O365 Two-Factor Authentication


By: Caio Ribeiro César

Two-factor authentication (2FA) é um método de autenticação que requer o uso de mais de um mecanismo de validação, adicionando uma segunda etapa de segurança no momento que o usuario inicia a sessão.

Funciona utilizando dois dos mecanismos de autenticação, comprovando a autenticidade do usuário:

  • aquilo que o usuário é (impressão digital, padrão retinal, sequência de DNA, padrão de voz, reconhecimento de assinatura, sinais elétricos unicamente identificáveis produzidos por um corpo vivo, ou qualquer outro meio biométrico)
  • aquilo que o usuário tem (cartão de identificação, security token, software token ou telefone celular)
  • aquilo que o usuário conhece (senha, frase de segurança, PIN)

A segurança da autenticação em fatores é baseada nas etapas de validação (todas devem ser efetuadas com sucesso).

Dificulta os ataques a senhas, serviços ou informações, por ter mais de uma etapa de acesso:

  • Caso um atacante possua acesso a uma senha de usuario, esta informação será inútil sem um segundo dispositivo de confiança
  • Caso o usuário perca o dispositivo, a pessoa que tiver acesso não conseguirá utilizar a conta de usuario por não saber a senha.

Windows Azure Multi-Factor Authentication é o serviço do O365 que habilita a funcionalidade de 2FA para a senha e um dos métodos abaixo:

  • WebApp (Smartphone)
  • Chamada telefônica
  • Mensagem de texto

Ao utilizar o serviço de 2FA os administradores podem habilitar a funcionalidade para os usuarios, assim que o usuario iniciar a próxima sessão no portal ele será solicitado a atualizar os dados pessoais.

O usuário final poderá especificar até 3 números de telefone que poderão ser utilizados para a autenticação, estes números serão identificados como telefones celulares, escritorio, alternativos. Ficarão salvos na propriedade de Objeto do usuario.

Adicionalmente, o usuario pode optar (caso utilize Smartphone) pela aplicação de Multi-Factor Authentication, que oferece opções de acesso como um token ou pelo serviço de push. Esta app deve ser instalada no Smartphone (disponível em WPhone, Android e Iphone).

Quando o usuario inicia a sessão, uma notificação aparece no Smartphone. O usuario pode então aprovar ou negar a solicitação de autenticação. Devido ao tamanho da aplicação, é necessário o acesso de uma rede WiFi para instalação e configuração.

Uma vez instalada, a aplicação pode funcionar em dois métodos de validação:

  • Notificação: neste método, o acesso não autorizado é impedido mediante a notificação Push do Smartphone. Ao receber a notificação, o usuario final deverá validá-la como legítima e selecionar a opção de autenticação. Caso contrário, ao seleccionar a opção de “Negar”, o acesso é bloqueado.
  • Token: neste método, a aplicação Windows Azure Multi-Factor Authentication gera múltiplos códigos de acesso que devem ser adicionados após a primeira autenticação de senha. Esta é a melhor opção em zonas de cobertura irregular.

O serviço de 2FA pode efetuar chamadas telefónicas automatizadas para números fixos ou celulares. Basta o usuario atender a ligação e presionar a tecla # do teclado para se autenticar.

O serviço de 2FA pode também enviar mensagens de texto para qualquer celular. Esta mensagem de texto contém um código de acesso único, que debe ser utilizado para a autenticação.

Ativando MFA:

1- Logue com o admin e selecione “Set Up” para “Set Multi-factor authentication requirements”

image

2- Selecione os usuários e habilite o serviço

image

image

image

image

image

3- Usuário final deve configurar suas informações pessoais

image

image

image

image

4 – No smartphone, após instalar a aplicação

image

image

image

image

image

image

image

image

image

image

image

image

image

Para que o usuário final altere os métodos de autenticação, basta alterar as opções no perfil:

image

image

image

* Esta feature não está disponível em Small Business SKUs.

Comments (1)

  1. Mário Moreira says:

    Great job