Descrever métodos de autenticação

  • 10 minutos

Um dos principais recursos de uma plataforma de identidade é verificar ou autenticar credenciais quando um usuário entra em um dispositivo, aplicativo ou serviço. O Microsoft Entra ID oferece diferentes métodos de autenticação.

Palavras-chave

As senhas são a forma mais comum de autenticação, mas têm muitos problemas, especialmente se usadas na autenticação de fator único, onde apenas uma forma de autenticação é usada. Se eles são fáceis o suficiente para lembrar, eles são fáceis para um hacker comprometer. Senhas fortes que não são facilmente hackeadas são difíceis de lembrar e afetam a produtividade do usuário quando esquecidas.

O uso de senhas deve ser complementado ou substituído por métodos de autenticação mais seguros disponíveis no Microsoft Entra ID.

Diagrama mostrando como as senhas devem ser complementadas ou substituídas. A melhor abordagem é o Passwordless.

Telemóvel

O Microsoft Entra ID suporta duas opções para autenticação baseada em telefone.

  • Autenticação baseada em SMS. O serviço de mensagens curtas (SMS) usado em mensagens de texto de dispositivos móveis pode ser usado como uma forma primária de autenticação. Com o início de sessão baseado em SMS, os utilizadores não precisam de saber um nome de utilizador e palavra-passe para aceder a aplicações e serviços. Em vez disso, o utilizador introduz o seu número de telemóvel registado, recebe uma mensagem de texto com um código de verificação e introduz-o na interface de início de sessão.

    Os usuários também podem optar por verificar sua identidade por meio de mensagens de texto SMS em um telefone celular, como uma forma secundária de autenticação durante a redefinição de senha de autoatendimento (SSPR) ou autenticação multifator Microsoft Entra. Por exemplo, os usuários podem complementar sua senha usando mensagens de texto SMS. É enviado um SMS para o número de telemóvel que contém um código de verificação. Para concluir o processo de início de sessão, o código de verificação fornecido é introduzido na interface de início de sessão.

  • Verificação de chamadas de voz. Os usuários podem usar chamadas de voz como uma forma secundária de autenticação, para verificar sua identidade, durante a redefinição de senha de autoatendimento (SSPR) ou a autenticação multifator Microsoft Entra. Com a verificação da chamada telefônica, uma chamada de voz automatizada é feita para o número de telefone registrado pelo usuário. Para concluir o processo de login, o usuário é solicitado a pressionar # no teclado. As chamadas de voz não são suportadas como forma principal de autenticação, no Microsoft Entra ID.

JURAMENTO

OATH (Open Authentication) é um padrão aberto que especifica como os códigos de senha única (TOTP) baseados em tempo são gerados. Códigos de senha de uso único podem ser usados para autenticar um usuário. OATH TOTP é implementado usando software ou hardware para gerar os códigos.

  • Os tokens OATH de software são normalmente aplicações. O Microsoft Entra ID gera a chave secreta ou seed, que é a entrada na aplicação e utilizada para gerar cada OTP.

  • Os tokens de hardware OATH TOTP (suportados na visualização pública) são pequenos dispositivos de hardware que se parecem com um chaveiro que exibe um código que é atualizado a cada 30 ou 60 segundos. Os tokens de hardware OATH TOTP normalmente vêm com uma chave secreta, ou semente, pré-programada no token. Essas chaves e outras informações específicas de cada token devem ser inseridas na ID do Microsoft Entra e, em seguida, ativadas para uso pelos usuários finais.

Os tokens de software e hardware OATH são suportados apenas como formas secundárias de autenticação no Microsoft Entra ID, para verificar uma identidade durante a redefinição de senha de autoatendimento (SSPR) ou a autenticação multifator do Microsoft Entra.

Autenticação sem palavra-passe

O objetivo final para muitas organizações é remover o uso de senhas como parte de eventos de entrada. Quando um usuário entra com um método sem senha, as credenciais são fornecidas usando métodos como biometria com o Windows Hello for Business ou uma chave de segurança FIDO2. Esses métodos de autenticação não podem ser facilmente duplicados por um invasor.

O Microsoft Entra ID fornece maneiras de autenticar nativamente usando métodos sem senha para simplificar a experiência de entrada para os usuários e reduzir o risco de ataques.

O vídeo a seguir explica o problema com senhas e por que a autenticação sem senha é tão importante.

Windows Hello para empresas

O Windows Hello for Business substitui senhas por autenticação forte de dois fatores nos dispositivos. Esta autenticação de dois fatores é uma combinação de uma chave ou certificado vinculado a um dispositivo e algo que a pessoa sabe (um PIN) ou algo que a pessoa é (biometria). A entrada do PIN e o gesto biométrico acionam o uso da chave privada para assinar criptograficamente os dados enviados ao provedor de identidade. O provedor de identidade verifica a identidade do usuário e autentica o usuário.

