Evite el lío de las contraseñas: No utilice contraseñas con la aplicación E-Visor Teams

Cristian Mora

CEO & Founder | Synergy Advisors

¡Hola a todos!

Sí, el lío de las contraseñas es real y estoy seguro de que afecta a todo tipo de individuos y organizaciones. Estamos en un punto tan crítico en la perspectiva de la identidad y las decisiones a tomar son aún más relevantes ahora que muchas organizaciones han decidido dejar que los usuarios trabajen de forma remota, no sólo temporalmente, sino de forma permanente:

Empecemos con un sencillo ejercicio: elige un papel y empieza a contar las aplicaciones e identidades que tiene un mismo usuario en las empresas y en las que no lo son

Personal

- Entretenimiento y redes sociales (desde películas, TV, pasatiempos, hasta todo tipo de opciones de redes sociales de moda)
- Credenciales de servicios (electricidad, agua, bancos, basura, su barrio, dispositivos inteligentes, etc.)

Personalmente hice la prueba con algunos amigos y algunos de ellos nunca se dieron cuenta cuántas credenciales tenían hasta que tuvieron queconseguir un nuevo dispositivo móvil instalado “desde cero”. Se dieron cuenta de la cantidad de cuentas de usuario y contraseñas que tienen entre todas sus “queridas aplicaciones”. Algunos de los miembros de mi grupo de discusión informal encontraron entre 15 y 35 credenciales diferentes. Esto parece irreal, pero pruébalo y verás cómo necesitas dedos/notas adhesivas adicionales para no perder de vista el número. Sí, estoy seguro de que no estás tan lejos… aunque espero que no más allá

Negocios

- Muchas organizaciones se encuentran en la desafortunada situación de tener un reto de identidades híbridas que no se ha solucionado en las instalaciones y que ahora se está expandiendo a un ritmo acelerado en la nube, generando todo tipo de riesgos, empezando por las identidades múltiples, los servicios de IT en la sombra (servicios no gestionados a los que la gente se suscribe y la IT no supervisa ni audita), la gestión de datos no supervisada, y muchos otros riesgos.

La parte interesante de la consolidación de usuarios está en el lado empresarial: a medida que las organizaciones reducen el número de contraseñas por usuario, el factor de riesgo aumenta, ya que ahora una sola contraseña comprometida puede utilizarse en múltiples, y quizás TODOS, los recursos a los que accede un usuario. Por ello, la autenticación multifactor (MFA) se convierte en una funcionalidad crítica, pero ¿cómo se puede aumentar la protección y al mismo tiempo reducir la fricción con el usuario y los casos de asistencia?

Si te perdiste mi último posteo de blog MFA donde explicamos cómo optimizar la protección de identidadexplicó cómo optimizar su protección de identidad más allá de los métodos tradicionales de MFA, ¡¡¡BIENVENIDO!!! Estás en el lugar correcto; ¡vamos a recorrer juntos una estrategia sin contraseña!

Viaje sin contraseña - Visión general

Permítanme comenzar diciendo que la gestión/control de la identidad y el acceso es ciertamente un viaje. No hay una fórmula mágica que pueda solucionar este problema de una vez (aunque las modificaciones del código de la aplicación, la retirada de los protocolos heredados y la mejora de la educación de los usuarios vienen a la mente casi inmediatamente), SIN EMBARGO, esto no significa que no podamos mejorar significativamente y obtener ganancias rápidas, específicamente con la necesidad inminente de proteger las identidades de los usuarios a través de mecanismos de autenticación simplificados, modernos y más robustos.

Como se presenta en la siguiente tabla, recomendamos considerar las siguientes etapas para fortalecer la protección de la identidad tanto del usuario final como de los servicios a través de capacidades de autenticación más fuertes más allá del nombre de usuario + contraseña. Muchas de ellas están a un clic de distancia y es posible que ya tenga licencia para utilizarlas.

