Inicio de sesión en la Web, FIDO 2, biometría remota: Windows 10 está preparado para una mejor seguridad que la que ofrecen las contraseñas.
Windows 10 Spring Creators Update está cargado de características de productividadTimeline, Near Share y Cortana están llegando en la próxima gran actualización de Windows 10, dice Nick Heath de ConsejoTecnologico.com.
Más información sobre Windows
Las contraseñas son difíciles de recordar y fáciles de perder. Ya sea que la gente reutilice la misma contraseña débil en múltiples sitios o servicios que no protegen sus datos de usuario y exponen los nombres de usuario y las contraseñas en las brechas de datos, las contraseñas simples no ofrecen suficiente protección. Es por eso que Windows 10 se está moviendo hacia opciones más seguras como la biometría, los tokens y la autenticación push – incluyendo soporte para los nuevos estándares de identidad de Internet FIDO 2.
Dedos y caras
Windows Hello facilita mucho el uso de la biometría, como los sensores de huellas dactilares y las cámaras de reconocimiento facial por infrarrojos, al hacer que sea parte de la forma estándar de iniciar sesión, en lugar de dejar que los fabricantes de equipos originales añadan esta funcionalidad al proceso de la cuenta.
Las caras, los dedos y otros factores biométricos como las huellas de las venas de las manos no pueden ser objeto de phishing como las contraseñas, y no se envían a través de la red o deambulan entre los dispositivos de la forma en que lo hacen las contraseñas. Esto significa que los atacantes que entran en una red no pueden recoger y reutilizar las credenciales de un PC para acceder a los servidores. Windows 10 tiene protecciones como Credential Guard para hacer más difícil que los atacantes obtengan las credenciales ejecutando el servicio LSA que las almacena en Modo Seguro Virtual. También hay un nuevo Cloud Credential Guard que protege las credenciales de nube como los tokens de Azure AD utilizando el enlace de tokens de TLS. Sin embargo, el cambio a la biometría significa que las credenciales no son tan vulnerables porque no se envían de un lado a otro.
Al registrar un biométrico como una huella dactilar o una cara en Windows Hello se crea un par de claves criptográficas que se almacena en el TPM (o en un TPM de software) y se utiliza con servicios de identidad como cuentas de Microsoft y Azure Active Directory. Si registra la misma huella dactilar o cara en varios equipos con Windows, cada dispositivo crea un par de claves único, no una copia del par de claves del primer dispositivo.
VER: Windows 10: La guía esencial para los profesionales de la empresa (Tech Pro Research)
No vas a dejar tu cara o tus huellas dactilares atrás de la forma en que podrías olvidar una contraseña, pero aún así necesitas una forma de iniciar sesión si tienes un corte en el dedo o estás trabajando en entornos inusualmente oscuros o brillantes en los que una cámara de reconocimiento facial no te puede ver con claridad. El método alternativo para la biometría que no se reconoce sigue llamándose PIN, pero además de los números puede incluir caracteres especiales y letras mayúsculas y minúsculas como una contraseña. Las políticas empresariales dictan cuán complejos tienen que ser los PINs (la edición casera de Windows 10 está contenta con sólo cuatro dígitos en su PIN. Pero es el hecho de que sólo se almacenan en el dispositivo (no en otros dispositivos con la misma cuenta) y sólo se utilizan para desbloquear la clave de autenticación utilizada para firmar las solicitudes a los servidores (no se envían a un servidor de la forma en que se envía una contraseña) lo que hace que los PIN sean más seguros que las contraseñas. Además, los PINs se almacenan en el TPM, mientras que las contraseñas no.
Si su PC no tiene una cámara facial o un sensor de huellas dactilares, puede conectar uno a un puerto USB, o puede utilizar un»dispositivo complementario» como la Banda Nymi que utiliza sus latidos cardíacos y el ECG para identificarlo.
Con la próxima versión de Windows 10, podrá usar la biometría de Windows Hello para iniciar sesión en las sesiones de Escritorio remoto. Si ha iniciado sesión en Windows con datos biométricos, iniciará sesión en el escritorio remoto automáticamente cuando abra una sesión de RDP (aunque si necesita confirmar su contraseña de Windows dentro de la sesión remota, por ejemplo para elevar un cuadro de diálogo, tendrá que escribir el PIN.