O Windows Hello for Business ajuda a proteger contra roubo de credenciais, porque um invasor deve ter o dispositivo e as informações biométricas ou PIN, dificultando o acesso sem o conhecimento do funcionário.

Como um método de autenticação sem senha, o Windows Hello for Business serve como uma forma principal de autenticação. Além disso, o Windows Hello for Business pode ser usado como uma forma secundária de autenticação para verificar uma identidade durante a autenticação multifator.

FIDO2

O Fast Identity Online (FIDO) é um padrão aberto para autenticação sem senha. O FIDO permite que usuários e organizações aproveitem o padrão para entrar em seus recursos usando uma chave de segurança externa ou uma chave de plataforma embutida em um dispositivo, eliminando a necessidade de um nome de usuário e senha.

FIDO2 é o padrão mais recente que incorpora o padrão de autenticação da Web (WebAuthn) e é suportado pelo Microsoft Entra ID. As chaves de segurança FIDO2 são um método de autenticação sem senha baseado em padrões não phishable que pode vir em qualquer fator de forma. Estas chaves de segurança FIDO2 são normalmente dispositivos USB, mas também podem ser dispositivos baseados em Bluetooth ou Near Field Communication (NFC), que são usados para transferência de dados sem fio de curto alcance. Com um dispositivo de hardware que lida com a autenticação, a segurança de uma conta é aumentada, pois não há senha que possa ser exposta ou adivinhada.

Com as chaves de segurança FIDO2, os usuários podem entrar no Microsoft Entra ID ou em dispositivos Windows 10 híbridos do Microsoft Entra e obter logon único em seus recursos locais e na nuvem. Os utilizadores também podem iniciar sessão em navegadores suportados. As chaves de segurança FIDO2 são uma ótima opção para empresas que são muito sensíveis à segurança ou têm cenários ou funcionários que não estão dispostos ou não podem usar seu telefone como um segundo fator.

Como um método de autenticação sem senha, FIDO2 serve como uma forma primária de autenticação. Além disso, FIDO2 pode ser usado como uma forma secundária de autenticação para verificar uma identidade durante a autenticação multifator.

Aplicação Microsoft Authenticator

Como um método de autenticação sem senha, o aplicativo Microsoft Authenticator pode ser usado como uma forma primária de autenticação para entrar em qualquer conta do Microsoft Entra ou como uma opção de verificação adicional durante eventos de redefinição de senha de autoatendimento (SSPR) ou autenticação multifator do Microsoft Entra.

Para usar o Microsoft Authenticator, um usuário deve baixar o aplicativo do telefone da loja da Microsoft e registrar sua conta. O Microsoft Authenticator está disponível para Android e iOS.

Com o início de sessão sem palavra-passe, a aplicação Authenticator transforma qualquer telemóvel iOS ou Android numa credencial forte e sem palavra-passe. Para iniciar sessão na sua conta Microsoft Entra, um utilizador introduz o seu nome de utilizador, faz a correspondência entre um número apresentado no ecrã e o do telemóvel e, em seguida, utiliza a biometria ou o PIN para confirmar.

Captura de ecrã do pedido de início de sessão do autenticador Microsoft

Quando um usuário escolhe o Autenticador como forma secundária de autenticação, para verificar sua identidade, uma notificação é enviada por push para o telefone ou tablet. Se a notificação for legítima, o usuário seleciona Aprovar, caso contrário, seleciona Negar.

Captura de tela da solicitação de aprovação do aplicativo autenticador da Microsoft.

O aplicativo Authenticator também pode ser usado como um token de software para gerar um código de verificação OATH. Depois de introduzir o seu nome de utilizador e palavra-passe, introduza o código fornecido pela aplicação Authenticator na interface de início de sessão. O código de verificação OATH fornece uma segunda forma de autenticação para SSPR ou MFA.

Autenticação baseada em certificado

A autenticação baseada em certificado de identidade (CBA) do Microsoft Entra permite que os clientes permitam ou exijam que os usuários se autentiquem diretamente com certificados X.509 em relação à identidade do Microsoft Entra, para aplicativos e entrada no navegador. O CBA é suportado apenas como uma forma primária de autenticação sem senha.

Os certificados X.509, que fazem parte da infraestrutura de chave pública (PKI), são documentos assinados digitalmente que vinculam uma identidade (um indivíduo, organização, site) à sua chave pública. Para obter mais informações, consulte Descrever conceitos de criptografia.

Autenticação primária e secundária

Alguns métodos de autenticação podem ser usados como o fator principal quando você entra em um aplicativo ou dispositivo. Outros métodos de autenticação só estão disponíveis como um fator secundário quando você usa a autenticação multifator do Microsoft Entra ou SSPR. Embora essas informações sejam chamadas no texto que descreve cada método de autenticação, a tabela a seguir resume quando um método de autenticação pode ser usado durante um evento de entrada.

Captura de tela de uma tabela que resume se o método de autenticação é usado para autenticações primárias e/ou secundárias.