LastPass Enterprise and Identity suporta RSA SecurID como uma forma de autenticação multifator para acesso do usuário à sua conta LastPass. Um segundo fator de autenticação pode proteger seu LastPass Vault contra ataques de repetição, ataques man-in-the-middle e uma série de outros vetores de ameaças.

Observação: a disponibilidade do recurso pode variar dependendo do tipo de conta .

Para começar, os administradores do LastPass devem concluir as etapas para habilitar a autenticação multifator no console de administração.

Limitações e compatibilidade

Recursos com suporte do RSA Authentication Manager com LastPass Enterprise e IdentityRecursos com suporte do RSA Authentication Manager com LastPass Enterprise e Identity
Autenticação RSA SecurID via protocolo UDP RSA SecurID nativoNão
Autenticação RSA SecurID por meio do protocolo RSA SecurID TCP nativoNão
Autenticação RSA SecurID via protocolo RADIUSsim
Autenticação RSA SecurID via IPv6Não
Autenticação sob demanda via protocolo UDP SecurID nativoNão
Autenticação sob demanda via protocolo TCP Nativo SecurIDNão
Autenticação baseada em riscoNão
Suporte de réplica do RSA Authentication Managersim
Suporte de servidor RADIUS secundáriosim
RSA SecurID Software Token AutomationNão
RSA SecurID SD800 Token AutomationNão
Proteção RSA SecurID de Interface AdministrativaNão

Configure o host do agente

Para facilitar a comunicação entre o LastPass Enterprise e o RSA Authentication Manager / RSA SecurID Appliance, um registro de host do agente deve ser adicionado ao banco de dados do RSA Authentication Manager. O registro do host do agente identifica o LastPass Enterprise e contém informações sobre comunicação e criptografia. Defina o Tipo de agente como “Agente padrão” ao adicionar o agente de autenticação.

Como o LastPass se comunicará com o RSA Authentication Manager via RADIUS, um cliente RADIUS que corresponda ao registro do host do agente deve ser criado no RSA Authentication Manager. Os clientes RADIUS são gerenciados usando o console de segurança RSA.

As seguintes informações são necessárias para criar um cliente RADIUS:

  • nome de anfitrião
  • Endereços IP para interfaces de rede
  • RADIUS Secret
Nota:  O nome de host do cliente RADIUS deve resolver para o endereço IP especificado.

LastPass Enterprise and Identity emprega uma arquitetura distribuída que engloba muitos servidores configurados de forma semelhante. Como resultado dessa arquitetura, os administradores do RSA Authentication Manager precisarão configurar os registros do host do agente e / ou clientes RADIUS para cada servidor LastPass Enterprise ou Identity. Existem alguns métodos diferentes para conseguir isso com diferentes quantidades de esforço administrativo. Essas opções são:

  • Configure um registro de host de agente e o cliente RADIUS correspondente para cada servidor LastPass Enterprise.
  • Configure um registro de host de agente para cada servidor LastPass Enterprise com um cliente RADIUS compartilhado.
  • Configure um cliente RADIUS compartilhado que não usa um registro de host do agente (mudança global).
Observação:  consulte o Guia de administradores do RSA Authentication Manager para obter informações sobre como configurar clientes RADIUS compartilhados.

Instalar e configurar no LastPass

  1. Faça login no LastPass e acesse seu Vault fazendo um dos seguintes:
    • Vá para https://lastpass.com/?ac=1 e faça login com seu nome de usuário e senha mestra.
    • Na barra de ferramentas do navegador da web, clique no ícone LastPass Última passageme clique em Abrir meu cofre .
  2. Selecione Configurações da conta na navegação à esquerda.
  3. Clique na guia Opções de multifator .
  4. Clique no ícone Editar Opção de ediçãopara RSA SecurID.
  5. Para a opção "Ativado", use o menu suspenso para selecionar Sim .
  6. Para a opção "Permitir acesso offline", use o menu suspenso para escolher uma das seguintes opções:
    • Selecione Permitir se desejar permitir o acesso ao RSA SecurID mesmo quando estiver offline. Isso armazenará um Vault criptografado localmente para que você possa fazer login sem usar a autenticação multifator no caso de um problema de conectividade.
    • Selecione Disallow para evitar o acesso offline, que requer o uso de Autenticação multifator e estar conectado à Internet ao usar RSA SecurID.
      Nota: Se esta opção for selecionada e você não estiver conectado à internet e / ou https://lastpass.com não estiver disponível, você não conseguirá acessar seu Vault. Saiba mais sobre o acesso offline .
  7. Para a seção "Mais informações", você pode escolher ser direcionado ao download do aplicativo móvel ou a este artigo.
  8. Clique em Atualizar quando terminar, digite sua senha mestra e clique em Continuar .
  9. Quando solicitado, digite o código de verificação exibido no aplicativo RSA SecurID em seu dispositivo móvel e clique em OK .
  10. Clique em OK  na mensagem de confirmação de que o RSA SecurID foi configurado com êxito.

