Gerenciamento de Identidade com AAD – Deixe a senha com o usuário

24 de dezembro de 2019 Daniel Donda Fundamentos de Segurança 0

Ainda usamos muito senhas. e quando temos a combinação Usuário+Senha temos um dos maiores desafios de segurança da informação. Um dos desafios é que queremos que os usuários usem senhas seguras e uma senha segura deve ser complexa.

Quando a empresa não tem politica forte de senhas o usuários vai usar Senha123 e nunca vai esquecer, mas certamente a equipe de TI vai aplicar uma politica de senha mais complexa.

As politicas de senha do Windows Server são as seguintes:

  • Enforce password history – Quantas senhas o windows irá armazenar no histórico, Se você definir por exemplo 3, o usuário não poderá repetir as três ultimas senhas, se você definir 0 nenhuma senha será lembrada.
  • Maximum password age – Indica em dias quando as senhas expiram, defina quantos dias você deseja para que o usuário tenha que trocar de senha ou 0 para que a senha nunca expire.
  • Minimum password age – Define quando o usuário pode alterar a senha em dias, ou 0 para que o usuário possa alterar a senha a qualquer momento
  • Minimum password length – Quantos caracteres deve conter a senha, máximo de 14 e minimo de 0 que indica que aceita senhas em branco.
  • Password must meet complexity requirements – Complexidade de senha, senhas complexas devem conter pelo menos sete caracteres com letras do alfabeto maiúscula (A, B, C …),minúscula (a,b, c…), números (1,2,3…) e símbolos (` ~ ! @ # $ % ^ & * () _ + – = { } | [ ] \ : ” ; ‘ < > ?, . /).
    Disabled desabilita a complexidade de senha,
  • Store password using reversible encryption – Define se o sistema deve armazenar a senha com criptografia reversiva, Disabled não armazena senhas com criptografia reversiva.

O problema da senha complexa

Como citei anteriormente, um senha complexa vai ser muito, mas muito difícil para o usuário. Vamos ter que treinamento o usuário para ele não escrever a senha em um Post-it ou debaixo do teclado. Mas se ele não escrever vai esquecer e se esquecer vai bloquear a estação ou os acesso e ele vai ficar sem produzir e ainda vai abrir um chamado de suporte.

Self-service password reset (SSPR) no Azure

O Self-service password reset (SSPR) é um recurso do Azure Active Directory que permite que os usuários redefinam suas senhas sem precisar entrar em contato com a equipe de TI. Com certeza o vamos ganhar muito com isso.

  • REDUZIR O CUSTO – A redefinição de senha com auxílio do suporte normalmente representa 20% do gasto com TI de uma organização
  • APRIMORAR EXPERIÊNCIAS DO USUÁRIO – Os usuários não querem ligar para a assistência técnica e gastar uma hora no telefone toda vez que uma senha é esquecida
  • REDUZIR VOLUME DA ASSISTÊNCIA TÉCNICA – O Gerenciamento de Senhas é a única grande necessidade em termos de assistência técnica na maior parte das organizações
  • HABILITAR MOBILIDADE – Os usuários podem redefinir suas senhas de onde quer que estejam

👉🏻 Para fazer uso do SSPR você precisa ter uma conta Premium P2

O SSPR permite que os usuários sejam desbloqueados rapidamente e continuem trabalhando, independentemente de onde estejam ou da hora do dia. Ao permitir que os usuários se desbloqueie, você irá reduzir o tempo improdutivo e os altos custos de suporte para os problemas mais comuns relacionados à senha.

Como o SSPR funciona ?

Quando um usuário tenta redefinir uma senha, deve verificar seu método ou métodos de autenticação registrados anteriormente para provar sua identidade.
Em seguida, o usuário digita uma nova senha.
Para usuários somente na nuvem, a nova senha é armazenada no Azure Active Directory.
Para usuários híbridos, a senha é gravada de volta no Active Directory local por meio do serviço Azure AD Connect. quando estiver habilitado o “password writeback.”

No painel de administração do Azure, acesse o Azure Active Directory / Password Reset e então você pode configurar os métodos de autenticação.

Como vamos deixar o reset de senhas na mão do usuário é importante aplicar mais de um método de autenticação e quando falamos de Self-service para mudar a senha nada melhor que definir além do básico que é o Email e o Telefone, uma série de questões pessoais. E para isso baste selecionar “Authentication methods” e selecionar “Security questions“.

É recomendado criar um grupo de usuários que terão essa função de reset de senhas.

No meu caso eu acabei definindo algumas perguntas mais simples das que já vieram pre-definidas.

Tarefa do usuário para o SSPR funcionar

Uma vez que você definiu o SSPR do Azure, ensine seus usuários a acessarem o https://aka.ms/ssprsetup ou através do https://account.activedirectory.windowsazure.com/r#/profile e completar as informações necessárias.

Quando o usuário tentar efetuar logon, mas esqueceu a senha. Ele intuitivamente terá as opção de responder as questões por ele definidas

Anúncio

Sobre Daniel Donda 538 Artigos
Olá, meu nome é Daniel Donda e sou especialista em cibersegurança, autor de livros, professor e palestrante. Saiba mais
Website Facebook Instagram Twitter YouTube Linkedin

Seja o primeiro a comentar

Faça um comentário

Seu e-mail não será divulgado.


*