Técnicas de autenticação multifator no ADSelfService Plus

Vamos dar uma olhada nos vários métodos de autenticação suportados pelo ADSelfService Plus para autenticação multifator empresarial.

Por que autenticação multifator?

A autenticação baseada apenas no nome do usuário e senhas não é mais considerada segura, pois o uso desse tipo de autenticação deixa os usuários vulneráveis a ameaças como ataques de força bruta e de dicionário. Para mitigar tais riscos de segurança, o ADSelfService Plus verifica as identidades do usuário utilizando autenticação multifatorial juntamente com a credencial padrão do Active Directory. O ADSelfService Plus utiliza autenticação multifatorial para verificação de identidade durante:

• Logins no Windows, macOS, e Linux (quando o software cliente ADSelfService Plus está instalado).
• Login no portal ADSelfService Plus.
• Logins em aplicações empresariais através do single sign-on (SSO).
• Ações de redefinição de senha de autoatendimento ou desbloqueio de conta do Active Directory através do portal ADSelfService, da aplicação móvel ADSelfService Plus e das telas nativas de login do Windows, macOS e Linux (quando o software cliente ADSelfService Plus está instalado).
• Logins em VPN (quando a extensão Servidor de Política de Rede está instalada).
• Logins do Outlook na web (OWA) (quando a extensão de autenticação multifator dos Serviços de Informações da Internet está instalada).

Diversas técnicas de autenticação multifator disponíveis no ADSelfService Plus

1. Chaves de acesso FIDO: A autenticação FIDO2, desenvolvida pela Fast Identity Online (FIDO) Alliance, utiliza APIs de autenticação da Web (WebAuthn) e criptografia de chave pública para verificação de identidade. A autenticação FIDO2 não tem senha e resiste a ataques de phishing, de repetição e man-in-the-middle (MITM). Com o ADSelfService Plus você pode habilitar a autenticação FIDO2 para proteger as aplicações da empresa, OWA e atividades de autoatendimento baseadas na web. Os usuários podem ser autenticados com métodos sem senha como Windows Hello, Apple Touch ID, biometria do Android e chaves de segurança compatíveis com FIDO2 e U2F.
2. Autenticação biométrica: Usuários com dispositivos móveis Android ou iOS contendo leitor de impressão digital ou sensor facial podem usar este método para verificação de identidade. O registo é realizado utilizando a aplicação móvel ADSelfService Plus. As etapas de registo serão exibidas na guia Registro assim que o administrador configurar esse método. Durante o MFA os usuários devem escanear seu dedo ou face e clicar em Aceitar para realizar a autenticação.
3. Autenticador YubiKey: YubiKey é um dispositivo que utiliza códigos para autenticação multifator. O registro é realizado conectando o dispositivo YubiKey na estação de trabalho e pressionando seu botão (no caso do portal do ADSelfService Plus para o usuário final) ou tocando-o no dispositivo móvel (no caso da aplicação móvel ADSelfService Plus). Feito isso, o código é atualizado automaticamente no campo disponibilizado no ADSelfService Plus e os usuários devem seguir as mesmas etapas para verificar sua identidade durante a autenticação multifator.
4. RSA SecurID: RSA SecurID é outro método que utiliza senhas para autenticação multifator. Para registro, os usuários inserem a senha fornecida pelo administrador. Em seguida, para provar sua identidade, os usuários inserem uma senha de uso único gerada por:
   • Um hardware de token.
   • Aplicação móvel RSA SecurID.
   • Tokens recebidos por e-mail ou SMS.
5. Duo Security: Duo Security é uma solução de autenticação que utiliza métodos como:
   • Códigos de verificação baseados em SMS.
   • Verificação baseada em ligação telefônica.
   • Códigos de verificação baseados em aplicação.
   • Notificações push.

   Uma vez configurados os usuários devem inserir o código que receberão ou aceitar uma notificação para se autenticarem. Para registrar, é solicitado ao usuário mencionar qual método ele usará para a autenticação multifator.

