(Artículo escrito por Jose Manuel Castillo para la Comunidad de Office 365)

¿Qué es la autenticación multi-factor?

En el mundo actual, demostrar ser quien dices ser, sobre todo en medios digitales, se ha convertido en una operación que tenemos que realizar frecuentemente. Cada vez asuntos de lo más cotidianos necesitan identificarnos para concedernos (o no), el acceso. Por otro lado, el acceso a datos y plataformas digitales en las que operamos en nuestro nombre resulta fragil en cuanto a seguridad se refiere. En definitiva, la seguridad a la hora de acceder a nuestros datos o realizar operaciones.

Para no generar dudas e incrementar la seguridad, hay dos términos asociados a una solución que cubre ambas necesidades, Multi-factor Authentication (MFA) o doble factor de autenticación (2FA) la diferencia es que en 2FA estamos declarando que usaremos dos factores, mientras que en MFA podemos tener 2 o más factores de verificación. Por ello aquí usaremos siempre Multi-factor como término.

La autenticación Multi-factor combina normalmente dos de estos tres factores: Lo que se, Lo que tengo, y Lo que soy.

Lo que se: Es el factor más común de autenticación, y es algo que conocemos o tenemos memorizado; una palabra de paso, una contraseña o un pin.

Lo que tengo:  En este factor podemos agrupar algún elemento identificador que poseemos, Un certificado digital, una tarjeta de proximidad o un teléfono móvil del que podemos usar bluetooth, red de datos, o incluso en algunos terminales RFID.

Lo que soy: En este factor podemos incluir todas aquellas tecnologías asociadas a algo inherente a nuestro cuerpo, o factores BIO. Por ejemplo, la huella dactilar, la cara, o el iris del ojo, elementos que además nos identifican como seres únicos.

El uso de varias fases de autenticación supone una dificultad importante para los atacantes que intentan acceder a nuestra plataforma. Aunque un atacante consiga descifrar la contraseña de usuario, no servirá de nada si no dispone también de los métodos de autenticación adicionales.

¿Por qué es necesaria la autenticación Multi-Factor?

Desde el correo electrónico, nuestro equipo informático, la Wi-Fi de casa o la web del banco, hasta desbloquear nuestro terminal móvil, consultar notas por Internet, o pedir un certificado de empadronamiento, es necesario conocer y verificar quien somos para facilitarnos la información, y/o darnos acceso (o impedirlo al no poder demostrarlo).

Hasta no hace mucho bastaba con una contraseña, para poder acceder a estos datos, pero ha quedado demostrado que un solo factor de autenticación es muy vulnerable por compleja que pongamos la contraseña (basta con un mensaje de Phishing en el que el usario introduzca las credenciales pensando que en realidad está accediendo a su banco o servicio digital). Esto se entiende mejor cuando afirmamos que no hay contraseña infalible, solo es cuestión de tiempo. Por su parte el usuario (en la mayoría de los casos) pone la cosa aún más fácil para ser vulnerable poniendo contraseñas poco robustas, relacionadas con una fecha importante que pueda encontrarse en redes sociales o siempre la misma para todos los servicios.

Los ataques por fuerza bruta hacen vulnerable cualquier control de acceso solo con una contraseña. Desde hace tiempo se han detectado ataques de este tipo para acceder a servidores y que estos queden secuestrados, pidiendo un rescate, algo que seguro todos hemos oído, y en algunos casos sufrido. Aunque parezca mentira, estos atacantes ganan cantidades desorbitadas e inrastreables de dinero (Brian Krebs hace un buen trabajo documentendo, denunciando y haciendo publico todo esto en https://krebsonsecurity.com/)

La autenticación Multi-Factor en Office 365

La autenticación Multi-Factor es una característica disponible en Office 365 y en Azure desde hace varios años, pero por mi experiencia puedo afirmar que no todas las empresas lo han implantado, el motivo no es otro (creo yo) que la dificultad que genera en los usuarios, y lo poco adaptables a cambios que estos son.

La autenticación Multi-Factor en Office 365 define dos pasos de autenticación. Primero pide la contraseña y cuando introducimos el valor correcto, se envía una notificación al teléfono configurado en la forma de un SMS, llamada en el que tendremos que introducir un PIN previamente definido o una notificación en la App Microsoft Authenticator que tendremos que aprobar bien mediante via Biométrica o con una simple aprobación dependiendo de lo que configuremos tanto en el perfil como en la APP (y capacidades del terminal).

Básicamente una vez está todo implantado este servicio se lanzará cada vez que el usuario intente acceder a cualquier servicio de Office 365 (siempre y cuando la cookie de sesión o el token de acceso no siga vigente o no esté presente). Pero he de añadir algo más, en aplicaciones no compatibles con autenticación Multi-Factor solo necesitará meter una contraseña de aplicación una vez (que mas adelante explicaremos) y no la pedirá de nuevo.

