La autenticación multifactor lleva implementándose en muchos sistemas desde hace tiempo, pero aún hay algo de reticencia por parte de los usuarios a utilizar un sistema de este tipo por desconocimiento o mal enfoque a la hora de adoptarlo como medida de seguridad.
¿En qué consiste la autenticación multifactor?
MFA, siglas de Multi-Factor Authentication, es un procedimiento en el que se solicita a los usuarios durante un inicio de sesión una forma adicional de identificación, como un código en el teléfono móvil o escanear una huella digital. Exigiendo esta segunda forma de autenticación, aumentamos la seguridad, ya que este procedimiento no es algo fácil de obtener por un atacante.
Se pueden capturar las contraseñas cuando accedemos a un sitio web comprometido, o alguien la obtiene de una forma indebida e intentar suplantarnos. De no tener MFA, la cuenta es totalmente vulnerable ya que el acceso con contraseña únicamente se puede ver fácilmente comprometido.
Microsoft Azure AD Authenticación Multifactor
Las suscripciones de Azure y Microsoft 365 disponen de MFA implementado de base con el que podremos exigir uno o varios métodos de autenticación a los usuarios y que resumimos en tres factores:
- Algo que conoce el usuario, como una contraseña.
- Algo que tiene, como un dispositivo de confianza difícil de duplicar, como un teléfono o una clave de hardware (Fido2, por ejemplo)
- Algo que forma parte del usuario, identificación biométrica como huellas digitales o identificación facial.
En Microsoft 365 o Azure, se puede exigir al usuario que introduzca de manera obligatoria uno o varios de estos métodos, y además podemos utilizar la aplicación Microsoft Authenticator. Esto nos permitirá tener registrado nuestro dispositivo como método de autenticación potente y fiable, pero hay que luchar aún contra la negación del usuario.
Muchos empleados en empresas de todo el mundo no disponen de un terminal móvil proporcionado por sus compañías. Su trabajo a lo mejor no requiere que tengan un número de teléfono, y esto choca especialmente en España, y por la experiencia que tenemos, con aquello de utilizar nuestros dispositivos personales para temas de la empresa.
Hay que intentar abrir un poco la mente y no ser tan cerrados en esto, ya que no se trata únicamente de algo del trabajo, se trata de la seguridad de tus datos, tu información y la información de tu compañía.
Microsoft Authenticator es simplemente una barrera más que interponemos entre nuestra cuenta y un atacante, y tendremos control de ello en todo momento.
¿Cómo obtener MFA en entornos Microsoft?
Principalmente hay dos licencias asociadas al MFA, Azure AD Premium P1 y Azure AD Premium P2 aunque existe una opción básica para el resto de planes con menos opciones de configuración, pero totalmente funcional y segura. En la siguiente tabla podremos ver las diferencias y dispondrá de enlaces para ampliar la información:
| Si es usuario de | Funcionalidades y casos de uso |
| Microsoft 365 Business Premium y EMS o Microsoft 365 E3 y E5 | EMS E3, Microsoft 365 E3 y Microsoft 365 Empresa Premium incluye Azure AD Premium P1. EMS E5 o Microsoft 365 E5 incluyen Azure AD Premium P2. Puede usar las mismas características de acceso condicional que se indican en las siguientes secciones para proporcionar la autenticación multifactor a los usuarios. |
| Azure AD Premium P1 | Puede usar el acceso condicional de Azure AD para solicitar a los usuarios la autenticación multifactor en determinados escenarios o eventos y adaptarse así a los requisitos empresariales. |
| Azure AD Premium P2 | Proporciona la opción de seguridad más potente y una experiencia de usuario mejorada. Agrega acceso condicional basado en riesgos a las características de Azure AD Premium P1; se adapta a los patrones del usuario y reduce el número de solicitudes de la autenticación multifactor. |
| Todos los planes de Microsoft 365 | Azure AD Multi-Factor Authentication puede habilitarse para todos los usuarios con los valores predeterminados de seguridad. La administración de Azure AD Multi-Factor Authentication se realiza en el portal de Microsoft 365. Para mejorar la experiencia del usuario, actualice a Azure AD Premium P1 o P2 y use el acceso condicional. Para obtener más información, consulte el artículo sobre la protección de los recursos de Microsoft 365 con la autenticación multifactor. |
| Office 365 Gratis Azure AD Gratis |
Puede usar los valores predeterminados de seguridad para solicitar a los usuarios la autenticación multifactor según sea necesario y, aunque no tiene un control pormenorizado de los usuarios o escenarios habilitados, sí se proporciona ese paso de seguridad adicional. Incluso cuando no se usan los valores predeterminados de seguridad para habilitar la autenticación multifactor para todos los usuarios, se puede configurar el rol de administrador global de Azure AD para usar la autenticación multifactor. Esta característica del nivel de servicio gratuito garantiza que las cuentas de administrador críticas están protegidas por la autenticación multifactor. |
¿Cómo funciona?
