Latest · March 12, 2022 0

Windows Hello para empresas: autenticação de última geração para lojas do Windows

Autenticação: o ato de provar a própria identidade para a satisfação de alguma autoridade central. Para a maioria, esse processo significa digitar um nome de usuário e uma senha. Tem sido assim por anos e anos.

Mas as senhas, especialmente as senhas que a maioria das empresas exige, que precisam ser complexas, com longas sequências de números e frases especialmente maiúsculas com alguns (mas não todos! céus não, não o que você quer) símbolos são difíceis de lembrar e muitas vezes acabam sendo anotado em notas adesivas. Então você precisa redefini-los de vez em quando para que hackers e crackers trabalhem em direção a alvos móveis.

As senhas também podem ser vazadas ou hackeadas internamente, como vimos com vários ataques de despejo de credenciais nos últimos anos. E os usuários podem acidentalmente divulgar suas senhas se forem vítimas de ataques de phishing cada vez mais sofisticados.

Felizmente para as lojas do Windows, a Microsoft introduziu um método de qualidade empresarial de usar identificação e autenticação biométrica sem exigir a compra de hardware de ponta e é incorporado ao Windows 10, que muitos departamentos de TI estão começando a implantar para substituir o Windows 7. 8 e 8.1. Neste artigo, quero dar uma olhada nessa inovação, chamada Windows Hello for Business, explicar como ela funciona e mostrar como habilitá-la para proteger sua empresa enquanto elimina a necessidade de seus usuários lidarem com senhas complicadas.

O Windows Hello é o esquema de autenticação biométrica mais comum e mais conhecido aos quais o Windows oferece suporte. Ele permite que os usuários do Windows 10 que possuem dispositivos com leitores de impressão digital ou câmeras especiais façam login no Windows por meio de impressão digital ou reconhecimento facial.

[ More info: What is Windows Hello? Microsoft’s biometrics security system explained ]

O Windows Hello para Empresas pega a ideia do Hello e a agrega com ferramentas de gerenciamento e técnicas de aplicação para garantir um perfil de segurança uniforme e uma postura de segurança corporativa. O Windows Hello para Empresas usa a Política de Grupo ou as políticas de gerenciamento de dispositivo móvel (MDM) para gerenciamento e aplicação e aproveita a autenticação baseada em chave e certificado na maioria dos cenários focados em nuvem para proteção máxima.

O Windows Hello atua em uma das duas frentes: ele pode escanear a impressão digital de uma pessoa ou pode tirar uma foto infravermelha do rosto de um usuário e realizar uma análise nela. (O Hello também suporta varredura de íris, mas como as câmeras de íris são mais adequadas para telefones do que para laptops ou monitores de desktop, os dois métodos anteriores são mais práticos para a empresa.) Ele combina esses atributos físicos exclusivos de cada usuário com chaves criptográficas que substituem as senhas como métodos de autenticação. Essas chaves são armazenadas em hardware de segurança especializado ou são criptografadas em software e desbloqueadas somente depois que o Windows as considera autênticas. Para organizações não interessadas em biometria, o Windows Hello também oferece suporte ao uso de PIN para substituir senhas transmitidas pela rede.

O Windows Hello protege contas da Microsoft (as contas que você usa para fazer login nos serviços de nuvem da Microsoft, Xbox, Office 365 e similares), contas de domínio que fazem parte de uma implantação corporativa do Active Directory, contas de domínio associadas a um domínio do Azure Active Directory (essas são relativamente novos) e, no futuro, contas protegidas por provedores de identidade federados que darão suporte ao protocolo Fast ID Online (IDO) 2.0.

Por que o Windows Hello é considerado mais forte do que uma senha tradicional? Por um lado, a segurança é sempre melhor em três, o melhor método de autenticação é fornecer algo que você tem, algo que você conhece e algo que você é. Nesse caso, o Windows Hello pode autenticar usuários atendendo a todas as três regras: algo que você possui (sua chave privada, que é protegida pelo módulo de segurança do seu dispositivo), algo que você conhece (o PIN que é usado por padrão pelo Windows Hello a partir do ponto de registro em diante) e algo que você é (ou seu rosto, que é extremamente difícil de copiar e usar de forma maliciosa, ou sua impressão digital, que novamente sem remover dígitos é difícil de copiar e usar de forma nefasta).

O mais interessante é que todos esses dados biométricos são armazenados apenas no dispositivo local e são não centralizado no diretório ou em alguma outra fonte de autenticação; isso significa que os ataques de coleta de credenciais não são bons contra contas habilitadas para Windows Hello simplesmente porque as credenciais não existem no local que seria invadido. Embora seja tecnicamente possível que o módulo de plataforma confiável de cada dispositivo, ou TPM, possa ser invadido, um invasor teria que quebrar a máquina de cada usuário individual, em vez de simplesmente executar um ataque bem-sucedido contra um único controlador de domínio vulnerável.