Garantía del autenticador de NIST de nivel 2 con Microsoft Entra ID
El Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) desarrolla los requisitos técnicos de las agencias federales de Estados Unidos que implementan soluciones de identidad. Las organizaciones que trabajan con agencias federales también deben cumplir estos requisitos.
Antes de empezar a usar el nivel 2 de seguridad del autenticador (AAL2), puede consultar los siguientes recursos:
- Información general sobre NIST: descripción de los niveles de AAL.
- Conceptos básicos de autenticación: terminología y tipos de autenticación
- Tipos de autenticadores de NIST: tipos de autenticadores
- ALL de NIST: componentes de AAL y métodos de autenticación de Microsoft Entra
Tipos de autenticadores permitidos para AAL2
La siguiente tabla incluye los tipos de autenticadores permitidos para AAL2:
| Método de autenticación de Microsoft Entra | Protección contra suplantación de identidad (phishing) | Tipo de autenticador de NIST |
|---|---|---|
| Métodos recomendados | ||
| Certificado de software multifactor Windows Hello para empresas con un módulo de plataforma segura (TPM) de software |
Sí | Software criptográfico multifactor |
| Certificado protegido por hardware multifactor Claves de seguridad FIDO 2 SSO de plataforma para macOS (Enclave seguro) Windows Hello para empresas con TPM de hardware Clave de paso en Microsoft Authenticator |
Sí | Hardware criptográfico multifactor |
| Otros métodos | ||
| Aplicación Microsoft Authenticator (inicio de sesión telefónico) | No | Fuera de banda multifactor |
| Contraseña AND - Aplicación Microsoft Authenticator (notificación push) - OR - Microsoft Authenticator Lite (notificación push) - O - Teléfono (SMS) |
No | Secreto memorizado AND Fuera de banda de factor único |
| Contraseña AND - Tokens de hardware OATH (versión preliminar) - OR - Aplicación Microsoft Authenticator (OTP) - O - Microsoft Authenticator Lite (OTP) - O Tokens de software OATH |
No | Secreto memorizado AND OTP de factor único |
| Contraseña AND - Certificado de software de factor único - OR - Microsoft Entra unido con TPM de software - OR - Microsoft Entra híbrido unido con TPM de software - OR - Dispositivo móvil compatible |
Sí1 | Secreto memorizado AND Software criptográfico de factor único |
| Contraseña AND - Microsoft Entra unido con TPM de hardware - OR - Microsoft Entra híbrido unido con TPM de hardware |
Sí1 | Secreto memorizado AND Hardware criptográfico de factor único |
1 Protección contra suplantación de identidad externa
Recomendaciones para AAL2
Para AAL2, use el autenticador criptográfico multifactor. Esto protege contra la suplantación de identidad (phishing), elimina la mayor superficie de ataque (la contraseña) y ofrece a los usuarios un método simplificado para autenticarse.
Para obtener instrucciones sobre cómo seleccionar un método de autenticación sin contraseña, consulte Planeamiento de una implementación de autenticación sin contraseña en Microsoft Entra ID. Consulte también Introducción a la implementación de Windows Hello para empresas
Validación de FIPS 140
Lea las siguientes secciones para obtener información sobre la validación de FIPS 140.
Requisitos del comprobador
Microsoft Entra ID usa el módulo criptográfico validado globalmente de Windows FIPS 140 de nivel 1 para las operaciones criptográficas de autenticación. Por tanto, es un comprobador conforme con FIPS 140 como exigen los organismos públicos.
Requisitos del autenticador
Los autenticadores criptográficos de organismos públicos se somete a la validación de su conformidad con FIPS 140 de nivel 1 global. Esto no es un requisito para las organizaciones que no son organismos públicos. Los siguientes autenticadores de Microsoft Entra cumplen el requisito cuando se ejecutan en Windows en un modo aprobado por FIPS 140:
Contraseña
Microsoft Entra unido con TPM de hardware o software
Microsoft Entra híbrido unido con TPM de hardware o software
Windows Hello para empresas con TPM de software o hardware
Certificado almacenado en software o hardware (tarjeta inteligente/clave de seguridad/TPM)
Para obtener información de cumplimiento de la aplicación Microsoft Authenticator (iOS/Android) FIPS 140, consulte Compatibilidad con FIPS 140 para la autenticación de Microsoft Entra
Para tokens de hardware y tarjetas inteligentes OATH, le recomendamos que consulte con su proveedor el estado actual de validación FIPS.
Los proveedores de claves de seguridad FIDO 2 se encuentran en varias fases de certificación para FIPS. Se recomienda consultar la lista de proveedores de claves FIDO 2 admitidos. Consulte a su proveedor sobre su estado de validación de FIPS actual.
El inicio de sesión único de la plataforma para macOS es compatible con FIPS 140. Se recomienda hacer referencia a las certificaciones de la plataforma Apple.
Reautenticación
Para AAL2, el NIST requiere repetir la autenticación cada 12 horas, independientemente de la actividad del usuario. La reautenticación es necesaria después de cualquier período de inactividad que dure 30 minutos o más. Dado que el secreto de sesión es algo que tiene, es necesario presentar algo que sepa o sea.
Para cumplir el requisito de reautenticación independientemente de la actividad del usuario, Microsoft recomienda establecer la frecuencia de inicio de sesión del usuario en 12 horas.
El NIST permite usar controles de compensación para confirmar la presencia del suscriptor:
Establezca el tiempo de espera de inactividad de sesión en 30 minutos. Para ello, bloquee el dispositivo en el nivel de sistema operativo con Microsoft System Center Configuration Manager, objetos de directiva de grupo (GPO) o Intune. Para que el suscriptor lo desbloquee, debe requerir autenticación local.
Tiempo de espera independientemente de la actividad: ejecute una tarea programada (Configuration Manager, GPO o Intune) para bloquear la máquina después de 12 horas, independientemente de la actividad.
Resistencia de tipo "man in the middle" (MitM)
La comunicación entre el solicitante y Microsoft Entra ID se realiza a través de un canal autenticado y protegido. Esta configuración proporciona una barrera contra los ataques de tipo “Man in the middle” (MitM) y satisface los requisitos de resistencia a ataques MitM para AAL1, AAL2 y AAL3.
Resistencia de reproducción
Los métodos de autenticación de Microsoft Entra en el nivel AAL2 usan nonce o desafíos. Estos métodos son resistentes a los ataques de reinyección, porque el comprobador detecta las transacciones de autenticación reinyectadas. Estas transacciones no contienen los datos de nonce o de escala de tiempo necesarios.
Pasos siguientes
Conceptos básicos sobre autenticación
Tipos de autenticadores de NIST
Lograr NIST AAL1 con Microsoft Entra ID