Collage 2023 11 28 23 42 50

Autenticação sem senha com ENTRA ID e chave Yubikey (FIDO2)

Last Updated: 28/11/2023By

Quando a Microsoft divulgou usar senha sem “sem senha”, abriu um mundo novo, sacou? Já ouviu falar desse negócio de “sem senha”? É tipo quando você loga sem precisar daquela senha chata.

É tipo quando você loga sem precisar daquela senha chata.


20231128 2253535875948525931472211 scaled

Na prática, é assim: você entra no sistema sem digitar senha. Em vez disso, joga um ID público e depois confirma quem é de um jeito seguro, tipo usando um aparelho ou token cadastrado.

Às vezes, confundem isso com a autenticação dupla (MFA). É quase parecido, mas a MFA é tipo uma capa extra de segurança pra senha, enquanto o “sem senha” geralmente só usa uma parada mega segura pra confirmar quem é você.

A ideia da autenticação dupla é adicionar uns passos extras, pedindo mais confirmações, pra dar uma blindada contra invasões e fraudes.

A Microsoft tá nessa também, permitindo o “sem senha” no Azure AD. Dá pra entrar nas contas usando sua biometria no Windows Hello ou com chaves físicas que seguem o padrão FIDO (Fast Identity Online). É tipo abrir a porta sem aquela bagunça toda da senha, sacou?112923 0223 Autenticaos1

112923 0223 Autenticaos1

Imagens do site da Microsoft

Hoje iremos abordar a autenticação sem senha baseada em FIDO2 com chaves da Yubico

O que é um YubiKey?

A Yubikey é uma ferramenta de autenticação por hardware.

Basicamente, é um pendrive produzido pela empresa Yubico.

Existem vários modelos disponíveis com conexão USB Tipo A, Tipo C, Lightning, formas e tamanhos diferentes e funções como NFC e Biometria.

112923 0223 Autenticaos2

Imagens do site da YOUBICO

Vale a pena visitar o site do fabricante e conferir a diversidade de produtos: https://www.yubico.com/products/

Como funciona um YubiKey?

Como vimos o Yubikey é um dispositivo de segurança na camada de hardware.

112923 0223 Autenticaos3

Ele suporta vários protocolos como:

  • OTP

  • OATH HOTP and TOPT

  • FIDO U2F and FIDO2

  • OpenPGP 3

Você pode usar sua chave para fazer login em contas compatíveis com one-time password ou um par de chaves pública/privada baseado em FIDO2 gerado pelo dispositivo. Após digitar sua credencial, você precisa pressionar o botão em sua chave física, o toque do dedo libera uma pequena carga elétrica que ativa o aparelho e libera sua autenticação.

collage 2023 11 28 23 42 505135774867211038888

A Yubico suporta diversos serviços e aplicativos, entre eles: Microsoft, AWS, Google, Twitter, Instagram, Facebook, GitHub entre tantos outros.

Consulte a lista de compatibilidade do YubiKey: https://www.yubico.com/br/works-with-yubikey/catalog/?series=3&sort=popular

Pra que usar um YubiKey, hein?

Bem, como todo gadget, o YubiKey tem seus prós e contras. Tô ligado que tá todo mundo empolgado pra pegar um, mas aqui no Brasil, meu amigo, não é moleza. Lá fora, esse trambolho custa entre US$45 e US$70, dependendo do modelo. Mas aqui? Começa em R$400 e vai subindo!

A galera costuma repetir senhas em vários lugares, e aí lascou, porque os hackers adoram isso. É a brecha preferida deles.

Agora, com um YubiKey:

  • Configurar e usar é fácil demais. Entra no serviço, pluga a chave, aperta o botão e pronto!
  • Esquece aquele tempo todo esperando e-mail ou SMS 2FA ou fuçando no celular pra inserir código manualmente. Claro, precisa configurar o YubiKey primeiro.
  • Invadir 2FA com um dispositivo físico é quase impossível. O código exclusivo do YubiKey é tipo anti-fraude.
  • Não dá pra colocar nem tirar arquivos do YubiKey, e vírus não pega nele. Leve, à prova d’água e aguenta até meia hora submerso a 1,5m.
  • É baratinho considerando o tanto que protege.

