A Segurança é sempre um tema quente quando falamos de IT, e as passwords continuam a ser um dos métodos mais usados para protegermos o acesso aos recursos e dados das Organizações. Não é o foco deste artigo falarmos das best practices para a definição de boas políticas de password, nem tão pouco identificar o protótipo de password ideal, mas a verdade é que muitas vezes temos tendência a usar termos ou nomes sobejamente conhecidos e fáceis de decorar na construção das nossas passwords, e ainda usar estas mesmas passwords para diferentes contas.
Estudos dizem que atualmente, grande parte da fuga ou violação de informação de uma Organização poderá ter origem no roubo de credenciais. Cabe aos Administradores de Sistema a tarefa de proteger o acesso aos recursos e dados da Organização, ao implementar políticas de password que previnam a utilização de passwords consideradas fracas e suscetíveis em caso de ataque.
Os serviços de Active Directory da Microsoft, servem como fonte de autenticação a várias Organizações em todo Mundo. E desde o início dos anos 2000 que as políticas de password implementadas via Group Policy, servem como principal mecanismo para “obrigar” os utilizadores a definir passwords consideradas fortes. Estamos a falar de uma tecnologia e mecanismo de configuração com vários anos, largamente conhecida e sem grande evolução, dando espaço à sua exploração pelos atacantes.
Para auxiliar na mitigação do risco e uso de passwords consideradas fracas, a Microsoft disponibilizou no início de 2019, uma nova feature denominada Azure AD Password Protection. Esta feature protege a Organização, auxiliando à deteção e bloqueio de passwords fracas e/ou conhecidas, assim como suas variantes, e em opção bloquear também termos reconhecidos, específicos à sua Organização.
Como é que funciona? A Microsoft e a sua equipa de Azure AD Identity Protection fazem uma análise constante à telemetria e dados de segurança, com o intuito de recolher o máximo de informação possível relativamente a passwords em uso, consideradas fracas ou comprometidas, ou mais especificamente, na recolha e identificação de termos que servem como base para essas mesmas passwords. Toda a informação recolhida é então adicionada a uma lista global de passwords banidas e que serão bloqueadas. Estes resultados e conteúdo desta lista, não provêm de fontes ou entidades externas, mas sim da telemetria e análise contínua da Azure AD security.
Cada vez que um utilizador realiza uma operação de alteração ou reset da password, esta é avaliada e validada contra a versão atual desta lista global, que servirá o propósito de assegurar a criação de uma password mais forte (isto é válido para todos os utilizadores da Azure AD).
É possível também, fazer uso de uma lista customizada em complemento à lista global, para as Organizações que pretendam elevar um pouco mais o nível de segurança das suas passwords. Assim, a Microsoft recomenda a utilização de termos específicos relacionados com a Organização, como por exemplo:
- Marcas
- Nomes de Produtos;
- Localizações (exemplo, localização da Sede);
- Termos ou abreviaturas pela qual a Organização é reconhecida, etc;
Uma vez configurada, ambas as listas (customizada e global) serão avaliadas em conjunção no processo de avaliação e validação das passwords.
E os cenários híbridos?
Não só os utilizadores Cloud poderão estar protegidos através desta feature. A Azure AD Password Protection pode ser usada em ambientes híbridos, estendendo a proteção e os benefícios desta solução de segurança, para os cenários com a componente On-Premises. Para isso bastará a instalação de agentes na infraestrutura On-Premises do Windows Server Active Directory. Isto faz com que os utilizadores ou administradores de sistema que alteram as passwords, tenham de o fazer em conformidade não só com os critérios aplicados na política de password da Active Directory On-Premises, mas também com a validação efetuada pela Azure AD.
Para a implementação da solução com a ligação à infraestrutura On-Premises, bastará o aprovisionamento dos agentes com o serviço de proxy (para a comunicação e sincronização das políticas com a Azure AD) e a instalação dos agentes de DC em cada um dos Domains Controllers da infraestrutura (requer restart após a instalação).
Uma nota importante é que esta feature pode ser implementada no modo “Audit” (default) permitindo aos administradores de sistema perceberem que tipo de passwords estão a ser usadas pelos utilizadores aquando das operações de alteração ou reset. Isto possibilita um período de “aprendizagem” durante o qual é possível prever o impacto da implementação (modo “Enforced”) da solução na Organização e preparar a “educação” dos utilizadores.
Quando um utilizador tenta a alteração da password, para algo suscetível de ser bloqueado, recebe uma mensagem similar ao seguinte:
“Unfortunately, your password contains a word, phrase, or pattern that makes your password easily guessable. Please try again with a different password.”
Licenciamento
Os requisitos de licenciamento são basicamente, uma licença de Azure AD Premium P1 ou P2 por utilizador (para os utilizadores Cloud-only, e uso da lista global apenas, não será necessário licenciamento adicional):
O que nós dizemos
A Segurança é sempre um foco de preocupação em todas as Organizações e a Microsoft traz-nos uma ferramenta, potenciada pelo poder da computação na Cloud, como o Azure, para nos ajudar a mitigar uma questão tão sensível como a proteção das passwords e por conseguinte o acesso aos dados. É uma solução sem grande complexidade de implementação e a camada de proteção e segurança que adiciona será com certeza benéfica, uma vez que auxilia na filtragem de passwords que aparentemente obedecem aos critérios de complexidade aplicados na Organização, mas que possuem termos que levam à criação de passwords consideradas fracas ou já conhecidas. Sendo uma solução Azure, beneficiará das otimizações regulares que a Microsoft se empenha em entregar aos seus Clientes e aguardamos, mais opções na customização e uma maior visibilidade das políticas aplicadas, e a possibilidade de uma aplicação mais granular dessas mesmas políticas (atualmente a proteção é obrigatoriamente, transversal a todos os utilizadores). A Azure AD Password Protection revela-se uma mais valia na proteção e defesa do acesso aos recursos e dados das Organizações!
|