la reducción de costos están empujando a las organizaciones a lidiar con ese problema mediante el uso de Azure Advertisement para trasladar la autenticación de esos sistemas heredados a la nube. «Consolidar de manera eficiente diferentes sistemas es algo que están ansiosos por hacer», explica Chik. «Debido a que brindamos soporte de plataforma para aplicaciones sin contraseña, los clientes que se conectan a las aplicaciones usando Azure Advertisement ni siquiera necesitan volver a implementar sus aplicaciones sin contraseña simplemente funcionaría».

Microsoft 365 y Office environment 365 Puntuación segura La característica también actúa como un incentivo al ofrecer una comparación con organizaciones similares en el mismo sector industrial, dice Chik. «Decimos &#39hey, su grupo de pares está en este nivel de Safe Score&#39 y creo que eso les ayuda a decir &#39como CSO, como arquitecto de identidad, por qué mi empresa está por debajo de ese promedio y qué cosas debo hacer para mejorar eso? &#39 Con los valores predeterminados de seguridad, cuando activamos MFA, ya giramos las perillas que los llevan a un puntaje seguro que es comparable al rango de su propio grupo de pares. Ahora les damos una receta simplificada que pueden implementar rápidamente y tienen la capacidad de personalizar políticas de acceso condicional además de eso «.

azure-ad-my-sign-ins.jpg "src =" https://tr4.cbsistatic.com/hub/i/2020/08/11/ca480377-a03f-4812-a019-979f69776e1e/azure-ad-my -sign-ins.jpg

Mis inicios de sesión muestra a los usuarios cuándo han intentado acceder a su cuenta de Azure Ad.

Imagen: Mary Branscombe / TechRepublic

Ese no period yo

Otra característica nueva anima a los usuarios a participar.

Darle una forma de ver si alguien está tratando de atacar su cuenta, la forma en que algunos sitios de banca en línea muestran la fecha y hora de su último inicio de sesión exitoso y el intento fallido más reciente de ingresar a la cuenta, es una idea muy útil. es sorprendente que no sea más común. Mucha gente asume que su cuenta y su empresa no son lo suficientemente importantes como para que nadie ataque, pero el nuevo Azure Ad Mis inicios de sesión La función es una especie de llamada de atención: solo en los últimos cinco días, ha habido intentos fallidos de Ecuador, Rusia, Zúrich y Ámsterdam para acceder a mi cuenta de Business office 365.

La thought no es asustar a la gente para que cambie la contraseña, a menos que el atacante haya logrado iniciar sesión en cambio, si hace clic en el enlace para decir que no reconoce un intento de inicio de sesión fallido, se le pedirá que revise la forma en que inicia sesión y tal vez cambie a MFA. El acceso a la cuenta particularmente sospechoso se mostrará en el arriba de la lista, y puede marcar los falsos positivos para que no sigan recibiendo advertencias si es solo que ha comenzado a regresar a la cafetería en lugar de trabajar en casa todo el tiempo.

Los ataques aún son posibles con la autenticación sin contraseña en lugar de engañar a los usuarios para que renuncien a las contraseñas (o aprovechar la cantidad de personas que eligen contraseñas débiles o reutilizan contraseñas seguras que se han esforzado por memorizar), los atacantes tendrán que extraer y reproducir tokens.

«Continuaremos trabajando con la industria en eso, además de incorporar en la plataforma cómo asegurarnos de que el token de acceso en sí mismo pueda vincularse, idealmente, al dispositivo, pero también vincularlo a las aplicaciones. y las condiciones de la crimson «, dice Chik.

«Continuaremos presionando ese botón, pero al adoptar la tecnología sin contraseña con soporte MFA, (nuestra telemetría en Azure Ad muestra) podemos aumentar la postura de seguridad (de una organización) en un 99,9%».

Ver también



Enlace a la noticia first