Generalmente en muchos sistemas se utiliza el correo electrónico o el SMS como método de verificación, pero se ha demostrado que son sistemas vulnerables, por lo que lo más recomendable sería la utilización de una aplicación como Microsoft Authenticator.
Una App es más segura puesto que utiliza su propia plataforma de verificación y, además, al estar instalada físicamente en un smartphone, es muy difícil de clonar o que sea utilizada por alguien que no tiene acceso al dispositivo.
Esto nos proporciona control total sobre los accesos, pues siempre que haya una conexión desconocida o desde otro dispositivo o ubicación que no sea la última en la que estuvimos, el sistema piensa que puede ser una conexión no deseada y pregunta a la aplicación. Es un sistema muy cómodo y seguro.
Suponiendo que disponemos de MFA básico, tanto en el panel de administración de Microsoft 365 como en el Portal de Azure, dispondremos de un acceso a la seguridad y configuración de MFA. Bastará con activar la opción con la que podremos definir, como indicaba antes, en el modo básico, si activar MFA a todos los usuarios o a usuarios determinados.
En el caso de las versiones P1 y P2, estas opciones se amplían a más posibilidades, como el acceso condicional o el acceso condicional basado en riesgos.
Una vez tenemos activo MFA, el siguiente paso vendrá indicado por el sistema, ya que notificará a los usuarios que el servicio requiere más información para poder acceder. En ese momento entra en juego la aplicación de autenticación.
Bastará con tener la app instalada en nuestro dispositivo móvil, verificar nuestras credenciales en nuestro PC y una vez haya comenzado el proceso de registro, se nos mostrarán dos opciones, un código alfanumérico o un código QR que podremos escanear con la aplicación, la forma más cómoda.
El sistema verificará que podemos validar la conexión y listo, ya tenemos doble factor de autenticación en funcionamiento.
Como puedes comprobar, el servicio es bastante sencillo de manejar y nos proporciona mucha seguridad siendo el usuario el que controle el acceso con su cuenta en todo momento, y pudiendo alertar de un posible problema de seguridad si no es la persona que intenta conectar. Además, el propio usuario dentro de la configuración de su cuenta puede configurar Microsoft Authenticator en otros dispositivos o en caso de robo, bloquear ellos mismos las sesiones desde los dispositivos sustraídos.
Puede parecer un incordio y no vamos a quitar parte de razón en esto, pero el doble factor de autenticación ofrece muchas más ventajas de seguridad, aunque tengamos que dar un paso más para poder acceder a nuestra cuenta. ¿A qué esperas para probarlo?
MakeSoft Technologies
Somos proveedor certificado, especializados en proporcionar soluciones de cliente basadas en tecnología de Microsoft. Evaluamos sus objetivos empresariales, identificando una solución que satisfaga sus necesidades empresariales y ayudando a su empresa a ser más ágil y más eficiente.
Descubra todos los productos Microsoft que ofrecemos en MakeSoft. Para ello, sólo tiene que acceder a nuestro apartado de “Productos” en la web y dirigirse a la zona indicada para los productos Microsoft.
Puede contactar con nosotros a través de nuestro formulario de contacto, para recibir un asesoramiento en licencias y servicios adecuado a sus necesidades.
Responderemos a todas sus preguntas, aclararemos todas sus dudas y le proporcionaremos toda la información que solicite sin compromiso.