Viaje de optimización de la identidad usando [Passwordless].

Stage	Description	Actions
Crawl Stage E-Visor Teams App - Improved Passwordless/Multi-Factor Experience within [My personal information]: Get to know what you have/status and recommendation	If you are concerned about making a big change, I promise the following step will NOT hurt; it will actually make things super simple for both IT and end-users: The more you enable your applications to leverage AAD single sign-on (SSO), the faster they can benefit from passwordless/MFA and other security features! Enable MFA! Check our last post and see how easy it is to enable and get users familiar with it! The Microsoft Authenticator app can be the easiest way to start this passwordless journey. Then users can also protect their personal email and social media leveraging this tool!	SaaS Implement AAD SSO using standard methods End-User Implement AADP MFA Start your passwordless journey using Microsoft Authenticator
Walk Stage E-Visor Teams App - Improved Passwordless/Multi-Factor Experience within [My Sign-Ins]: Simplified Application Access	While users start working with their multi-factor, you can start optimizing your infrastructure as presented in the following bullets: Yes, AADP has so many other services that leverage your user access requests! For example, you can configure MFA to only request a second authentication as needed, according to your security baseline. Furthering the example, consider using MFA only when accessing an app from a non-corporate device. This approach provides a less intrusive experience for your end users while still protecting the organization in riskier scenarios. Scope Expansion Some people think AADP is just for web-based apps, NOPE! We have deployed all kinds of VPN concentrators directly with AADP and the best part of this is: Less infrastructure is needed as the devices speak with the identity service in the cloud and, of course, can “request MFA” Beyond that, you can implement all the amazing conditional access policies that can make user access criteria much richer than the combination of username+Pwd+MFA; transcend your identity posture by checking on device state, location, and many other rules provided by the service From the devices coverage perspective, expand beyond accessing remote resources by implementing Windows Hello for business! Protect your Windows 10 devices using it and note the new authentication methods you can use; from fancy biometrics to PIN-based protection: I guarantee you Windows Hello can reduce the use of passwords in your organization with your existing devices Lastly for this phase, get started protecting high-privilege accounts using FIDO2 security keys. Remember that those who can perform significant changes to your services will be the focus of attacks as hackers are always looking to quickly get control of your organization. Mitigate such actions by protecting your admins and operators with Security Keys, but that is not all…check the next stage as we want to make sure your entire organization is protected	SaaS & Enterprise Apps Implement AADP Conditional Access Integrate On-Premises Applications, VPN and Remote Desktop Services to AADP End-User Expand your Passwordless journey using Windows Hello for business and protect key administrators using FIDO2 Keys
Run Stage E-Visor Teams App - Improved Passwordless/Multi-Factor Experience within [My Sign-Ins]: Simplified Application Access	Once you have protected cloud, remote access, on-premises applications, and user devices using Microsoft AAD and FIDO Keys what else can you do? Do not miss the fun; there are so many other things you can do to continue optimizing your identity posture. You can even further fine-tune when to request MFA. Yes, how about requesting a second authentication based on risk! For example, configure MFA so that accessing one or more applications does not always request a second authentication. Instead, only initiate MFA requests due to some anomalous activity, such as access from unusual times or locations. Trust but verify! Let AADP mitigate risky sign-ins and go beyond static parameter protection. Only perform MFA when necessary! Scope Expansion Now it is time to go after all your apps. Yes, it’s as simple as that: why not enable your applications to leverage MSAL and get not only “modern”, but also start leveraging a consistent user experience and risk management, using AADP Conditional Access, MFA etc. We have helped multiple organizations and you can start seeing benefits right away. App access just works; access is consistent regardless of device type and app. Simplified access + Passwordless: what a terrific combination to mitigate phishing attacks and other risks in your organization. Notice that this is not a .NET development story. We are using Angular, Java, and many others. Rather than reinvent the identity wheel for each new app, all are integrated and consolidated using MSAL. Interested? Let’s talk! [email protected] Now, close the gap and protect everyone, yes EVERYONE. Any of your employees can be the way an attacker gets into your organization. Ideally, passwordless using Authenticator + Windows Hello + FIDO2 Keys should be as standard as possible across your organization. Do not let this effort be diminished for what you consider a potential future; at least consider FIDO2 expansion beyond Admins to Execs! Perhaps next target users who deal with sensitive data and then keep going until you cover your entire organization. Remember this is a journey! On the technical side, 20/25 years ago you had to worry about token/smart card drivers; I can tell you now, based on the newest standards, that you can configure and use those keys very simply: USB, Bluetooth, NFC make it sooo easy.	SaaS & Enterprise Apps (Cont.) Implement Conditional Access + Identity Protection (Machine Learning + Artificial Intelligence) Modernize your on-premises applications using MSAL End-User Expand Passwordless throughout the organization using FIDO2 Keys Replace legacy OTP/PKI/Certificate-based using FIDO2

