Mais uma análise dos tokens de hardware OATH no Azure Cloud MFA

Há cerca de três meses, a Microsoft anunciou a disponibilidade de tokens de hardware OATH TOTP no Azure MFA. O recurso ainda está em "visualização pública", mas já vemos muitos de nossos clientes já usando o recurso em produção. Como estamos testando isso nos últimos dois meses em nosso ambiente de laboratório e, em muitos casos, também estamos ajudando nossos clientes com a ativação do recurso, temos algumas observações que acreditamos valer a pena compartilhar.

Suporte a desvio e desvio de tempo

Não há especificações exatas publicadas pela Microsoft sobre se o desvio de tempo será detectado e ajustado adequadamente no lado do servidor, mas como eles mencionaram que a implementação é baseada na RFC 6238, isso pode significar indiretamente que o desvio de tempo é suportado. Os detalhes do suporte de desvio de tempo também não são divulgados, mas foi mais fácil descobrir experimentando o nosso conjunto de ferramentas TOTP ; verifica-se que o Azure MFA permite códigos OTP dentro do intervalo de tempo de 900 segundos . Com uma tolerância de inclinação tão grande, nem são necessários ajustes de desvio de tempo.

"Exclusividade" do token de hardware

Surpreendentemente, o Azure MFA permite atribuir o mesmo token de hardware a vários usuários. Ele permite não apenas sementes base32 duplicadas, mas também números de série e modelos, mesmo dentro do mesmo inquilino.

Aspectos de licenciamento

Esta não é uma observação nova, foi mencionado claramente que a ativação do token de hardware requer licenças do Azure AD P1 ou P2. Tivemos alguns clientes dispostos a se beneficiar da introdução de tokens de hardware com suas assinaturas do Office 365, mas não estão prontos para pagar em torno de 5 a 6EUR por usuário por mês apenas por um recurso tão trivial.
Nossa recomendação para este caso é usar um de nossos tokens de hardware programáveis . Não há licença adicional necessária para isso (como nossos tokens programáveis ​​são " vistos " pelo sistema como aplicativos Authenticator), pois o MFA está disponível em todas as assinaturas do Office 365 a partir do Business Essentials.