Algunos secretos son demasiado importantes para ser protegidos solo por una contraseña.
El problema con las contraseñas es que se roban, adivinan o falsifican con demasiada facilidad. Un tipo malo que adquiere tu nombre de usuario y contraseña puede usar esas credenciales para hacerse pasar por ti en el servicio asociado, con resultados potencialmente desastrosos.
Su organización no puede permitirse el lujo de hacer de las contraseñas la única barrera que protege los archivos y el correo electrónico de su empresa de atacantes externos. Necesita una capa de seguridad adicional llamada autenticación multifactor. Funciona al requerir al menos dos formas de autenticación, de cualquier combinación de los siguientes elementos:
- «Algo que conoces», como una contraseña o PIN
- » Algo que eres», como una huella dactilar u otra identificación biométrica
- » Algo que tienes», como un smartphone de confianza que puede generar o recibir códigos de confirmación
Los servicios en línea modernos de nivel empresarial te permiten agregar una segunda forma de autenticación a las cuentas de usuario, una configuración a la que a menudo se denomina autenticación de dos factores (2FA). El ejemplo clásico de 2FA es una tarjeta de cajero automático bancaria, que está asegurada por un segundo factor en forma de un PIN numérico. Si su tarjeta de cajero automático es robada, es inútil porque el ladrón no tiene su PIN. Y un PIN robado o robado es inútil a menos que el ladrón también pueda deslizar la banda magnética en su tarjeta física.
Las ediciones Enterprise de Office 365 incluyen la capacidad de agregar 2FA a cualquier cuenta de usuario. (Esta publicación de blog de Office explica cómo funciona la función, con una guía de implementación completa disponible aquí.) Después de configurar una cuenta de usuario para que requiera 2FA, el usuario ingresa su nombre de usuario y contraseña como de costumbre al visitar Office365.com. Pero después de superar con éxito ese desafío, aparece el mensaje que se muestra en la Figura A.
Figura A
En este ejemplo, Office 365 está configurado para enviar el código de verificación como un mensaje de texto al número de teléfono móvil asociado con la cuenta de usuario (está ese «algo que tiene»). Un ladrón puede tener la contraseña de tu usuario, pero no tiene el teléfono asociado a ese dispositivo, por lo que no puede escribir el código numérico generado aleatoriamente que se envió a ese dispositivo de confianza. Y tampoco tiene mucho tiempo para trabajar, porque el código caduca aproximadamente un minuto después de su envío.
El problema con las opciones de verificación que se basan en mensajes de texto (SMS) es que no siempre puede contar con recibir esos mensajes cuando los necesita. Si tiene una conexión de red de alta velocidad en su hotel u oficina remota, pero su teléfono dice «Sin servicio», se le acabó la suerte.
La solución es utilizar una opción de verificación alternativa, extraída de la lista que se muestra en la Figura B.
Figura B
La primera opción de esa lista funcionará incluso si no puede recibir un mensaje de texto o un código enviado por una voz robótica a su línea de voz. Asume que ha instalado la aplicación de autenticación multifactor de Azure, que está disponible para dispositivos iOS (iPhone y iPad), a través de la App Store; dispositivos Android, a través de Google Play Store; y Windows Phone.
Debido a que Office 365 se basa en Microsoft Azure, puede usar esta aplicación para generar códigos de confirmación basados en su clave secreta y la fecha y hora actuales. No importa si tu teléfono tiene una conexión de datos activa. Si puede abrir la aplicación, puede recuperar un código que actuará como un segundo factor de autenticación válido.
La figura C muestra el aspecto de la aplicación en un smartphone Android.
Figura C
Si tiene configurada más de una cuenta, verá códigos separados para cada cuenta. Cada código es válido durante 30 segundos, con la barra de progreso en la parte superior de la aplicación que muestra cuánto tiempo falta para que se genere el siguiente código.
Cuando vea el mensaje en su navegador web para ingresar el código de verificación, escriba el valor actual de la aplicación y obtendrá acceso a Office 365.
Vale la pena señalar que 2FA protege su cuenta del acceso no autorizado. No protege archivos o mensajes individuales.
Para configurar 2FA en un Office 365, debe iniciar sesión como administrador, visitar el Centro de administración de Office 365 y hacer clic en Usuarios | Usuarios activos. En el panel de usuarios activos, haga clic en la opción de la figura D para iniciar el proceso de configuración. Este paso lo llevará a una lista de usuarios activos, donde puede seleccionar una o más cuentas y luego habilitar o deshabilitar 2FA.
Figura D
Después de completar la configuración, se le pedirá a cada usuario que configure los pasos de verificación de seguridad adicionales. Si eliges la opción de configurar la aplicación para smartphone, instálala en tu dispositivo primero. Luego, durante la configuración, use el código QR en la pantalla para configurar la aplicación para un uso seguro (Figura E).
Figura E
Como usuario, puede cambiar la configuración de 2FA en cualquier momento. Por ejemplo, puede cambiar el comportamiento predeterminado para que la aplicación muestre un mensaje de confirmación que puede tocar para aprobar. También puede agregar un teléfono móvil alternativo a su configuración.
Para acceder a estos ajustes, inicie sesión en Office 365, haga clic o toque el icono de engranaje en la esquina superior derecha, elija Ajustes de Office 365 y, a continuación, seleccione Verificación de seguridad adicional. Debes elegir Actualizar Mis Números de teléfono Utilizados para la Seguridad de la Cuenta para ver todas las opciones disponibles.
Una última nota importante sobre el uso de Office 365 con Office 2FA. Activar este nivel de seguridad adicional significa que las credenciales de tu cuenta de Office 365 ya no funcionarán en las aplicaciones de correo de tu teléfono o PC, incluidos Microsoft Outlook y Lync. Deberá generar una contraseña de aplicación independiente para cada dispositivo de este tipo e ingresarla como parte de la configuración inicial. El panel de control de Contraseñas de aplicaciones se encuentra en una pestaña separada, junto a las Opciones de Verificación de seguridad adicionales.
Cuando inicias sesión en una cuenta por primera vez en un dispositivo, puedes designar ese dispositivo como de confianza («No vuelvas a pedirme un código en este dispositivo»). Eso elimina el factor de molestia en los dispositivos que usa regularmente.
Si cree que un dispositivo ha sido robado o comprometido, puede conectarse y eliminar la lista de dispositivos de confianza para que tenga que repetir la verificación para cada uno. Una vez más, debido a que este es un solo paso, solo es una molestia una vez por dispositivo. Si está iniciando sesión en un dispositivo que no es de confianza (una computadora prestada, digamos), obviamente no permite que esté en su lista de dispositivos de confianza.