Noções básicas de autenticação do NIST
Use as informações neste artigo para aprender a terminologia associada às diretrizes do NIST (National Institute of Standards and Technology). Além disso, os conceitos de tecnologia e fatores de autenticação do TPM (Módulo de Plataforma Confiável) são definidos.
Terminologia
Use a tabela a seguir para entender a terminologia do NIST.
| Termo | Definição |
|---|---|
| Asserção | Uma instrução de um verificador para uma terceira parte confiável que contém informações sobre o assinante. Uma declaração pode conter atributos verificados |
| Autenticação | O processo de verificar a identidade de uma entidade |
| Fator de autenticação | Algo que você é, sabe, ou tem. Todo autenticador tem um ou mais fatores de autenticação |
| Autenticador | Algo que o solicitante tem e controla para autenticar a identidade do solicitante |
| Solicitante | Uma entidade de identidade a ser verificada com um ou mais protocolos de autenticação |
| Credencial | Um objeto ou estrutura de dados que vincula uma identidade com autoridade a pelo menos um autenticador de assinante que um assinante possui e controla |
| CSP (provedor de serviços de credencial) | Uma entidade confiável que emite ou registra autenticadores de assinante e emite credenciais eletrônicas para assinantes |
| Terceira parte confiável | Uma entidade que depende da declaração de um verificador ou de autenticadores e credenciais de um solicitante, geralmente para permitir acesso a um sistema |
| Assunto | Uma pessoa, uma organização, um dispositivo, um hardware, uma rede, um software ou um serviço |
| Subscriber | Uma entidade que recebeu uma credencial ou um autenticador de um CSP |
| TPM (Trusted Platform Module) | Um módulo resistente a adulterações que executa operações criptográficas, incluindo a geração de chaves |
| Verificador | Uma entidade que verifica a identidade do solicitante verificando a posse e o controle de autenticadores |
Sobre a tecnologia Trusted Platform Module
O TPM tem funções relacionadas à segurança baseadas em hardware: um chip TPM ou TPM de hardware é um processador de criptografia seguro que ajuda a gerar, armazenar e limitar o uso de chaves criptográficas.
Para obter informações sobre TPMs e Windows, consulte Módulo de Plataforma Confiável.
Observação
Um TPM de software é um emulador que imita a funcionalidade de TPM de hardware.
Fatores de autenticação e os pontos fortes deles
Agrupe fatores de autenticação em três categorias:
A força do fator de autenticação é determinada pela certeza de que é algo que somente o assinante é, sabe ou tem. A organização NIST fornece diretrizes limitadas sobre a força do fator de autenticação. Use as informações na seção a seguir para saber como Microsoft avalia os pontos fortes.
Algo que você sabe
As senhas são a coisa mais comum conhecida e representam a maior superfície de ataque. As mitigações a seguir aprimoram a confiança no assinante. Elas são eficazes na prevenção de ataques de senha, como força bruta, escuta e engenharia social:
Algo que você tem
A força de algo que você tem é baseada na probabilidade de o assinante mantê-lo em sua posse, sem que um invasor obtenha acesso a ele. Por exemplo, ao se proteger contra ameaças internas, um dispositivo móvel pessoal ou uma chave de hardware possui afinidade maior. O dispositivo, ou chave de hardware, é mais seguro do que um computador desktop em um escritório.
Algo que você é
Ao determinar os requisitos para algo que você é, considere como é fácil para um invasor obter ou falsificar algo como uma biometria. O NIST está elaborando uma estrutura para biometria, no entanto, atualmente não aceita biometria como um único fator. Ele deve fazer parte da MFA (autenticação multifator). Essa precaução ocorre porque a biometria nem sempre fornece uma correspondência exata, como as senhas fazem. Para obter mais informações, confira SOFA-B (Força da Função para Autenticadores – Biometria).
Estrutura SOFA-B para quantificar a força da biometria:
- Taxa de correspondência falsa
- Taxa de falha falsa
- Taxa de erros de detecção de ataque de apresentação
- Esforço necessário para executar um ataque
Autenticação de fator único
Você pode implementar uma autenticação de fator único usando um autenticador que verifica algo que você sabe ou é. Um fator que seja algo-que-você-é pode ser aceito como autenticação, mas não é aceito apenas como autenticador.
Autenticação multifator
Implementar a MFA usando um autenticador de MFA ou dois autenticadores de fator único. Um autenticador de MFA requer dois fatores de autenticação para uma única transação de autenticação.
MFA com dois autenticadores de fator único
A MFA requer dois fatores de autenticação, que podem ser independentes. Por exemplo:
Segredo memorizado (senha) e fora da banda (SMS)
Segredo memorizado (senha) e senha de uso único (hardware ou software)
Esses métodos habilitam duas transações de autenticação independentes com a ID do Microsoft Entra.
MFA com um autenticador multifator
A autenticação multifator requer um fator (algo que você sabe ou é) para desbloquear um segundo fator. Esse experiência do usuário é mais fácil do que a de vários autenticadores independentes.
Um exemplo é o aplicativo Microsoft Authenticator, no modo sem senha: o usuário acessa um recurso seguro (terceira parte confiável) e recebe uma notificação no aplicativo Authenticator. O usuário fornece uma biometria (algo que você é) ou um PIN (algo que você sabe). Esse fator desbloqueia a chave de criptografia no celular (algo que você tem), que o verificador valida.
Próximas etapas
Noções básicas de autenticação
Obtendo o NIST AAL1 usando o ID do Microsoft Entra