Nivel de garantía del autenticador de NIST 3 mediante el identificador de Microsoft Entra

Use la información de este artículo para el nivel 3 (AAL3) de garantía del autenticador del Instituto Nacional de Estándares y Tecnología (NIST).

Antes de obtener AAL2, puede revisar los siguientes recursos:

• Información general sobre NIST: descripción de los niveles de AAL
• Conceptos básicos de autenticación: terminología y tipos de autenticación
• Tipos de autenticadores de NIST: tipos de autenticadores
• ALL de NIST: componentes de AAL y métodos de autenticación de Microsoft Entra

Tipos de autenticadores permitidos

Use los métodos de autenticación de Microsoft para satisfacer los tipos de autenticadores de NIST necesarios.

Microsoft Entra métodos de autenticación	Tipo de autenticador de NIST
Métodos recomendados
Certificado protegido por hardware multifactor Claves de seguridad FIDO 2 SSO de plataforma para macOS (Enclave seguro) Windows Hello para empresas con TPM de hardware Clave de paso en Microsoft Authenticator1	Hardware criptográfico multifactor
Otros métodos
Contraseña AND Certificado protegido por hardware de factor único	Secreto memorizado AND Hardware criptográfico de un solo factor

¹ Passkey en Microsoft Authenticator se considera generalmente parcial AAL3 y puede calificar como AAL3 en plataformas con FIPS 140 Nivel 2 General (o superior) y SEGURIDAD física FIPS 140 nivel 3 (o superior). Para obtener información adicional sobre el cumplimiento de FIPS 140 para Microsoft Authenticator (iOS/Android), consulte Compatibilidad con FIPS 140 para la autenticación de Microsoft Entra

Recomendaciones

Para AAL3, se recomienda usar un autenticador de hardware criptográfico multifactor que proporcione autenticación sin contraseña eliminando la mayor superficie expuesta a ataques, la contraseña.

Para mayor guía, consultePlaneamiento de una implementación de autenticación sin contraseña en ID. de Microsoft Entra. Consulte también Introducción a la implementación de Windows Hello para empresas.

Validación de FIPS 140

Requisitos del comprobador

Microsoft Entra id. usa el módulo criptográfico validado global de Windows FIPS 140 nivel 1 para sus operaciones criptográficas de autenticación, lo que Microsoft Entra identificador es un comprobador compatible.

Requisitos del autenticador

Requisitos de los autenticadores de hardware criptográfico de un solo factor y multifactor.

Hardware criptográfico de un solo factor

Los autenticadores deben ser:

• FIPS 140 nivel 1 general (o superior)

• FIPS 140 nivel 3 en seguridad física (o superior)

El certificado protegido por hardware de un solo factor que se usa con el dispositivo Windows cumple este requisito cuando:

• Ejecuta Windows en un modo aprobado por FIPS 140.

• En una máquina con un TPM que sea FIPS 140 nivel 1 general (o superior) con FIPS 140 nivel 3 en seguridad física.

  • Busque TPM compatibles: busque el Módulo de plataforma segura y TPM en Programa de validación de módulos criptográficos.

Consulte con el proveedor de dispositivos móviles para obtener información sobre su cumplimiento con FIPS 140.

Hardware criptográfico multifactor

Los autenticadores deben ser:

• FIPS 140 nivel 2 general (o superior)

• FIPS 140 nivel 3 en seguridad física (o superior)

Las claves de seguridad FIDO2, las tarjetas inteligentes y Windows Hello para empresas pueden ayudarle a cumplir estos requisitos.

• Varios proveedores de claves de seguridad FIDO2 cumplen los requisitos de FIPS. Se recomienda consultar la lista de proveedores de claves FIDO2 admitidos. Consulte a su proveedor sobre su estado de validación de FIPS actual.

• Las tarjetas inteligentes son una tecnología probada. Varios productos de proveedores cumplen los requisitos de FIPS.

  • Obtenga más información en Programa de validación de módulos criptográficos.

Windows Hello para empresas

FIPS 140 requiere que el límite criptográfico, incluido el software, el firmware y el hardware, esté en el ámbito de la evaluación. Los sistemas operativos Windows se pueden emparejar con miles de estas combinaciones. Por lo tanto, no es factible que Microsoft haya validado Windows Hello para empresas en el nivel de seguridad 2 de FIPS 140. Los clientes federales deben realizar evaluaciones de riesgos y evaluar cada una de las siguientes certificaciones de componentes como parte de su aceptación de riesgos antes de aceptar este servicio como AAL3:

• Windows 10 y Windows Server usan el perfil de protección aprobado por el Gobierno de EE. UU. para sistemas operativos de uso general, versión 4.2.1 de National Information Assurance Partnership (NIAP). Esta organización supervisa un programa nacional para evaluar productos de tecnologías de la información (TI) de productos comerciales (COTS) para cumplir los criterios comunes internacionales.

