Office365 Two-Factor Authentication

Article
08/12/2014

Por: Caio Ribeiro César y Jesús Santaella

Two-factor Authentication (2FA) es un método de autenticación que requiere el uso de más de un mecanismo de validación, adicionando una segunda capa de seguridad en el momento que el usuario inicia sesión.

Funciona utilizando dos de los mecanismos de autenticación, comprobando la autenticidad del usuario:

Que es el usuario (huella digital, patrón de retina, secuencia de ADN, patrón de voz, reconocimiento de firma, señales electrónicos identificados como producidos por un cuerpo vivo, o cualquier otro método biométrico)
Que tiene el usuario (tarjeta de identificación, token de seguridad, token de software o teléfono celular)
Que conoce el usuario (contraseña, frase de seguridad, PIN)

La seguridad de autenticación de factores está basada en las etapas de validación (todas deben ser efectuadas en sucesión).

Dificulta los ataques a contraseñas, servicios o información, por tener más de una etapa de acceso:

En caso que un atacante tenga acceso a una contraseña de usuario, esta información será inútil sin el segundo dispositivo de confianza.
En caso que el usuario pierda el dispositivo, la persona que tenga el acceso no conseguirá utilizar la cuenta del usuario por no conocer su contraseña.

Windows Azure Multi-Factor Authentication es el servicio de O365 que habilita la funcionalidad de 2FA para la contraseña con uno de los métodos siguientes:

WebApp (teléfono inteligente -smartphone)
Llamada telefónica
Mensaje de texto

Al utilizar el servicio de 2FA los administradores pueden habilitar la funcionalidad para los usuarios, así que al usuario iniciar su próxima sesión en el portal será solicitado a utilizar los datos personales.

El usuario final podrá especificar hasta 3 números de teléfono que podrán ser utilizados para la autenticación y estos nueros serán identificados como teléfonos celulares, fijos o alternativos. Se quedarán guardados en las propiedades del Objeto del usuario.

Adicionalmente, el usuario puede optar (en caso de usar un smartphone) por la aplicación Multi-Factor Authenticacion, que ofrece opciones de acceso como un token por el servicio de push. Esta app debe ser instalada en el smartphone (disponible en Windows Phone, Android y iPhone).

Cuando el usuario inicia sesión, una notificación aparece en el smartphone. El usuario puede entonces aprobar o denegar la solicitud de autenticación. Debido al tamaño de la aplicación, es necesario el acceso desde una red WiFi para instalación y configuración.

Una vez instalada, la aplicación puede funcionar en dos métodos de valicación:

Notificación: En este método, el acceso no autorizado es impedido mediante la notificación Push del smartphone. Al recibir la notificación, el usuario final deberá validarla como legítima y seleccionar la opción de autenticación. Caso contrario, al seleccionar la opción de "Negar", el acceso es bloqueado.
Token: En este método, la aplicación Windows Azure Multi-Factor Authentication genera múltiples códigos de acceso que deben ser adicionados luego de la primera autenticación de contraseña. Esta es la mejor opción en zonas con cobertura irregular.

El servicio de 2FA puede efectuar llamadas telefónicas automatizadas para números fijos o celulares. Basa que el usuario conteste la llamada y presione la tecla # de su teclado para autenticar.

El servicio de 2FA puede también enviar mensajes de texto para cualquier celular. Este mensaje de texto contiene un código de acceso único, que debe ser utilizado para la autenticación.

Activando MFA:

1. Ingrese como administrador y seleccione "Configurar" (setup) en "Establecer requisitos de Multi-factor Authentication" (Set Multi-factor authentication requirements)