No se debería esperar más, los usuarios que tengan roles de administración (sea cual sea el nivel de administrador que se tenga permiso) deberian tenerlo habilitado. Habilitarla también para los nuevos usuarios, y empezar a plantear un plan de implementación en el número total de cuentas.

Como implantar la autenticación Multi-Factor en Office 365

Desde el portal de Office 365 y sin necesidad de adquirir licencias adicionales o mejorar las que tenemos podemos activar Multi-Factor para todos los usuarios, o hacerlo usuario a usuario. El único requisito indispensable para el usuario es que tenga un número de teléfono móvil registrado en su perfil (de no tenerlo, al habilitar la característica y acceder la próxima vez mediante web, se le pedirá completar el asistente de configuración de como quiere que se le autentique)

Multi-Factor Authentication forma parte de los siguientes productos de Office 365 (como mínimo):

• Azure Active Directory Premium o Microsoft 365 Empresa: uso de la versión completa de Azure Multi-Factor Authentication mediante directivas de acceso condicional para requerir autenticación Multi-Factor con funciones completas.
• Licencias de Azure AD Free u Office 365 independiente: uso de las directivas de protección de línea base de acceso condicional creadas previamente para requerir autenticación Multi-Factor para los usuarios y administradores.
•  Administradores globales de Azure Active Directory: un sub-conjunto de las funcionalidades de capacidades de Azure Multi-Factor Authentication está disponible como medio de protección de las cuentas de administrador global

Activar la autenticación moderna en nuestro tenant.

Para activar Multi-Factor en nuestro tenant, tenemos que realizar los siguientes pasos:

Desde el portal de administración de Office 365, desplegamos la sección de Configuración y hacemos clic en Servicios y complementos:

En esta sección, localizamos el apartado autenticación moderna:

Si se quiere saber más que es la autenticación moderna, se puede revisar este articulo:

Al pinchar sobre él, vemos este mensaje, marcamos el casilla que pone «Habilitar Autenticación moderna» y aceptamos: 

Tras ello ya podemos empezar a implantar la autenticación Multi-Factor en la organización.

Activar la autenticación Multifactor por usuarios.

Puede existir la posibilidad de querer ir implantando Multi-Factor a usuarios de forma individual, en pequeños grupos, o de forma masiva (veremos todos los métodos).

De forma individual: Desde la propia ficha del usuario que encontraremos desde el panel de administración – usuarios activos – apartado cuentas, veremos la opción de administrar la autenticación de multiactor. Recordamos la necesidad de que el usuario tenga un número de teléfono móvil agregado en el campo adecuado en la ficha de usuario.

Y nos lleva al apartado de administración de Multi-Factor. Pinchamos sobre el usuario y vemos la opción habilitar:

Al pinchar en habilitar nos aparece esta pantalla:

En ella hay 2 parámetros importantes. Si desconocemos el número de teléfono o queremos que el usuario introduzca sus propios datos, enviaremos el enlace indicado (esta parte la analizaremos más adelante). Si ya hemos puesto su número de teléfono móvil, seguimos adelante.

De forma masiva: Hay dos formas y depende exclusivamente del número de usuarios a habilitar, Si se van a hacer en pequeños grupos solo es necesario marcar los usuarios deseados y seguir los pasos de forma individual como se puede ver a continuación:

O si es un gran número de usuarios desde la página de administración de Multi-Factor, podemos descargar y subir un archivo CSV de actualización en masa:

En él podremos descargar un archivo de ejemplo y completarlo con nuestros datos y subirlo a Office 365. Este archivo CSV lo completaremos con los nombres de los usuarios seleccionados (su nombre de usuario o también conocido como UPN) y el valor de estado de la autenticación Multi-Factor (Enabled, Disabled) separados por comas como muestra el siguiente CSV de ejemplo:

Una vez relleno, en la ventana anterior le indicamos donde está nuestro archivo y le damos a confirmar. 

Aunque esperemos que no lo necesite nunca, para deshabilitar Multi-Factor, solo es necesario hacer los mismos pasos que para habilitar y aparecerán indicadores de deshabilitar, donde antes nos aparecía como habilitar.

¿Como influye en el usuario?

Esta es la parte que tendremos que notificar o formar si es necesario porque es la parte donde el usuario deberá configurar sus datos.

Si no hemos configurado los datos de acceso o queremos dar oportunidad de cambiarlo, debemos enviar el enlace que vimos anteriormente, pinchar en él y tras iniciar sesion en Office 365, le mostrará esta ventana:

Tras pinchar en Siguiente, solo ha de añadir su teléfono móvil:

Recibirá un código por SMS en el teléfono indicado, y el portal nos pedirá que lo confirmemos.

Nos dará un último mensaje y nos indicará una contraseña de aplicación. Ese es el mecanismo de compatibilidad de Office 365 con las aplicaciones que no son compatibles con Multi-Factor. (Más adelante en este articulo hablaremos de esto)

Nos confirmará si todo está ok, y a partir de ese momento ya hemos terminado de configurar Multi-Factor.

