Un ejecutivo de Microsoft insta a las empresas a alejarse del método más popular de autenticación multifactor (MFA), códigos de acceso de una sola vez enviados a dispositivos móviles a través de texto o voz, para diferentes enfoques, incluidos los autenticadores de aplicaciones, que afirma son más seguros.
«Ha llegado el momento de alejarse de los SMS y la autenticación multifactor de voz (MFA)», dijo Alex Weinert, director de seguridad de identidad, en una publicación del 10 de noviembre en un blog de Microsoft. «Estos mecanismos se basan en redes telefónicas públicas conmutadas (PSTN) y creo que son los métodos MFA menos seguros disponibles en la actualidad».
Weinert dijo que otros métodos de MFA son más seguros, llamando a Microsoft Authenticator, el autenticador basado en aplicaciones de su compañía, y Windows Hello, la etiqueta general de Microsoft para tecnología biométrica, incluido el reconocimiento facial y la verificación de huellas dactilares. No es una coincidencia que Weinert anunciara tecnologías que Microsoft impulsó agresivamente en su campaña para persuadir a las empresas de que no usen contraseñas.
Hace más de un año, Weinert explicó cómo, en su opinión, las contraseñas por sí solas no son una defensa contra el robo de credenciales, pero que, al habilitar MFA, «su cuenta tiene un 99,9% menos de probabilidades. estar comprometido «. Ese consejo no ha cambiado, pero la postura de Microsoft sobre MFA ahora se ha reducido. «MFA es esencial, estamos discutiendo cuales Método MFA a utilizar, no yo use MFA «, escribió la semana pasada.
Weinert marcó una lista de fallas de seguridad en MFA basada en SMS y voz, la técnica que generalmente envía un código de seis dígitos a un número de teléfono verificado predeterminado. Estos defectos, dijo Weinert, iban desde la falta de cifrado (los textos se envían sin cifrar) hasta la vulnerabilidad a la ingeniería social.
La autenticación basada en aplicaciones, dijo Weinert, es un medio mucho más seguro para los propósitos de WFA. Luego anunció Microsoft Authenticator, disponible en versiones para Android de Google e iOS de Apple.
Authenticator cuenta con comunicaciones encriptadas, admite reconocimiento facial y de huellas dactilares, lo que permite a los usuarios autenticarse utilizando estas tecnologías cuando, por ejemplo, sus computadoras portátiles suministradas por la empresa no lo hacen. Authenticator también admite códigos de acceso de un solo uso, duplicando el mecanismo WFA basado en SMS, aunque en forma cifrada de principio a fin.
Hasta cierto punto, Microsoft ha puesto sus políticas donde está su boca. Desde el año pasado, los nuevos inquilinos de Office 365 y Microsoft 365 han ido acompañados de una serie de configuraciones de opciones de llamada predeterminadas configuración de seguridad predeterminada, que requieren que cada usuario se autentique a través de MFA. La aplicación Microsoft Authenticator es el método MFA predeterminado.
Copyright © 2020