Explorează metodele de autentificare Microsoft Entra ID
Imaginează-ți că ești inginer de securitate la Contoso, o companie de tehnologie medicală de dimensiuni medii. În ultimul an, echipa ta a răspuns la trei incidente separate care au implicat compromisuri ale acreditărilor utilizatorilor — fiecare fiind urmărit de atacuri de tip phishing sau campanii de tip credential-stuffing. Managerul tău îți cere să evaluezi strategia actuală de autentificare a Contoso și să recomanzi o cale de eliminare a breșelor legate de parole. Pentru a face acest lucru eficient, trebuie să înțelegi întregul spectru de metode de autentificare disponibile în Microsoft Entra ID și cum se compară acestea în ceea ce privește securitatea și experiența utilizatorului.
Peisajul metodelor de autentificare
Microsoft Entra ID suportă o gamă largă de metode de autentificare, de la abordări vechi bazate pe parole până la alternative moderne fără parolă. Aceste metode se încadrează în categorii bazate pe ceea ce prezintă utilizatorul pentru a-și dovedi identitatea:
- Ceva ce știi: parole și PIN-uri
- Ceva ce ai: un dispozitiv înregistrat, o cheie de securitate sau o aplicație de autentificare
- Ceva ce ești: biometria, cum ar fi o amprentă sau recunoașterea facială
Autentificarea bazată pe parolă — unde un utilizator furnizează un nume de utilizator și o parolă — rămâne cea mai răspândită metodă, dar și cea mai vulnerabilă. Parolele pot fi falsificate, ghicite sau furate prin breșe de date. Pentru organizații precum Contoso, parolele singure reprezintă un risc inacceptabil.
Metodele moderne fără parolă elimină complet parola. În loc să tasteze o parolă, utilizatorii se autentifică folosind o combinație de posesie a dispozitivului și un biometric sau PIN. Metode precum cheile de securitate FIDO2, Windows Hello for Business și cheile de acces sunt native rezistente la phishing deoarece nu se transmite niciun secret partajabil în timpul autentificării. Autentificarea fără parolă Microsoft Authenticator reprezintă o îmbunătățire semnificativă față de parole, dar necesită politici de acces condiționat care impun dispozitivele gestionate pentru a atinge același nivel de rezistență la phishing.
Autentificarea multifactor ca punte
Pentru organizațiile care nu pot trece imediat la fără parole, autentificarea multifactorială (MFA) oferă un strat intermediar critic de securitate. MFA cere utilizatorilor să-și verifice identitatea folosind doi sau mai mulți factori din categorii diferite — de exemplu, ceva ce știu (o parolă) combinat cu ceva ce au (un telefon înregistrat).
Microsoft Entra ID suportă mai multe metode MFA:
| Metodă | Tipul | Nivel de securitate |
|---|---|---|
| Notificare push Microsoft Authenticator | Bazat pe aplicații | Ridicată |
| Cod Microsoft Authenticator TOTP | Bazat pe aplicații | Ridicată |
| Jeton hardware OATH TOTP | Hardware | Ridicată |
| Cod de acces unică pentru SMS | Numărul de telefon | Scăzut-mediu |
| Verificarea apelurilor vocale | Numărul de telefon | Scăzut-mediu |
Notă
Cheile de securitate și cheile de acces FIDO2 în Microsoft Authenticator sunt metode fără parole, rezistente la phishing — ele înlocuiesc complet parola, nu acționează ca un factor secundar după una. Ele apar în ierarhia de securitate în secțiunea următoare.
Important
Verificarea apelurilor SMS și vocale sunt considerate metode MFA moștenite. Sunt vulnerabili la atacuri de tip SIM-swap. Microsoft recomandă migrarea utilizatorilor de la aceste metode către alternative bazate pe aplicații sau hardware.
Următoarea unitate despre autentificarea multifactorială explorează cum să configurezi și să aplici aceste metode în întreaga populație de utilizatori.
Forța autentificării și ierarhia de securitate
Nu toate metodele MFA oferă același nivel de protecție. Microsoft Entra ID introduce conceptul de forță de autentificare, care îți permite să specifici metoda MFA minimă acceptabilă necesară pentru a accesa o anumită resursă prin politici de Acces Condiționat.
Ierarhia de securitate, de la cea mai mică la cea mai sigură, este:
- Doar parolă (fără MFA)
- Parolă + SMS sau apel vocal
- Parolă + aplicația Microsoft Authenticator
- Autentificare fără parolă (Windows Hello for Business, chei de securitate FIDO2, chei de acces în Microsoft Authenticator, autentificare bazată pe certificate)
Pentru resursele sensibile — cum ar fi portaluri administrative sau sisteme financiare — politicile de forță a autentificării permit solicitarea unui MFA rezistent la phishing. Puterea rezistentă la phishing integrată a Microsoft Entra ID acoperă patru familii de metode: Windows Hello for Business, cheile de securitate FIDO2, cheile de acces în Microsoft Authenticator și autentificarea bazată pe certificate (CBA). Această distincție este esențială atunci când se proiectează politici de acces pentru conturile privilegiate ale Contoso.
Sfat
Politicile de forță a autentificării sunt aplicate pentru fiecare aplicație. Poți solicita MFA rezistent la phishing pentru cele mai sensibile sisteme, permițând în același timp MFA standard pentru aplicații cu risc mai mic — echilibrând securitatea cu experiența utilizatorului. Această granularitate pe resursă este expresia tehnică a principiului "verifică explicit" al Zero Trust: fiecare cerere de acces este evaluată în funcție de puterea autentificării necesară pentru acea resursă specifică, nu într-un cadru general la nivelul întregii organizații.
Arhitectura de autentificare Microsoft Entra ID
Când un utilizator se autentifică, cererea trece prin platforma de identitate Microsoft, motorul de autentificare cloud-native din spatele Microsoft Entra ID. Platforma evaluează acreditările utilizatorului, aplică politici de Acces Condiționat și emite tokenuri după autentificarea reușită.
Pentru dispozitivele conectate la Microsoft Entra ID, un Primary Refresh Token (PRT) este emis după prima autentificare reușită. PRT permite autentificarea unică (SSO) între aplicații și servicii fără a necesita reautentificare — un câștig semnificativ în experiența utilizatorului care completează îmbunătățirile de securitate oferite de metode de autentificare mai puternice.
Înțelegerea acestei arhitecturi te ajută să anticipezi modul în care modificările politicilor de autentificare afectează utilizatorii și aplicațiile din întreaga organizație. Este important de menționat că aceleași politici de autentificare care guvernează accesul la Microsoft 365 și managementul Azure se aplică și serviciilor alimentate de inteligență artificială precum Azure AI Foundry și Microsoft Copilot pentru Microsoft 365 — făcând din autentificarea puternică prima linie de apărare pentru investițiile AI ale Contoso. Cu această fundație pusă la punct, ești gata să începi configurarea autentificării multifactor în următoarea unitate.