También tenemos la posibilidad de configurar el acceso desde Microsoft Authenticator, los pasos de configuración son muy parecidos, pero cambia en pequeños detalles, así que veremos como se hace.

Lo primero es que el usuario se descargue la aplicación Microsoft Authenticator, el cual está disponible para Android e IOS desde las tiendas de cada plataforma correspondientemente.

Al enviar el enlace de carga de datos por parte del usuario y pinchar en él, https://aka.ms/MFASetup debemos seleccionar aplicación móvil:

Si elegimos la opción usar código de verificación, no nos llegará el mensaje si no que en la pantalla de nuestro móvil, nos aparecerá unos códigos al abrir la APP, y que van cambiando cada 30 segundos tal y como se muestra a continución:

En cambio, si marcamos la opción de recibir notificaciones, en nuestro teléfono aparecerá un pop-up, en el cual tendremos que aceptar o rechazar:

Tras seleccionar la opción deseada, pinchamos en configurar y nos mostrará una ventana con un código QR para que lo agreguemos como proveedor/servicio en nuestra APP de autenticación:

Este QR o en su defecto el código debemos escanearlo o introducirlo a través de la APP. A partir de eso ya esta configurado y se podrá acceder mediante al APP Microsoft Authenticator.

Contraseña de aplicación.

Antes habíamos dejado pendiente hablar de este tema. Dado que no todas las aplicaciones cliente son compatibles o están preparadas para utilizar Multi-Factor, es necesario hacer uso de una contraseña de aplicación. Outlook 2010 es un ejemplo perfecto dado que no hace uso de ADAL como Office 2013 SP1+ o posteriores.

Este elemento no es más que una contraseña que solo sirve para un dispositivo. Puede considerarse como un token permantente asociado a una aplicacion en concreto, por lo que se recomienda generar una para cada dispositivo y/o programa a usar. Tampoco se puede cambiar y es generada automáticamente para cumplir con las medidas de seguridad.

Por ejemplo, si Outlook está configurado en 2 dispositivos distintos se recomienda generar una para cada uno (aunque podamos reutilizar la misma para las aplicaciones y dispositivos que queramos). Esta contraseña sustituye a la contraseña de acceso en esa aplicación, y solo en ella. Veámoslo:

Desde el panel de configuración del usuario vamos a mi cuenta:

Y luego a seguridad y privacidad:

Pinchamos en el apartado comprobación de seguridad adicional, y luego en crear y administrar contraseñas de aplicación:

Tras ello se abre un nuevo menú:

Desde aquí podremos crear cuantas contraseñas de aplicación consideremos necesarias, teniendo en cuenta lo comentado antes una por programa o aplicación cliente para todas aquellas aplicaciones que no son compatibles con Multi-Factor.

Como sabemos cuando no es compatible? Hay dos formas, una buscando documentación de la aplicación, y la otra con una prueba muy sencilla, las aplicaciones no compatibles no validaran al usuario poniendo la contraseña de acceso a Office 365 (la que se usa como primer factor).

Para generar nuevas contraseñas de aplicación debemos pinchar en el botón crear, introducimos primero el nombre:

Y luego nos muestra la contraseña que se ha generado aleatoriamente (podemos guardarla en el portapapeles), pero no se puede modificar, solo eliminar y generar nueva tal y como he mencionado anteriormente.

Esto se puede repetir cuantas veces deseemos. Al terminar, nos quedará algo parecido a esto:

Otras tareas de administración

Desde el panel de administración de Office 365, nosotros podemos volver a forzar que introduzca la información e invalidar todas las contraseñas de aplicación, pero no podemos ver o editar ninguna información que haya puesto el usuario.

Si el usuario desea cambiar el número de teléfono o cambiar el terminal desde el que ejecutar la APP, debe ir a su perfil y seguir el mismo camino camino que para las contraseñas de aplicación, pero debe de pinchar en Actualice los números de teléfono que usa para la seguridad de la cuenta:

Si por seguridad el administrador decide revocar todas las configuraciones o alguna en concreto, solo ha de ir al panel de administración de Multi-Factor, seleccionar la cuenta y administrar la configuración de usuario:

Desde esa ventana podremos requerir que ingresen de nuevo los datos, eliminar las contraseñas de aplicación, o restaurar la autenticación. Estas opciones son raramente usables, pero utiles en casos en los que sospechamos que un equipo ha sido comprometido.

Este es el fin de este how-to. Puede parecer complicado, pero es bastante amigable. Si el tenant está en producción recomendamos antes de ejecutarlo hacer algunas prácticas en algún tenant de pruebas o en un grupo reducido de usuarios. También si no se estás completamente seguro de su implantación, contrates a algún profesional de confianza.  

En algunas capturas, he mostrado el código bidi y alguna contraseña de aplicación, creo que es obvio decir que se trata de entornos de pruebas y que por lo tanto son desactivadas al terminar este artículo ;).