Violaciones de datos, phishing, ransomware: los detalles pueden cambiar, pero las credenciales robadas están detrás del 80 % de los ataques. "Los nombres de usuario y las contraseñas simplemente no son intrínsecamente seguros", dijo a TechRepublic Joy Chik, CVP de la División de Identidad de Microsoft. Además, a nadie le gustan las contraseñas, simplemente las aceptamos.

VER: Navegando por la privacidad de los datos (Característica especial de ZDNet/TechRepublic) | Descarga la versión en PDF gratis (República Tecnológica)

"La mejor manera de proteger al usuario es brindar una experiencia más intuitiva y fácil de usar y una forma más segura sin contraseña", dice Chik.

MFA (autenticación multifactor) ha estado disponible para las cuentas de Azure AD desde 2014, pero la adopción ha sido lenta. “MFA, su nombre de usuario, contraseña y otro factor, es difícil de adoptar para los usuarios; es complejo y la contraseña todavía está allí, por lo que en muchos de nuestros clientes empresariales, TI simplemente no habilita MFA”, dice Chik. “Activar sin contraseña facilita mucho la gestión, reduce costes; hace que la adopción de lo que es esencialmente la autenticación multifactor sea más segura y con una mejor experiencia de usuario.

Ahora que la biometría como las cámaras de Windows Hello están presentes en muchas computadoras portátiles, las aplicaciones de autenticación son comunes en los teléfonos inteligentes y los relojes inteligentes, y Apple finalmente anunció la compatibilidad con FIDO 2, el interés está creciendo. A partir de noviembre de 2019, 100 millones de cuentas de Microsoft de consumidores y empresas usaban autenticación sin contraseña; en mayo de 2020, llegó a 150 millones.

Hasta el 90% de los más de 150.000 empleados de Microsoft han optado por inicios de sesión sin contraseña. "Muestra que no es solo un impulso de TI de arriba hacia abajo, sino también porque a los usuarios les encanta, y es más seguro". Es una combinación rara, señala Chik.

También es una forma de ahorrar dinero, agrega Chik: "La gente no recuerda las contraseñas, y hay tantos costos de TI solo para ayudar a los usuarios a restablecer las contraseñas". Cuando Microsoft pasó a la tecnología sin contraseña, el costo del soporte interno de administración de contraseñas se redujo en un 80 %.

Índice
  • Seguro pero conveniente
  • No fui yo
  • Seguro pero conveniente

    El trabajo remoto es un escenario de referencia para los clientes de Microsoft en empresas, gobierno y educación durante el resto de este año calendario, los próximos 12 meses y probablemente más allá, señala Chik: "71% de los empleados y gerentes quieren seguir trabajando desde casa, especialmente cuando no tenemos una vacuna contra el COVID, pero incluso en un mundo pospandémico, la gente quiere la flexibilidad de poder trabajar desde casa. Esto ayuda a colocar la seguridad, la identidad y la MFA entre las cinco principales áreas de inversión para los administradores de seguridad, aunque los CISO deben mejorar la seguridad de los trabajadores remotos sin reducir su productividad.

    La adopción de MFA ya está en aumento, dice Chik: “Tratamos de alentar a todos nuestros clientes corporativos a activar MFA; incluso tenemos una oferta de MFA gratis. También trabajamos muy duro para obtener comentarios de los clientes sobre cómo simplificar algunos de los consejos de implementación y las opciones de implementación para los administradores. »

    Esto ha ayudado a que el uso de MFA por parte de los clientes comerciales de Microsoft aumente en más del 25 %. "Comenzamos con los dígitos de un solo dígito, y ahora son los dígitos de dos; no es donde queremos estar, pero la buena noticia es que MFA está habilitado de forma predeterminada para todos los nuevos inquilinos creados en Azure A", dice. .

    Chik espera que más organizaciones cambien a la configuración de seguridad predeterminada que se ha aplicado automáticamente a los nuevos inquilinos de Azure AD desde octubre de 2019 y que está disponible para todos los inquilinos de Azure AD (incluido el nivel gratuito). Busque en Administrar/Propiedades/Administrar la configuración de seguridad predeterminada en su configuración de arrendatario de Azure AD.

