Por Victor Matsumoto
A segurança da identidade é um dos desafios mais importantes que departamentos de TI enfrentam. Um comprometimento de identidade pode arruinar uma organização e é o vetor de ataque número um dos hackers. Contudo, não é comum o uso de medidas de segurança que reduzem e muito essa exposição. Neste artigo, falarei sobre a MFA, autenticação multifatorial, e o gerenciamento de credenciais de usuários (administradores) locais, conhecido como LAPS.
Os usuários finais possuem muitas senhas para lembrar e gerenciar em contas de recursos diferentes ativadas ao mesmo tempo. As boas práticas afirmam que cada uma dessas contas deve ter sua própria senha exclusiva e complexa. Enquanto isso, a equipe de TI está constantemente em luta para controlar rigidamente o acesso a todos os recursos de TI, mas sem uma ferramenta ou tecnologia apropriada, o desafio se torna árduo em seu objetivo para garantir uma segurança da identidade como um todo. O resultado é que as organizações acabam correndo um risco significativo de comprometimento devido a identidades mal protegidas.
O MFA é umas das ferramentas para proteger as organizações contra roubo de identidade. Ao implementar o MFA em toda a organização, a segurança do login tradicional com nome de usuário e senha é complementada por uma medida adicional. Com o MFA, é gerado a partir de um smartphone ou outro dispositivo, mais uma chave para o acesso. Com isso, agora um usuário precisa de duas informações para acessar seus recursos de TI: as credenciais de acesso e um token exclusivo gerado por um smartphone. Ao exigir as duas informações, as chances de violação são reduzidas drasticamente. Para usuários finais e administradores de TI, a etapa extra, aumenta os índices de segurança.
O principal benefícios da autenticação multifator é a diminuição significativa na chance de as identidades do usuário serem comprometidas. Ao adicionar um fator pessoal e sensível ao tempo ao processo de autenticação, os possíveis ataques são interrompidos, mesmo que tenham a senha de usuário. Obviamente, isso também traz o benefício adicional de tranquilidade para a empresa, sabendo que seus dados confidenciais estão mais seguros por uma camada de segurança adicional. O MFA também adiciona atenção plena à autenticação, já que ao reservar um tempo para inserção do token, os usuários são orientados naquele ínfimo momento à importância de uma segurança de identidade rígida.
LAPS é outro recurso de gerenciamento de senhas que tecnicamente permite à “randomização” de senhas de contas Windows de administrador local. O LAPS é adequado como proteção adicional que pode ser acoplada ao seu Active Directory e as máquinas de usuários lá contidas, provendo assim, gestão a algo antes “ingerenciável”.
O LAPS oferece a capacidade por meio da Diretiva de Grupo de randomizar a senha para uma conta de administrador local em um sistema remoto associado ao domínio. As políticas controlam quem pode acessar a senha para recuperação. Essas senhas são armazenadas no objeto da máquina no Active Directory e podem ser recuperadas quando um administrador ou técnico de suporte técnico precisar acessar a conta.
Por fim, as organizações de TI preocupadas com a segurança podem implementar o MFA sempre que possível em aplicativos essenciais, aplicações em nuvem como o Office 365 trazem esta implantação de forma facilitada. Idealmente, esta funcionalidade também pode ser implementada em aplicações internas de forma integrada à solução.
Para implementar mais segurança nas rotinas administrativas da TI, é recomendável o uso do LAPS, desta forma, deixando de maneira restritiva e individualizada o controle das senhas de usuários que tudo podem executar nos PC’s corporativos.
ÚLTIMOS ARTIGOS
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.