Usando o aplicativo RSA SecurID Authenticate para fazer login no LastPass

  1. Abra o aplicativo RSA SecurID em seu dispositivo móvel.
  2. Faça login no LastPass e acesse seu Vault fazendo um dos seguintes:
    • Vá para https://lastpass.com/?ac=1 e digite seu nome de usuário e senha mestra e clique em Login .
    • Na barra de ferramentas do navegador da web, clique no ícone LastPass inativo e insira seu nome de usuário e senha mestra e clique em Login .
  3. Quando solicitada a autenticação multifator, sua opção multifator padrão é servida (se houver). Se desejar, você pode tocar ou selecionar Usar multifator alternativo e , em seguida, selecionar a opção multifator desejada na lista na parte inferior.
    Observação:  se você fizer parte de uma conta corporativa e uma política tiver sido aplicada para permitir apenas uma opção de multifator, a seção "Usar multifator alternativo" não será exibida.
  4. No navegador da web, você pode verificar o seu login fazendo o seguinte:
    1. Digite uma senha na tela de login e clique em Autenticar Login .
    2. Digite um novo PIN (de 4 a 8 caracteres alfanuméricos) e clique em Autenticar login .
    3. Insira o PIN gerado pelo sistema e clique em Autenticar Login .
    4. Finalmente, insira o próximo PIN. Se desejar, marque a caixa para habilitar a opção "Confiar neste computador por 30 dias", forneça um nome de computador e clique em Autenticar Login .

      Se esta opção for selecionada e você não estiver conectado à Internet e / ou https://lastpass.com não estiver disponível, você não conseguirá acessar seu Vault. Saiba mais sobre o acesso offline .

Sobre o uso de várias opções de autenticação multifator

Observe que se você tiver mais de uma opção de autenticação multifator ativada para sua conta, deverá selecionar a opção de autenticação padrão desejada no menu suspenso na parte inferior da janela Opções multifatoriais para ser solicitado a autenticar com sua opção preferida ao fazer login no LastPass.

Aplicação de políticas relacionadas ao RSA

Com o LastPass Enterprise, você pode deixar a decisão da Autenticação Multifator para seus usuários finais ou pode exigir seu uso com nossas políticas de segurança configuráveis . Aqui estão algumas políticas que você pode considerar implementar em relação ao RSA SecurID:

  • Exigir o uso de RSA SecurID - Exigir o uso de RSA SecurID como um segundo fator de autenticação ao fazer login no LastPass. RSA SecurID deve ser configurado pelo usuário.
  • Exigir o uso de qualquer opção multifator - Exigir o uso de qualquer opção multifator como um segundo fator de autenticação ao fazer login no LastPass. Os seguintes autenticadores são suportados:
    • Autenticador LastPass
    • Google Authenticator
    • Autenticador Microsoft
    • Autenticação Toopher (não está mais disponível para novos usuários)
    • Autenticação Duo Security
    • Autenticação multifator de grade
    • Autenticação multifator YubiKey
    • Autenticação de impressão digital
    • Autenticação de cartão inteligente
    • Autenticação multifator RSA SecurID
    • Symantec VIP
    • Autenticação SecureAuth
  • Restringir a confiança do multifator - restrinja os computadores que podem ser confiáveis pelo endereço IP . Você pode habilitar esta política para permitir que os usuários ignorem a autenticação de segundo fator de locais confiáveis (como o escritório), mas ainda assim exigi-la de locais remotos.