    Además de habilitar MFA para todos los usuarios (usando la aplicación Authenticator en lugar de SMS), los valores predeterminados agregan verificaciones adicionales para roles de administrador clave (y cualquier persona que acceda a Azure Portal, CLI o Azure PowerShell) y bloquean la autenticación heredada de clientes más antiguos (como Office 2010 y POP3), que detiene los ataques de rociado de contraseñas.

    Los clientes más sofisticados seguirán usando políticas de acceso condicional, y las muy pocas organizaciones que han deshabilitado la configuración de seguridad predeterminada en un nuevo inquilino lo han hecho para habilitar el acceso condicional. “Usan políticas basadas en la identidad y controles granulares en lugar de la política VPN tradicional, por lo que pueden definir, en función de los usuarios, sus dispositivos y su red, a qué aplicaciones pueden acceder y a qué documentos confidenciales están autorizados a acceder”, dijo Chik. República Tecnológica.

    Habilitar el acceso a aplicaciones heredadas a menudo ha sido el bloqueador para habilitar MFA; los desafíos de COVID y la economía significan que el trabajo remoto y la reducción de costos están impulsando a las organizaciones a abordar este problema mediante el uso de Azure AD para trasladar la autenticación de estos sistemas heredados a la nube. "La consolidación efectiva de diferentes sistemas es algo que están ansiosos por hacer", dice Chik. “Debido a que brindamos soporte de plataforma sin contraseña, los clientes que se conectan a aplicaciones que usan Azure AD ni siquiera necesitan volver a implementar sus aplicaciones; sin contraseña simplemente funcionaría.

    La función Microsoft 365 y Office 365 Secure Score también actúa como un incentivo al ofrecer una comparación con organizaciones similares en el mismo sector industrial, explica Chik. "Decimos 'oye, tu grupo de pares está en ese nivel de Secure Score' y creo que eso les ayuda a decir 'como CSO, como arquitecto de identidad, ¿por qué mi empresa está por debajo de este promedio y qué debo hacer para mejorarlo? Con los valores predeterminados de seguridad, cuando habilitamos MFA, ya estamos girando las perillas que los llevan a un puntaje de seguridad comparable al rango de su propio grupo de pares. Ahora les damos una receta simplificada que pueden implementar rápidamente y tienen la capacidad de personalizar las políticas de acceso condicional además de eso.

    No fui yo

    Otra característica nueva anima a los usuarios a registrarse.

    Brindarle una manera de ver si alguien está tratando de atacar su cuenta, la forma en que algunos sitios de banca en línea muestran la fecha y la hora de su último inicio de sesión exitoso y el último intento fallido de acceder a la cuenta, es una idea tan útil que es sorprendente. que no es más frecuente. Muchas personas asumen que su cuenta y su negocio no son lo suficientemente importantes como para que alguien los ataque, pero la nueva función Mis conexiones de Azure AD es una especie de señal de alerta: solo en los últimos cinco días, hubo intentos fallidos. de Ecuador, Rusia, Zurich y Amsterdam para acceder a mi cuenta de Office 365.

    La idea no es asustar a la gente para que cambie la contraseña, a menos que el atacante haya iniciado sesión correctamente; en cambio, si hace clic en el enlace para decir que no reconoce un intento fallido de inicio de sesión, se le pedirá que revise cómo inicia sesión y tal vez cambie a MFA. El acceso a la cuenta particularmente sospechosa aparecerá en la parte superior de la lista, y puede marcar cualquier falso positivo para que no se le notifique si es solo que comenzó a volver al café en lugar de trabajar desde casa todo el tiempo. . tiempo.

    Los ataques aún son posibles con la autenticación sin contraseña; en lugar de engañar a los usuarios para que revelen sus contraseñas (o aprovecharse de la cantidad de personas que eligen contraseñas débiles o reutilizan contraseñas seguras que se han esforzado por recordar), los atacantes tendrán que extraer y reproducir tokens.

    “Seguiremos trabajando con la industria en esto, además de integrar en la plataforma cómo garantizar que el token de acceso en sí se pueda vincular, idealmente, al dispositivo, pero también a las aplicaciones y las condiciones de la red”, dice Chik. .

    “Seguiremos presionando este botón, pero al no tener contraseña con soporte MFA, [our telemetry in Azure AD shows] podemos aumentar la postura de seguridad [of an organization] del 99,9%”.