Pero la biometría no funciona en todas las situaciones ni para todas las personas. Casi todos los biométricos, desde las huellas dactilares hasta las de las venas de las manos y el lirio, sólo funcionan en el 80 por ciento de la población. Por ejemplo, algunas mujeres chinas mayores y personas que trabajan en la tintorería tienen huellas dactilares que simplemente no se pueden escanear bien. Reemplazar contraseñas se trata de usar múltiples factores, incluyendo otros dispositivos. Si tienes una YubiKey para servicios como Gmail, GitHub y DropBox, puedes iniciar sesión en Windows Hello insertándola en tu PC (también necesitarás la aplicación YubiKey para Windows Hello.
Puedes usar un teléfono con mensajes de texto o una aplicación de autenticación para iniciar sesión en Windows, de la misma forma que puedes usar ese tipo de autenticación multifactorial para que el inicio de sesión en Twitter o Gmail sea más seguro, pero no es particularmente conveniente. Sin embargo, es útil utilizar el teléfono para bloquear el dispositivo cuando se aleja de él; una vez que haya emparejado el teléfono con el PC a través de Bluetooth, puede utilizar la función de bloqueo dinámico para bloquearlo cuando esté fuera de alcance. Esto se activa en Cuentas > Opciones de inicio de sesión en la aplicación Configuración. Los administradores pueden utilizar las Plantillas Administrativas de Configuración de Ordenador `Windows Components `Windows Hello for Business `Configurar los factores de bloqueo dinámico de la Política de Grupo para establecer cuán débil puede ser la señal Bluetooth antes de que el PC se bloquee.
¿Me estás buscando a mí?
Hasta ahora, Windows Hello sólo ha manejado su contraseña de Windows, la tienda de Microsoft y cualquier servicio que haya configurado para el inicio de sesión único con Azure Active Directory. Con la próxima versión de Windows 10, finalmente vamos a ver más de los estándares de FIDO 2. El soporte directo para llaves de seguridad FIDO 2 como Yubikeys y tarjetas inteligentes (sin necesidad de una aplicación específica para cada llave por separado) está en vista previa limitada.
Este no es un cambio importante en Windows Hello, que se creó para una versión anterior de los protocolos FIDO; se trata más bien de actualizarlo ahora que se han acordado los estándares de FIDO 2 para claves seguras y la API de autenticación web del W3C. Esto significa que un usuario con una clave de seguridad FIDO 2 puede iniciar sesión en cualquier PC con conexión AD de Azure sin tener que configurar una cuenta en él primero, lo que es ideal para los trabajadores de primera línea y móviles.
VER: 20 consejos profesionales para que Windows 10 funcione como usted desea (PDF gratuito)
También significa que a medida que los navegadores implementan y los sitios web adoptan la nueva API de WebAuthn, Windows Hello podrá empezar a reemplazar contraseñas en el navegador también, utilizando claves de seguridad biométricas o FIDO UAF para iniciar sesión sin contraseña cuando los sitios web lo admiten. WebAuthn también soporta la opción de dos factores U2F, donde se utiliza un nombre de usuario y contraseña y una clave de seguridad FIDO o la biometría de Windows Hello como segundo factor. Edge ha soportado una versión de vista previa de WebAuthn desde 2019; en la versión 17723 (actualmente disponible para Windows Insiders), Edge soporta la Recomendación candidata de la API, aunque todavía no funciona para aplicaciones PWA o UWP basadas en web. Aún no hay muchos sitios que soporten WebAuthn, pero puede probarlo en esta aplicación de ejemplo y hay instrucciones para añadir soporte de WebAuthn a sus propios sitios internos.
Además de nuevos tipos de credenciales, Windows también va a soportar más proveedores de identidad directamente. Windows Hello funciona con Azure AD, Active Directory y servidores de federación de terceros que soportan las extensiones necesarias para OAuth 2.0 y OpenID Connect 1.0. Con la próxima versión de Windows 10, el inicio de sesión de Windows será compatible con los proveedores de identidad de SAML, no sólo con las identidades federadas a ADFS y otros proveedores de WS-Fed.
Necesitará Azure AD para utilizar este nuevo inicio de sesión web y deberá habilitar la Política CSP/Autenticación/EnableWebSignIn Group Policy. No es probable que esto altere el dominio de Active Directory en la empresa, pero hace que sea mucho más conveniente para las organizaciones que utilizan sistemas SAML como Oracle Identity Federation que estas cuentas aparezcan como una opción para iniciar sesión en Windows.
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad.
Entregado los martes y jueves