MFA e LAPS: Formas simples e eficientes de segurança

Por Victor Matsumoto

A segurança da identidade é um dos desafios mais importantes que departamentos de TI enfrentam. Um comprometimento de identidade pode arruinar uma organização e é o vetor de ataque número um dos hackers. Contudo, não é comum o uso de medidas de segurança que reduzem e muito essa exposição. Neste artigo, falarei sobre a MFA, autenticação multifatorial, e o gerenciamento de credenciais de usuários (administradores) locais, conhecido como LAPS.

Porque usar o MFA?

Os usuários finais possuem muitas senhas para lembrar e gerenciar em contas de recursos diferentes ativadas ao mesmo tempo. As boas práticas afirmam que cada uma dessas contas deve ter sua própria senha exclusiva e complexa. Enquanto isso, a equipe de TI está constantemente em luta para controlar rigidamente o acesso a todos os recursos de TI, mas sem uma ferramenta ou tecnologia apropriada, o desafio se torna árduo em seu objetivo para garantir uma segurança da identidade como um todo. O resultado é que as organizações acabam correndo um risco significativo de comprometimento devido a identidades mal protegidas.

O MFA é umas das ferramentas para proteger as organizações contra roubo de identidade. Ao implementar o MFA em toda a organização, a segurança do login tradicional com nome de usuário e senha é complementada por uma medida adicional. Com o MFA, é gerado a partir de um smartphone ou outro dispositivo, mais uma chave para o acesso. Com isso, agora um usuário precisa de duas informações para acessar seus recursos de TI: as credenciais de acesso e um token exclusivo gerado por um smartphone. Ao exigir as duas informações, as chances de violação são reduzidas drasticamente. Para usuários finais e administradores de TI, a etapa extra, aumenta os índices de segurança.

Benefícios do MFA

O principal benefícios da autenticação multifator é a diminuição significativa na chance de as identidades do usuário serem comprometidas. Ao adicionar um fator pessoal e sensível ao tempo ao processo de autenticação, os possíveis ataques são interrompidos, mesmo que tenham a senha de usuário. Obviamente, isso também traz o benefício adicional de tranquilidade para a empresa, sabendo que seus dados confidenciais estão mais seguros por uma camada de segurança adicional. O MFA também adiciona atenção plena à autenticação, já que ao reservar um tempo para inserção do token, os usuários são orientados naquele ínfimo momento à importância de uma segurança de identidade rígida.

Gerenciamento de usuários locais (LAPS - Microsoft Local Administrator Password Solution)

LAPS é outro recurso de gerenciamento de senhas que tecnicamente permite à “randomização” de senhas de contas Windows de administrador local. O LAPS é adequado como proteção adicional que pode ser acoplada ao seu Active Directory e as máquinas de usuários lá contidas, provendo assim, gestão a algo antes “ingerenciável”.

O LAPS oferece a capacidade por meio da Diretiva de Grupo de randomizar a senha para uma conta de administrador local em um sistema remoto associado ao domínio. As políticas controlam quem pode acessar a senha para recuperação. Essas senhas são armazenadas no objeto da máquina no Active Directory e podem ser recuperadas quando um administrador ou técnico de suporte técnico precisar acessar a conta.

Conclusão

Por fim, as organizações de TI preocupadas com a segurança podem implementar o MFA sempre que possível em aplicativos essenciais, aplicações em nuvem como o Office 365 trazem esta implantação de forma facilitada. Idealmente, esta funcionalidade também pode ser implementada em aplicações internas de forma integrada à solução.

Para implementar mais segurança nas rotinas administrativas da TI, é recomendável o uso do LAPS, desta forma, deixando de maneira restritiva e individualizada o controle das senhas de usuários que tudo podem executar nos PC’s corporativos.