Qué son los pases de acceso temporal en Azure AD

Hace unos días les mostraba paso a paso cómo habilitar el inicio de sesión sin contraseñas en Azure AD. Ahora que ya sabemos cómo preparar nuestro tenant para soportar llaves de autenticación -como la YubiKey 5C NFC de Yubico- vamos…

Cómo agregar un alias a las direcciones de e-mail de los canales de Teams

Enviar un e-mail a un canal de Teams puede resultar especialmente útil para, por ejemplo, alertar a todo el equipo de alguna falla detectada por una aplicación de monitoreo, o simplemente para informar rápidamente a los miembros del canal de…

Cómo habilitar el inicio de sesión sin contraseñas en Azure AD

La autenticación sin contraseñas –passwordless authentication– llegó para quedarse. Que es imposible recordar decenas cientos de contraseñas no es algo nuevo. Por eso desde hace ya varios años insistimos tanto con los administradores de contraseñas. Usuarios hogareños, empresas, organismos de…

¿Qué es un “dev tenant”?

Conversando con colegas, frecuentemente surgen preguntas como… ¿tenés un entorno de pruebas en Azure? ¿dónde probás tu código antes de ejecutarlo en el tenant de producción? ¿cómo probás los cambios masivos antes de aplicarlos a tus usuarios? Para estos escenarios…

Usando la experiencia moderna en SharePoint Online

En entregas anteriores hablábamos sobre cómo crear una colección de sitios en SharePoint Online via PowerShell y cómo restaurar una colección de sitios eliminada de SharePoint Online via PowerShell. Hoy vamos a hablar sobre los sitios de SharePoint que usan…

Qué hacer cuando falla la autenticación multifactor

El lunes 19 de Noviembre, alrededor de las 04:39 UTC, usuarios de los servicios de Office 365 y Azure alrededor del mundo comenzaron a experimentar problemas para iniciar sesión en sus cuentas. Al intentarlo, luego de ingresar la dirección de e-mail…

¿Cómo funciona la autenticación multifactor?

Esta es la tercera de una serie de entregas dedicadas a temas de seguridad en línea. En la primera hablamos sobre los administradores de contraseñas y en la segunda sobre las -cada vez más populares- filtraciones de datos. Hoy vamos…

Office 365 agrega soporte para DKIM y DMARC

Así lo anunciaron Terry Zink y Shobhit Sahay del equipo de producto de Office 365 en este artículo, en el cual aseguran que ambas funcionalidades obedecen a la necesidad que tienen las compañías que decidieron confiar sus correos electrónicos a Microsoft de mantener a sus…

Todo lo que necesitas saber acerca de POODLE

Hace algunos días fue confirmada una vulnerabilidad de la que se habían oído rumores tiempo atrás. Se trata de POODLE (Padding Oracle On Downgraded Legacy Encryption, por sus siglas en inglés), un fallo en el protocolo SSL 3.0 que podría permitir ataques del tipo MitM (Man in the Middle) en los que un atacante podría leer y modificar la información intercambiada entre dos equipos sin generar ninguna sospecha.

El fallo, registrado bajo el identificador CVE-2014-3566, fue descubierto por Bodo Möller, Thai Duong and Krzysztof Kotowicz del equipo de Seguridad de Google y publicado en el blog de la compañía.

Si bien la vulnerabilidad no es tan seria como sí lo fueron Heartbleed o Shellshock, debe ser tenida en cuenta y mitigada por los administradores de sistemas. SSL 3.0 ya cumplió 18 años, pero aún es utilizado por los navegadores para “escapar” de algunos errores que impedirían el correcto uso de protocolos más recientes. De esta manera, un atacante podría forzar el uso de SSL 3.0 para explotar sus deficiencias.

Usuarios hogareños

Para el caso de los usuarios hogareños u organizaciones que quieran proteger a sus usuarios de esta vulnerabilidad y evitar que un atacante intercepte la información intercambiada con un servidor que aún no ha mitigado el fallo, alcanza con deshabilitar el protocolo SSL 3.0 en los navegadores de internet.

It’s time to replace SHA-1 certificates

It has been 20 years since SHA-1, the world’s most used encryption method, was released.

SHA-1 is an encryption method developed by the National Security Agency of the United States and is considered a federal information processing standard for the Government of that country. The method of output of SHA-1 produces a 160 bits (20 bytes) secure hash value, equivalent to an hexadecimal number of 40 digits long.

In 2005 were published two investigations in which big vulnerabilities in this mechanism were demonstrated. It happens that the hashes have a natural enemy called “collisions”. Collisions are the possibility of encountering an identifier that is notunique, i.e. that a same SHA-1 represent two different incoming data flows through brute force attacks.

By definition, we could say that there is 1 chance in 1208925819614629174706176 (280) of generating collisions in SHA-1. However, at the beginning of 2005, a group of Chinese researchers reduced the number of attempts to 269. Finally, researches of the Macquarie University of Australia were able to reduce it to 252 (about 2000 times faster than expected).

As a result, the CA/Browser Forum recommended in 2011 start to leave SHA-1 as soon as possible. In fact, the Government of the United States stopped using this mechanism in 2010.

About SHA-2