Tenga en cuenta que las siguientes capacidades de E-Visor Teams App + AADP #passwordless que se presentarán en la siguiente sección requieren:
- El cliente debe tener AADP o inscribirse en una prueba
- El cliente debe tener instalada y configurada la aplicación E-Visor Teams Basic (o superior)

Entremos en detalles sobre cómo podemos recorrer juntos este camino de optimización de la identidad.

CRAWL STAGE – E-Visor Teams App – Mejora de la experiencia sin contraseña/múltiples factores within:

[My personal information]: Get to know what you have/status and recommendations

Vea el estado de extremo a extremo de su configuración de MFA utilizando la aplicación E-Visor Teams, a la vez que obtiene recomendaciones sobre cómo mejorar la configuración

También hemos proporcionado detalles sobre el restablecimiento de contraseñas de autoservicio, completando todo el ciclo de vida de las identidades, desde la perspectiva del usuario final, para que pueda mantener la productividad de sus usuarios.

NOTA: Si quieres más detalles sobre todas las etapas/estados de la configuración del MFA, consulta nuestra anterior entrada del blog Optimizar MFA y SSPR usando E-Visor Teams app y AADP

La siguiente imagen le muestra los detalles de cada casilla para el estado de esos dos servicios; tenga en cuenta que esto incluye:

MFA

Passwordless
- Ana ha configurado Microsoft Authenticator: puede recibir notificaciones de la aplicación y realizar aprobaciones utilizando la aplicación. También puede aprovechar el código de acceso único de Authenticator para realizar una autenticación fuerte
- Ana también tiene configurada una Clave de Seguridad (Fido2) y por eso vemos el color azul
Optimización y cambios
- También puede ver los detalles de este dispositivo desde la aplicación y (con un solo clic) cambiar su configuración general de MFA. En E-Visor, no basta con configurar un servicio; ¡permítanos ayudarle a optimizarlo y a conseguir que sus usuarios tengan una configuración óptima!

WALK/RUN STAGE – E-Visor Teams App – Mejora de la experiencia sin contraseña/múltiples factores dentro: within:

[Mis Sign-Ins]: Acceso simplificado a las aplicaciones

Vea el estado de extremo a extremo de su configuración de MFA utilizando la aplicación E-Visor Teams, a la vez que obtiene recomendaciones sobre cómo mejorar la configuración

También hemos proporcionado detalles sobre el restablecimiento de contraseñas de autoservicio, completando todo el ciclo de vida de las identidades, desde la perspectiva del usuario final, para que pueda mantener la productividad de sus usuarios.

