Olá pessoal, tudo bem?
Os ataques a contas de usuários e um caminho mais curto que crackers utilizam para acessar ambientes corporativos e dificultar o acesso indevido e fundamental.
Para empresas que usam senhas e têm um ambiente de computador compartilhado, as chaves de segurança (Security Key) fornecem uma maneira perfeita para que os colaboradores autentiquem sem inserir um nome de usuário ou senha. As chaves de segurança (Security Key) proporcionam melhor produtividade para os colaboradores e têm melhor segurança.
Chaves de segurança FIDO2
A Aliança FIDO (Fast IDentity Online) ajuda a promover padrões de autenticação abertos e reduzir o uso de senhas como forma de autenticação. FIDO2 é o padrão mais recente que incorpora o padrão de autenticação web (WebAuthn).
As chaves de segurança FIDO2 são um método de autenticação de senha baseado em padrões à prova de phishing, que podem usar qualquer fator forma. A FIDO (Fast Identity Online) é um padrão aberto para autenticação sem senha. A FIDO permite que usuários e organizações aproveitem o padrão para entrar nos recursos sem usar nome de usuário ou senha, apenas com uma chave de segurança externa ou uma chave de plataforma incorporada a um dispositivo.
Os usuários podem registrar e, em seguida, selecionar uma chave de segurança FIDO2 na interface de entrada como o principal meio de autenticação. Essas chaves de segurança FIDO2 normalmente são dispositivos USB, mas também podem usar Bluetooth ou NFC. Com um dispositivo de hardware que manipula a autenticação, a segurança de uma conta é aumentada, pois não há senha que possa ser exposta ou adivinhada.
As chaves de segurança FIDO2 podem ser usadas para entrar nos dispositivos Windows 10 ou 11 do Azure AD ou ingressados no Azure AD híbrido e obter logon único em recursos locais e de nuvem. Os usuários também podem entrar em navegadores compatíveis. As chaves de segurança FIDO2 são uma ótima opção para empresas que são muito sensíveis à segurança ou que têm cenários ou funcionários que não estão dispostos ou não podem usar telefones como um segundo fator.
A Microsoft possui dois documentos de referências para os navegadores que dão suporte à autenticação FIDO2 com o Azure AD, bem como práticas recomendadas para desenvolvedores que desejam dar suporte à autenticação FIDO2 nos aplicativos que desenvolverem.
Na foto abaixo duas chaves de segurança compatível com FIDO2 (Security Key FIDO2), uma chave do provedor (fabricante) de chave Yubico, modelo: YubiKey 5 NFC e o outra do fabricante Feitian, modelo: AllinPass FIDO2 Plus K43
Quero deixar aqui o meu agradecimento a empresa Feitian que me enviou o modelo: AllinPass FIDO2 Plus K43 para execução dos testes. A empresa possui representação no Brasil para venda de chaves de segurança compatível com FIDO2 (Security Key FIDO2).
O seguinte processo é usado quando um usuário entra com uma chave de segurança FIDO2:
1. O usuário conecta a chave de segurança FIDO2 em seu computador.
2. O Windows detecta a chave de segurança FIDO2.
3. O Windows envia um pedido de autenticação.
4. A Azure AD envia de volta a resposta.
5. O usuário completa seu gesto para desbloquear a chave privada armazenada no enclave seguro da chave de segurança FIDO2.
6. A chave de segurança FIDO2 assina a resposta com a chave privada.
7. A solicitação de token de atualização primária (PRT) com resposta assinada é enviada ao Azure AD.
8. O Azure AD verifica a resposta assinada utilizando a chave pública FIDO2.
9. O Azure AD retorna o PRT para permitir o acesso aos recursos no local.
No exemplo abaixo, um usuário já provisionou sua chave de segurança FIDO2. O usuário pode optar por fazer login na web com sua chave de segurança FIDO2 dentro de um navegador suportado Microsoft Edge versão 1903 no Windows 11.
O que é uma chave de segurança (Security Key) compatível com a Microsoft?
A Microsoft foi alinhada com a Aliança FIDO com a missão de substituir senhas por uma credencial 2FA fácil de usar e forte. Temos trabalhado com nossos parceiros para testar extensivamente e oferecer uma experiência de autenticação perfeita e segura para os usuários finais. Consulte os recursos e provedores de chaves de segurança FIDO2.
Uma chave de segurança deve implementar os seguintes recursos e extensões do protocolo CTAP FIDO2 para ser compatível com a Microsoft:
| Confiança de recurso / extensão | Por que isso é necessário? | |
| 1 | Chave residente | Esse recurso permite que a chave de segurança seja portátil, onde sua credencial está armazenada na chave de segurança. |
| 2 | Uso de PIN | Esse recurso permite que você proteja suas credenciais com um segundo fator e se aplica a chaves de segurança que não têm uma interface de usuário. |
| 3 | hmac segredo | Esta extensão garante que você pode fazer login no seu dispositivo quando ele estiver desligado ou no modo avião. |
| 4 | Várias contas por RP | Esse recurso garante que você pode usar a mesma chave de segurança em vários serviços como o Microsoft Account (MSA) e o Azure Active Directory (AAD). |
A especificação CTAP FIDO2 contém alguns recursos e extensões opcionais que são cruciais para proporcionar essa experiência perfeita e segura.
Requisitos
- Autenticação multifatorial do Azure AD (Azure AD Multi-Factor Authentication).
- Habilitar o registro combinado de informações de segurança.
- Chaves de segurança FIDO2 compatíveis.
- WebAuthN requer Windows 10 versão 1903 ou superior.
Observação: Para usar as chaves de segurança para fazer login em aplicativos e serviços web, você deve ter um navegador que suporte o protocolo WebAuthN. Estes incluem Microsoft Edge, Chrome, Firefox e Safari.
Vídeo
Será demostrado de forma clara e objetiva como habilitar o login sem senha (Passwordless) no Azure AD utilizando chaves de segurança (Security Key) FIDO 2.
As seguintes etapas serão demostradas no vídeo:
- Configurar a Autenticação multifatorial do Azure AD (Azure AD Multi-Factor Authentication).
- Habilitar o registro combinado de informações de segurança.
- Configurar uma chave de segurança FIDO2 (Security Key) em um usuário do Azure AD.
- Demonstração de autenticação utilizando uma chave de segurança FIDO2 (Security Key), nada de digitar usuário e senha.
- Demonstração de como configurar um computador com Windows 11 utilizando uma conta corporativa (Azure AD) apenas com a chave de segurança FIDO2 (Security Key), nada de digitar usuário e senha.
Referências
Inscreva-se no meu canal do YouTube!
Há 10 anos atuo na área de TI focado em suporte e administração de infraestrutura, especializado em plataformas Microsoft. Tenho grande experiência em troubleshooting, implantação, configuração e administração de funções e recursos de tecnologia Microsoft. Formado em Redes de Computadores pela faculdade Estácio de Sá de Belo Horizonte.
Comecei a compartilhar o meu conhecimento no ano de 2012, fazendo artigos e vídeos para o meu Blog. Em 2017 comecei a escrever artigos para o portal Cooperati.
Sou apaixonado em compartilhar o meu conhecimento. Meu lema é: um conhecimento só é válido quando compartilhado.
2 Responses
Parabéns pelo artigo, gostaria de saber se esse procedimento seria possível para um cliente Ubuntu 22.04 membro do domínio AAD.
Bom dia. Nunca vi este cenário, mas é o usuário faz login com a conta do Azure AD e possível que sim. Consulte a documentação para saber mais, https://azure.microsoft.com/pt-br/products/active-directory