Microsoft refuerza el restablecimiento de contraseñas de Entra ID con un nuevo cambio de autenticación

Microsoft ha anunciado una importante actualización de seguridad para su función de restablecimiento de contraseña de autoservicio (SSPR) en Entra ID, introduciendo requisitos de autenticación más estrictos diseñados para reducir los ataques basados en identidad. La actualización exige el uso de métodos de autenticación registrados explícitamente, eliminando la dependencia de la información de contacto almacenada en el directorio que no ha sido verificada formalmente.

Actualmente, Microsoft Entra ID permite a los usuarios verificar su identidad durante el restablecimiento de contraseña utilizando datos de contacto almacenados en atributos del directorio, como números de teléfono móvil, números de teléfono de trabajo o direcciones de correo electrónico alternativas. Estos valores pueden existir en el directorio sin haber sido registrados o validados explícitamente como métodos de autenticación, lo que introduce posibles riesgos de seguridad. Con la nueva política, solo se aceptarán para la verificación de SSPR los métodos de autenticación registrados explícitamente por los usuarios. Los atributos del directorio, incluidos mobilePhone, businessPhone y otros correos electrónicos, ya no se considerarán válidos a menos que estén registrados formalmente dentro del sistema de métodos de autenticación.

Microsoft señala que aproximadamente el 86 % de las verificaciones actuales de restablecimiento de contraseña ya dependen de métodos registrados, lo que indica que la mayoría de las organizaciones debería experimentar una interrupción mínima. Seminario web gratuito sobre OWASP API Top 10 y guía para cerrar brechas de visibilidad con WAAP. La publicación "Microsoft refuerza el restablecimiento de contraseñas de Entra ID con un nuevo cambio de autenticación" apareció por primera vez en Cyber Security News.

🏷 Tags:CREDENCIALESRCEPARCHE