• La biblioteca criptográfica de Windows tiene el nivel 1 de FIPS general del Programa de validación de módulos criptográficos (CMVP) de NIST, un esfuerzo conjunto entre NIST y el Centro canadiense de ciberseguridad. Esta organización valida los módulos criptográficos con los estándares FIPS.

• Elija un Módulo de plataforma segura (TPM) que sea FIPS 140 nivel 2 general y FIPS 140 nivel 3 en seguridad física. Su organización garantiza que el TPM de hardware cumpla los requisitos de nivel AAL que desee.

Para determinar qué TPM cumplen los estándares actuales, vaya al Programa de validación de módulos criptográficos del centro de recursos de seguridad del equipo de NIST. En el cuadro Nombre del módulo, escriba Módulo de plataforma segura para obtener una lista de TPM de hardware que cumplan los estándares.

Platform SSO para macOS

Apple macOS 13 (y versiones posteriores) son FIPS 140 Nivel 2 General, con la mayoría de los dispositivos también FIPS 140 Nivel 3 Seguridad física. Se recomienda hacer referencia a las certificaciones de la plataforma Apple.

Clave de paso en Microsoft Authenticator

Para obtener información adicional sobre el cumplimiento de FIPS 140 para Microsoft Authenticator (iOS/Android), consulte Compatibilidad con FIPS 140 para la autenticación de Microsoft Entra

Reautenticación

Para AAL3, los requisitos de NIST son repetir la autenticación cada 12 horas, independientemente de la actividad del usuario. Se recomienda volver a autenticar después de un período de inactividad de 15 minutos o más. Se requiere la presentación de ambos factores.

Para cumplir el requisito de reautenticación independientemente de la actividad del usuario, Microsoft recomienda configurar la frecuencia de inicio de sesión del usuario en 12 horas.

NIST permite que los controles de compensación confirmen la presencia del suscriptor:

• Establezca el tiempo de espera, independientemente de la actividad, ejecutando una tarea programada mediante Configuration Manager, GPO o Intune. Bloquee la máquina después de 12 horas, independientemente de la actividad.

• Para el tiempo de espera de inactividad recomendado, puede establecer un tiempo de inactividad de sesión de 15 minutos: Bloquear el dispositivo en el nivel de sistema operativo mediante Microsoft Configuration Manager, objeto de directiva de grupo (GPO) o Intune. Para que el suscriptor lo desbloquee, debe requerir autenticación local.

Resistencia de tipo "man in the middle" (MitM)

Todas las comunicaciones entre el solicitante y Microsoft Entra ID se realizan a través de un canal protegido y autenticado para proporcionar resistencia a los ataques de intermediario. Esta configuración satisface los requisitos de resistencia de MitM para AAL1, AAL2 y AAL3.

Resistencia a la suplantación del comprobador

Los métodos de autenticación de Microsoft Entra que cumplen AAL3 utilizan los autenticadores criptográficos que enlazan la salida del autenticador con la sesión que se va a autenticar. Los métodos utilizan una clave privada controlada por el solicitante. El comprobador conoce la clave pública. Esta configuración satisface los requisitos de resistencia a la suplantación del comprobador para AAL3.

Resistencia al riesgo del comprobador

Todos los métodos de autenticación de Microsoft Entra que cumplen con AAL3:

• Usan un autenticador criptográfico que requiere que el comprobador almacene una clave pública que se corresponda con una clave privada que mantiene el autenticador.
• Almacenan la salida esperada del autenticador mediante algoritmos hash validados por FIPS-140.

Para más información, consulte Consideraciones sobre la seguridad de los datos de Microsoft Entra.

Resistencia de reproducción

Los métodos de autenticación de Microsoft Entra que cumplen con AAL3 usan nonce o desafíos. Estos métodos son resistentes a los ataques de reproducción porque el comprobador puede detectar las transacciones de autenticación reproducidas. Estas transacciones no contienen los datos de nonce o de escala de tiempo necesarios.

Intención de autenticación

Requerir intención de autenticación hace que sea más difícil que los autenticadores físicos conectados directamente, como el hardware criptográfico multifactor, se usen sin el conocimiento del sujeto (por ejemplo, por malware en el punto de conexión). Microsoft Entra métodos que cumplen AAL3 requieren la entrada de usuario de pin o biométrica, lo que demuestra la intención de autenticación.

Pasos siguientes

Introducción a NIST

Más información sobre los AAL

Conceptos básicos sobre autenticación

Tipos de autenticadores de NIST

Obtener NIST AAL1 mediante Microsoft Entra ID

Obtener NIST AAL2 mediante Microsoft Entra ID