Mi Sign-Ins Estado

Aquí el usuario puede encontrar en una sola página/sección acceso y configuración para

Sign-ins
Comprobación de su acceso (éxito/fracaso)
Multi-Factor Autenticación utilizada

Validar cuándo se solicitó la MFA (casilla MFA Used)

Validar el tipo de MFA utilizado para acceder a una aplicación específica

Acceso condicional utilizado
Cuando se aplicaron las políticas de acceso condicional y, si el acceso no se concedió o se limitó, identificar la razón, y luego llegar a una resolución
Recuento de eventos de riesgo
Identificar y conocer los eventos de riesgo que impiden el acceso de los usuarios a los servicios u obtener una validación de seguridad adicional

En resumen, aquí se puede ver lo que está pasando con un par de clics y los detalles correspondientes. ¡Los usuarios que aprovechan la aplicación están ahorrando mucho tiempo para ellos mismos y $ para IT y la organización debido al autoservicio y la información optimizada que puede identificar rápidamente lo que está sucediendo y lo que acaba de suceder!

Multi Factor Password Microsoft Authenticator app

¿No es E-Visor? Por supuesto que puedes utilizar todas estas capacidades de Microsoft AADP/Passwordless; sin embargo, aunque estos controles de seguridad son increíbles, haz el ejercicio que mencioné al principio de este post: ¿cuántos portales tiene que utilizar el usuario final? ¿Valida el departamento de IT el acceso, la experiencia del usuario y las cuestiones de seguridad en cada uno de ellos? Hemos simplificado todo eso en nuestra aplicación.

Una vez más, considere la aplicación E-Visor Teams como su compañero de viaje. Dondequiera que le lleve su viaje sin contraseña, no sólo le decimos dónde está, sino cómo mejorar. No se trata sólo de información; el usuario puede autogestionarse a través del portal de AMF, diagnosticar y solucionar fácilmente los problemas, y ponerse en la mejor forma posible con unos pocos clics.

Si este viaje le parece desalentador, o incluso si sólo necesita un plan de acción para empezar, estamos aquí para ayudarle. Nuestra gama de servicios va más allá de la aplicación E-Visor Teams; ofrecemos consultoría para ayudar a las organizaciones a diseñar, implementar, utilizar y ampliar los servicios de identidad, seguridad y productividad de Microsoft. Para las organizaciones que necesitan soporte continuo, ofrecemos servicios gestionados que pueden ayudarle a supervisar y optimizar sus implementaciones de TI. Nuestra solución E-Visor en PowerBI también puede ayudar a los administradores a ver el uso y la configuración de sus servicios de Microsoft, al tiempo que destaca los eventos más importantes para su organización. Incluso podemos ayudarle a adquirir licencias de Microsoft. Para hablar con uno de nuestros ingenieros de soluciones y ver si podemos ayudarle, envíenos un correo electrónico a [email protected]

En resumen

En este blog, presentamos lo mucho que la aplicación E-Visor Teams y el AADP pueden acelerar su viaje de adopción del #passwordless:

Microsoft proporciona todas estas tecnologías, en las que puedes arrastrarte, caminar y correr
Le echamos una mano a través de nuestra visión simplificada del usuario final con recomendaciones y tareas procesables inmediatamente disponibles desde la herramienta de colaboración diaria de los usuarios mediante la aplicación E-Visor Teams
- Estado basado en el color
- Recomendaciones de buenas prácticas
- Detalles de uso de MFA y sin contraseña
- Enlaces rápidos a portales para configurar los servicios

Descargue las aplicaciones de E-Visor Teams AQUÍ y siga los pasos para configurar la aplicación AQUÍ:

NOTA: la versión E-Visor Teams App Entry NO tiene las capacidades de AADP; por favor, póngase en contacto con nosotros AQUÍ para ver cómo podemos facilitar potencialmente E-Visor a un subconjunto de sus usuarios, aprovechando el Microsoft FastTrack Ready Program.

Antes de terminar por hoy, no se pierda nuestra próxima entrada en el blog sobre la productividad efectiva utilizando la aplicación E-Visor Teams

Register for more here!

[contact-form-7 id="4323"]

Cheers!