6. MFA do Azure AD: As empresas com o MFA do Azure AD já ativado podem utilizar a configuração existente e permitir que os usuários se autentiquem através dos métodos de autenticação pré-registrados no Azure AD. Os métodos suportados incluem:
   • Notificações push baseadas na aplicação Microsoft Authenticator.
   • Códigos de verificação baseados na aplicação Microsoft Authenticator.
   • Verificação baseada em ligação telefônica.
   • Verificação baseada em SMS.
   • Tokens de hardware OATH usando Yubico, DeepNet Security e muito mais.
7. RADIUS: O RADIUS utiliza códigos para autenticação multifator. Os usuários são registrados automaticamente quando o administrador configura a autenticação RADIUS. Para a autenticação multifator, é preciso apenas inserir a senha do RADIUS fornecida pelo administrador.
8. Google Authenticator: Google Authenticator é uma aplicação que usa códigos temporizados para autenticação. Para verificar a identidade do usuário, a aplicação gera um código temporizado que os usuários deverão inserir para se autenticarem. Os usuários devem se registrar usando a aplicação para escanear o QR code exibido na guia Registro no portal ADSelfService do usuário final.
9. Microsoft Authenticator: A aplicação Microsoft Authenticator gera um código temporizado que os usuários deverão inserir para se autenticarem. Para registro, os usuários devem instalar a aplicação Microsoft Authenticator e configurá-la com o ADSelfService Plus utilizando o código de barras fornecido no portal de autoatendimento na guia Registro.
10. Verificação baseada em SMS: Para este método, os usuários devem inserir um código único enviado para seus dispositivos móveis para verificar suas identidades. Os administradores podem escolher o número do celular nos perfis do Active Directory dos usuários ou permitir que eles especifiquem outro número durante o registro.
11. Verificação baseada em e-mail: Neste método, um código único é enviado para o endereço de e-mail do usuário. Os administradores podem escolher o endereço de e-mail nos perfis do Active Directory dos usuários ou permitir que eles especifiquem outro endereço de e-mail durante o registro.
12. Senha de uso único baseada em temporizador (TOTP): A autenticação baseada em TOTP também é realizada utilizando a aplicação móvel ADSelfService Plus. Após o registro, a autenticação é realizada de forma semelhante aos métodos mencionados acima: Os usuários recebem uma TOTP toda vez que precisarem provar sua identidade. Eles precisam inserir o TOTP dentro de um prazo específico para se autenticarem.
13. Autenticador TOTP personalizado: Aplicações TOTP personalizadas utilizadas pelas empresas podem ser estendidas como um método de autenticação para o recurso de autenticação multifator do ADSelfService Plus. O processo de registro dependerá dos recursos da aplicação. Para se autenticar, os usuários devem inserir o TOTP exibido na aplicação no campo fornecido no portal do produto dentro do prazo especificado.
14. Zoho OneAuth TOTP: Zoho OneAuth é uma aplicação que oferece autenticação multifator e single sign-on (SSO) para contas de empresas. O recurso TOTP da aplicação pode ser aproveitado pelo ADSelfService Plus e utilizado como método de autenticação. Para registrar, os usuários precisam escanear um QR code exibido no portal do produto utilizando a aplicação Zoho OneAuth. Uma vez registrados, eles podem se autenticar inserindo o TOTP exibido na aplicação no campo fornecido no portal do produto dentro do prazo especificado.
15. Notificações push: As notificações push são recebidas através da aplicação móvel ADSelfService Plus instalada nos dispositivos móveis dos usuários e o registro só pode ser realizado através da aplicação móvel. As etapas são mencionadas na guia Registro após o administrador habilitar as notificações push. Uma vez registrados, os usuários recebem uma notificação que precisam aceitar para provar sua identidade.
16. Autenticação baseada em QR code: Quando esse método é habilitado, os usuários devem escanear o QR code exibido no portal ADSelfService Plus do usuário final utilizando a aplicação móvel ADSelfService Plus e selecionar Aceitar para provar sua identidade. Os usuários podem se registrar utilizando a aplicação ao seguir as etapas exibidas na guia Registro.
17. Autenticação SAML: Empresas que já utilizam aplicações de provedor de identidade (IdP) baseadas em SAML tais como Okta ou OneLogin podem utilizar autenticação SAML como um método para verificar a identidade de usuários. Quando a autenticação SAML está habilitada, os usuários são redirecionados para a autenticação através da URL de login do IdP somente quando realizam redefinição de senha de autoatendimento ou desbloqueio de conta no ADSelfService Plus. O registro não é necessário para este método.
18. Autenticação via Smart Card: Este método é aplicável somente para autenticação multifator durante logins em portais de produtos e logins em aplicações corporativas. Um usuário é autenticado após o ADSelfService Plus comparar o arquivo de certificado na máquina do usuário com o que está no AD. O registro ocorre automaticamente quando o usuário se autentica pela primeira vez.
19. Perguntas e respostas de segurança: Este método consiste em um conjunto de perguntas pessoais predefinidas, tal como "Qual é a sua cor favorita?". Essas perguntas podem ser configuradas por administradores ou usuários. Os usuários podem se registrar definindo perguntas e respostas personalizadas ou fornecendo respostas a perguntas definidas pelo administrador. Eles devem fornecer a resposta correta a essas perguntas durante a verificação de identidade.
20. Perguntas de segurança baseadas no AD: Nesse método, o administrador configura perguntas baseadas no AD que estão vinculadas a atributos existentes ou personalizados do AD, como números de CPF. Para provar sua identidade, os usuários devem inserir uma resposta que será comparada com o valor do atributo no AD para sua conta de usuário. Se eles corresponderem, o usuário é autenticado. Este método não requer registro do usuário.

Benefícios do uso do ADSelfService Plus para autenticação multifator

• Segurança empresarial abrangente: Vários pontos de acesso à rede corporativa remotos e locais podem ser protegidos contra ataques baseados em credenciais.
• Configuração granular de recursos: Métodos de autenticação específicos podem ser habilitados para usuários pertencentes a unidades operacionais, grupos ou domínios específicos. Alguns endpoints empresariais também podem ser protegidos com autenticação multifator dependendo desses critérios de usuário.
• Conformidade regulatória: A autenticação multifator ajuda a cumprir regulamentações tais como GDPR, PCI DSS, HIPAA, e Estrutura de cibersegurança NIST.
• Autenticação sem senha: As empresas podem abdicar das senhas de domínio do Active Directory e usar apenas a autenticação multifator para verificar as identidades dos usuários.