Hace unos tres meses, Microsoft
anunció la disponibilidad de tokens de hardware OATH TOTP en Azure MFA. La función todavía está en "vista previa pública", pero vemos que muchos de nuestros clientes ya la utilizan en producción. Como estamos probando esto durante los últimos meses en nuestro entorno de laboratorio y, en muchos casos, también estamos ayudando a nuestros clientes con la activación de la función, tenemos algunas observaciones que creemos que vale la pena compartir.
Deriva del tiempo y soporte sesgado
No hay especificaciones exactas publicadas por Microsoft sobre si la deriva del tiempo se detectará y ajustará en consecuencia en el lado del servidor, pero dado que mencionaron que la implementación se basa en RFC 6238, esto puede significar indirectamente que la deriva del tiempo es compatible. Los detalles de soporte de sesgo de tiempo tampoco se revelan, pero fue más fácil descubrirlo experimentando con nuestro
conjunto de herramientas TOTP ; Resulta que Azure MFA permite códigos OTP desde un rango de tiempo de
900 segundos . Con un margen de inclinación tan grande, ni siquiera son necesarios los ajustes de deriva de tiempo.
Token de hardware "unicidad"
Sorprendentemente, Azure MFA permite asignar el mismo token de hardware a múltiples usuarios. No solo permite duplicar semillas base32, sino también números de serie y modelos incluso dentro del mismo inquilino.
Aspectos de licencia
Esta no es una observación nueva, se mencionó claramente que la activación de token de hardware requiere
licencias de Azure AD P1 o P2. Teníamos algunos clientes dispuestos a beneficiarse al introducir tokens de hardware con sus suscripciones de Office 365, pero no estábamos listos para pagar alrededor de 5-6EUR por usuario por mes solo por una característica tan trivial.
Nuestra recomendación para este caso es utilizar uno de nuestros tokens de hardware
programables . No se necesita una licencia adicional para eso (ya que nuestros tokens programables son "
vistos " por el sistema como aplicaciones Authenticator) ya que MFA está
disponible en todas las suscripciones de Office 365 a partir de Business Essentials.