Logro del nivel 2 de seguridad del autenticador de NIST con Azure Active Directory

El Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) desarrolla los requisitos técnicos de las agencias federales de Estados Unidos que implementan soluciones de identidad. El cumplimiento de estos requisitos también es necesario en el caso de organizaciones que trabajan con agencias federales.

Antes de intentar lograr el nivel 2 de seguridad del autenticador (AAL2), tal vez desee consultar los siguientes recursos:

Tipos de autenticadores permitidos

En la tabla siguiente, se proporcionan detalles sobre los tipos de autenticadores permitidos para AAL2:

Método de autenticación de Azure AD Tipo de autenticador de NIST
Métodos recomendados
Aplicación Microsoft Authenticator para iOS (sin contraseña)
Windows Hello para empresas módulo de plataforma segura (TPM) de software
Software criptográfico multifactor
Clave de seguridad FIDO 2
Aplicación Microsoft Authenticator para Android (sin contraseña)
Windows Hello para empresas con TPM de hardware
Smartcard (Servicios de federación de Active Directory [AD FS])
Hardware criptográfico multifactor
Otros métodos
Contraseña y teléfono (SMS) Secreto memorizado + fuera de banda
Contraseña + aplicación Microsoft Authenticator (OTP)
Contraseña + SF OTP
Secreto memorizado + contraseña única de un solo factor
Contraseña + Azure AD unido al TPM de software
Contraseña + dispositivo móvil compatible
Contraseña + Azure AD híbrido unido al TPM de software
Contraseña + aplicación Microsoft Authenticator (notificación)
Secreto memorizado + software criptográfico de un solo factor
Contraseña + Azure AD unido con TPM de hardware
Contraseña + unión a Azure AD híbrido con TPM de hardware
Secreto memorizado + hardware criptográfico de un solo factor

Nota:

En una directiva de acceso condicional, si necesita que un dispositivo esté marcado como conforme o unido a Azure AD híbrido, Authenticator actuará como barrera contra la suplantación del comprobador.

Nuestras recomendaciones

Para lograr AAL2, use autenticadores criptográficos multifactor de software o hardware. La autenticación sin contraseña elimina la mayor superficie de ataque (la contraseña) y ofrece a los usuarios un método simplificado para autenticarse.

Para obtener instrucciones detalladas sobre cómo seleccionar un método de autenticación sin contraseña, vea Planeamiento de una implementación de autenticación sin contraseña en Azure Active Directory.

Para obtener más información sobre cómo implementar Windows Hello para empresas, consulte la guía de implementación de Windows Hello para empresas.

Validación de FIPS 140

En las secciones siguientes se describe cómo lograr la validación de FIPS 140.

Requisitos del comprobador

Azure AD usa el módulo criptográfico validado global Windows FIPS 140 de nivel 1 para todas sus operaciones criptográficas relacionadas con la autenticación. Por lo tanto, es un comprobador compatible con FIPS 140 según las exigencias de las agencias gubernamentales.

Requisitos del autenticador

Los autenticadores criptográficos de las agencias gubernamentales deben tener la validación general FIPS 140, nivel 1. Esto no es un requisito para las agencias no gubernamentales. Los siguientes autenticadores de Azure AD cumplen el requisito cuando se ejecutan en Windows en un modo de operación aprobado por FIPS 140:

  • Contraseña

  • Unión a Azure AD con TPM de software o hardware

  • Unión a Azure AD híbrido con TPM de software o hardware

  • Windows Hello para empresas con TPM de software o hardware

  • Smartcard (Servicios de federación de Active Directory [AD FS])

Aunque la aplicación Microsoft Authenticator en todos sus modos (notificación, OTP y sin contraseña) usa la criptografía aprobada de FIPS 140, no está validada para FIPS 140 de nivel 1.

Los proveedores de claves de seguridad FIDO2 se encuentran en varias fases de la certificación FIPS, incluidos algunos que han completado la validación. Se recomienda que revise la lista de los proveedores de claves FIDO2 admitidos y consulte con el proveedor el estado actual de validación con FIPS.

Reautenticación

En el nivel AAL2, NIST requiere volver a autenticarse cada 12 horas, independientemente de la actividad del usuario. Esta nueva autenticación también es necesaria después de cualquier período de inactividad que dure 30 minutos o más. Es obligatorio que presente algo que sabe o algo que usted es, porque el secreto de sesión es algo que posee.

Para cumplir el requisito de reautenticación independientemente de la actividad del usuario, Microsoft recomienda configurar la frecuencia de inicio de sesión del usuario en 12 horas.

NIST también permite el uso de controles de compensación para confirmar la presencia del suscriptor:

  • Puede establecer el tiempo de espera de inactividad de sesión en 30 minutos; para ello, puede bloquear el dispositivo en el nivel de sistema operativo mediante Microsoft System Center Configuration Manager, objetos de directiva de grupo (GPO) o Intune. También debe requerir autenticación local para que el suscriptor la desbloquee.

  • Puede conseguir un tiempo de espera independiente de la actividad mediante la ejecución de una tarea programada (en Configuration Manager, GPO o Intune) que bloquee la máquina después de 12 horas, independientemente de la actividad.

Resistencia de tipo "man in the middle" (MitM)

Todas las comunicaciones entre el solicitante y Azure AD se realizan a través de un canal protegido autenticado para proporcionar resistencia a los ataques MitM. Así se satisfacen los requisitos de resistencia de MitM para AAL1, AAL2 y AAL3.

Resistencia de reproducción

Todos métodos de autenticación de Azure AD en el nivel AAL2 usan nonce o desafíos. Estos métodos son resistentes a los ataques de reproducción porque el comprobador detecta fácilmente las transacciones de autenticación reproducidas. Estas transacciones no contendrán los datos de nonce o temporalidad adecuados.

Pasos siguientes

Introducción a NIST

Más información sobre los AAL

Conceptos básicos sobre autenticación

Tipos de autenticadores de NIST

Logro del nivel 1 de seguridad del autenticador de NIST con Azure Active Directory

Logro del nivel 2 de seguridad del autenticador de NIST con Azure Active Directory

Logro del nivel 3 de seguridad del autenticador de NIST con Azure Active Directory