En un esfuerzo por proteger la infraestructura de la nación en Estados Unidos y mejorar la seguridad cibernética, la Orden Ejecutiva 14028 y el Memorándum M-22-09 de la Oficina de Administración y Presupuesto adoptaron una postura firme para exigir autenticación resistente al phishing para todas las agencias federales. El memorando M-22-09 también especifica dos protocolos de autenticación basados en estándares que satisfarán los requisitos resistentes al phishing, FIDO2 / WebAuthn y tarjetas inteligentes PIV.
En el ecosistema de Microsoft, las tarjetas inteligentes PIV han sido compatibles durante mucho tiempo con los sistemas de escritorio en Windows y macOS. Recientemente, la compañía anunció una gran victoria para las agencias gubernamentales y las organizaciones que ya usan tarjetas inteligentes al expandir el soporte para tarjetas inteligentes PIV en dispositivos móviles que usan las YubiKeys de Yubico.
Si lee la opinión de Joe Scalone sobre FIDO2 para el gobierno federal americano, es posible que se esté preguntando acerca de los clientes de Microsoft que no tienen la infraestructura PKI para respaldar la emisión de tarjetas inteligentes, o para los usuarios del gobierno que no son elegibles para PIV. O bien, sobre los clientes que desean pasar a una autenticación basada en FIDO2 más moderna y necesitan tener soporte en dispositivos móviles. Estas son excelentes preguntas.
Microsoft Entra ID (Azure AD) admite el uso de YubiKeys para el inicio de sesión sin contraseña de FIDO2 desde 2021, y los clientes han estado esperando desde entonces para iniciar sesión con su YubiKey desde sus dispositivos móviles. Ahora, la marea está comenzando a cambiar. Microsoft anunció recientemente la disponibilidad general para usar llaves de seguridad FIDO2 con Safari, y este nuevo soporte va más allá de las computadoras de escritorio e incluye iPhones y iPads.
Ahora los usuarios pueden iniciar sesión en cualquier aplicación web protegida con Entra ID en su iPhone o iPad utilizando cualquiera de los navegadores compatibles.
Fuerzas de autenticación de la política de acceso condicional
A estas alturas, todas las organizaciones deberían estar bien encaminadas hacia un viaje sin contraseña y Zero Trust . Con soporte para dispositivos móviles, las organizaciones ahora pueden dar un paso más en su viaje.
Microsoft también anunció las Fortalezas de autenticación de la política de acceso condicional esta primavera, lo que permite a los clientes la flexibilidad de requerir PIV o FIDO2 en todas partes, excepto en los casos extremos donde los protocolos aún no son compatibles. Esto permite a las organizaciones acercarse cada vez más a un estado final moderno sin contraseña en el que los usuarios finales ya no pueden utilizar métodos de autenticación phishing al acceder a las aplicaciones.
Estas políticas de acceso condicional son poderosas y flexibles. Con fortalezas de autenticación, las organizaciones podrán habilitar:
- Políticas listas para usar que requieren autenticación resistente al phishing, incluida la aplicación:
- Los usuarios usan llaves de seguridad FIDO2, autenticación basada en certificados o Windows Hello for Business
- Políticas personalizadas que requieren claves de seguridad FIDO2, incluida la aplicación:
- Los usuarios usan cualquier llave de seguridad FIDO2 como YubiKeys para acceder al entorno.
- Los usuarios utilizan la serie YubiKey 5 FIPS específica u otros modelos especificando los AAGUID exactos. Los AAGUID son los ID que utilizan los proveedores de llaves de seguridad FIDO2 para identificar de forma exclusiva los modelos de sus dispositivos.
- Políticas personalizadas que requieren autenticación basada en certificados, incluida la aplicación:
- Los usuarios usan YubiKeys como tarjetas inteligentes PIV para acceder al entorno.
¿Recuerdas que dije que era un viaje? Bueno, las aplicaciones nativas aún no admiten la autenticación FIDO2 en macOS e iOS. Y sí, Android aún no admite la autenticación FIDO2. Microsoft se ha comprometido a ofrecer estas características, pero aún no están aquí. Sin embargo, celebramos estos grandes hitos y esperamos con ansias que las organizaciones finalmente puedan llegar a estar sin contraseña en todas partes.
Para acceder al texto original, pinche aquí.