Mas sei que tá doendo o bolso com os preços brasileiros. E se perder o YubiKey? Melhor ter duas, né?

Claro, seria o ideal, mas isso vale pra tudo importante, né? O famoso “quem tem dois, tem um”. Mas se só tiver uma chave, relaxa. A maioria dos serviços com 2FA deixa você criar códigos de backup ou usar outra opção pra acessar sua conta.

Perder o YubiKey não é o fim do mundo, mas precisa de um plano B seguro. Se perder a chave ou não configurar vários fatores de autenticação, complica, brother!

Errar é normal, mas persistir no erro é burrice, meu chapa. Se vacilou, volta uns passinhos atrás! ;)

Olha, o YubiKey não é o santo graal, mas é uma camada extra de segurança. Como na vida, quanto mais proteção, melhor. E depois de configurado, na minha humilde opinião, é o melhor jeito de cuidar da segurança das suas coisas.

Configurando sua Yubikey com Azure AD

Como mencionei no início do artigo, a Yubico suporta diversos serviços e aplicativos, em nosso exemplo, vamos configurar nosso Azure Active Directory.

O primeiro passo é ativar o método de autenticação FIDO2 em seu AAD.

Navegue até seu Azure Active Directory > Security > Authentication methods, selecione FIDO2 security key habilite o recurso e clique em Save.

112923 0223 Autenticaos5

112923 0223 Autenticaos6

Feito isso já podemos configurar o usuário para logar com a YubiKey.

  • Se ainda não estiver logado, faça o login.

  • Navegue até o menu Segurança e em seguida Opções de segurança adicionais.

  • Clique em Adicionar um novo modo de entrada ou de verificação e selecione usar uma chave de segurança.

112923 0223 Autenticaos7

  • Tenha sua YubiKey em mãos e clique em próximo.

112923 0223 Autenticaos8

  • Em seguida, insira sua chave.

112923 0223 Autenticaos9

  • Toque na sua YubiKey para confirmar o processo.

112923 0223 Autenticaos10

  • Dê um nome para sua chave de segurança e clique em próximo.

112923 0223 Autenticaos11

112923 0223 Autenticaos12

  • Agora você já deve visualizar sua chave no painel de segurança.

112923 0223 Autenticaos13

Acesse o portal.azure.com selecione Sign-in options e em seguida Sign in with a security key toque em sua YubiKey e seu login será efetuado com sucesso.

112923 0223 Autenticaos14

112923 0223 Autenticaos15

112923 0223 Autenticaos16

Por um padrão de segurança da Microsoft, mesmo habilitando seu login via chave física, será necessário adicionar o seu PIN como camada adicional de segurança.

Conclusão ?

Na minha opinião, usar hardware físico e bem mais difícil alguém com interesse de te atacar. sim!

Não adianta saber onde o cofre está, é necessário ter a informação para abri-lo! E por este motivo, vale o investimento.

Pra mim toda empresa deveria avaliar o uso de token físicos ou avaliar níveis de funcionários que são chaves que precisam usar.

O que YubiKey oferece, não é um gasto muito alto, mesmo para uso pessoal

Segurança nunca é demais e a autenticação de dois fatores faz uma enorme diferença na sua segurança pessoal e corporativa.

Hoje quem tem uma senha sem um fator de autenticação seja em qualquer sistema de identidade este pedindo para ser atacado ou já foi e nem sabe, só esta aguardando o estrago.

Eu tenho o meu e você20231128 2254211624361070878755905 scaled

Para quem está estudando veja muito material ENTRA ID, que e o antigo AZURE AD, outras opções de autenticação também são validas.

O ENTRA ID ele e versátil e tem mais de 3000 aplicações já utilizando API do ENTRA ID e facilita as configurações em seu ambiente.

Para prova de segurança cai na AZ-500, SC-300 e SC-100

Estude os métodos que gerenciamento de identidade e a porta de entrada para o ataque em sua organização.

Espero ter ajudado!!!

newsletter-icon

Novidades via inbox

Fique por dentro no meu Boletim digital toda semana um conteúdo novo

Leave A Comment