Table of contents
TOC
Collapse the table of content
Expand the table of content

Administrar la verificación de identidad con Windows Hello para empresas

J. Decker|Última actualización: 23/12/2016
|
1 Colaborador

Se aplica a:

  • Windows 10
  • Windows 10 Mobile

En Windows 10, Windows Hello para empresas reemplaza las contraseñas por la autenticación sólida en dos fases, tanto en equipos como en dispositivos móviles. Esta autenticación consiste en un tipo nuevo de credenciales de usuario vinculadas a un dispositivo y a un PIN o al servicio de biométrica.

Nota

Cuando Windows 10 se lanzó por primera vez, incluía Microsoft Passport y Windows Hello, que funcionaban conjuntamente para brindar autenticación multifactor. Para simplificar la implementación y mejorar la compatibilidad, Microsoft ha reunido estas tecnologías en sola solución llamada Windows Hello. Los clientes que ya hayan implementado Microsoft Passport for Work no sufrirán ningún cambio en la funcionalidad. A los clientes que todavía no hayan evaluado Windows Hello, les resultará más fácil de implementar, gracias a la simplificación de las directivas, la documentación y la semántica.

Hello soluciona estos problemas de las contraseñas:

  • Las contraseñas resultan difíciles de recordar, por lo que los usuarios suelen reutilizarlas en varios sitios.
  • Las infracciones en el servidor pueden dejar expuestas las credenciales de red simétricas.
  • Las contraseñas están sujetas a ataques de reproducción.
  • Los usuarios pueden dejarlas, sin querer, expuestas a ataques de suplantación de identidad (phishing).

Hello permite a los usuarios autenticarse en lo siguiente:

  • una cuenta de Microsoft.
  • una cuenta de Active Directory.
  • una cuenta de Microsoft Azure Active Directory (Azure AD).
  • servicios de proveedores de identidad o servicios de usuarios de confianza que admitan la autenticación mediante FIDO v. 2.0

Después de una comprobación inicial en dos pasos del usuario durante la inscripción, Hello se configura en el dispositivo del usuario, a quien se le pide que configure un gesto, que puede ser biométrico (como una huella dactilar) o un PIN. El usuario proporciona el gesto para verificar su identidad. A continuación, Windows usa Hello para autenticar a los usuarios y ayudarlos a acceder a servicios y recursos protegidos.

Como administrador de una empresa o una organización educativa, puedes crear directivas para administrar el uso de Hello en los dispositivos con Windows 10 que se conectan a tu organización.

La diferencia entre Windows Hello y Windows Hello para empresas

  • Las personas pueden crear un PIN o un gesto biométrico en sus dispositivos personales para iniciar sesión correctamente. Este uso de Hello proporciona una capa de protección, ya que es exclusivo del dispositivo en el que está configurado. Sin embargo, no está respaldado por la autenticación basada en certificados.

  • Windows Hello para empresas, que se configura mediante la directiva de grupo o MDM, usa la autenticación basada en claves o en certificados.

  • Actualmente, las cuentas de Active Directory que usan Windows Hello no están respaldadas por la autenticación basada en claves o en certificados. La compatibilidad con la autenticación basada en claves o en certificados se incluye en la planificación de una versión nueva.

Ventajas de Windows Hello

Las noticias de robos de identidad y piratería a gran escala ocupan grandes titulares con frecuencia. Nadie quiere recibir la noticia de que su nombre de usuario y su contraseña han quedado expuestos.

Quizá te preguntes cómo vas a proteger mejor un dispositivo con un PIN que con una contraseña. Las contraseñas son secretos compartidos: se escriben en un dispositivo, pero se transmiten al servidor por la red. Cualquiera puede usar un nombre de cuenta y una contraseña interceptados. Además, como se guardan en el servidor, una infracción en este puede revelar las credenciales almacenadas.

En Windows 10, Hello reemplaza las contraseñas. El proceso de aprovisionamiento de Hello crea un par de claves criptográficas enlazadas al Módulo de plataforma segura (TPM), si lo tiene el dispositivo o si está presente en el software. Solo se permite acceder a estas claves y obtener una firma para validar la posesión del usuario de la clave privada con el PIN o con el gesto biométrico. La verificación en dos pasos que tiene lugar durante la inscripción en Hello crea una relación de confianza entre el proveedor de identidad y el usuario cuando la parte pública del par de claves pública y privada se envía a un proveedor de identidad y se asocia a una cuenta de usuario. Cuando el usuario introduce el gesto en el dispositivo, el proveedor de identidad sabe, por la combinación de las teclas de Hello y del gesto, que se trata de una identidad verificada y proporciona un token de autenticación que franquea a Windows 10 el acceso a los recursos y los servicios. Además, durante el proceso de registro, se genera la solicitud de atestación para que todos los proveedores de identidad demuestren de forma criptográfica que las claves de Hello están vinculadas al TPM. Si no se presenta la solicitud de atestación al proveedor de identidad durante el registro, el proveedor de identidad debe dar por sentado que la clave de Hello se crea en el software.

cómo funciona la autenticación en windows hello

Supón que, mientras sacas dinero de un cajero, alguien mira por encima del hombro para ver el PIN que escribes. Aunque sepa el PIN, no puede acceder a tu cuenta porque no tiene la tarjeta. Del mismo modo, aunque un atacante se entere del PIN de tu dispositivo, no puede obtener acceso a tu cuenta porque el PIN es local y específico de ese dispositivo, así que no se permite la autenticación de ningún tipo desde otro dispositivo.

Hello protege las identidades y las credenciales de los usuarios. Como no se usan contraseñas, Microsoft Passport evita ataques por fuerza bruta y de suplantación de identidad (phishing). También evita infracciones en el servidor porque las credenciales de Hello son un par de claves asimétricas, lo que impide ataques de reproducción cuando estas claves están protegidas mediante TPM.

Hello también te permite usar dispositivos de Windows 10 Mobile como credenciales remotas cuando inicias sesión en equipos con Windows 10. Durante el inicio de sesión, el equipo con Windows 10 puede conectarse mediante Bluetooth para acceder a Hello en el dispositivo de Windows 10 Mobile. Como los usuarios llevan su teléfono encima, Hello hace que implementar la autenticación de dos factores en toda la empresa sea un proceso menos costoso y complejo, respecto a otras soluciones.

Nota

El inicio de sesión mediante el teléfono actualmente está limitado y solo lo pueden usar los participantes del Programa de adopción de tecnología (TAP).

Cómo funciona Windows Hello para empresas: puntos clave

  • Las credenciales de Hello se basan en un certificado o un par de claves asimétricas. Las credenciales de Hello se enlazan al dispositivo y el token que se obtiene con la credencial también se enlaza al dispositivo.
  • El proveedor de identidad (por ejemplo, la cuenta Active Directory, Azure AD o Microsoft) valida la identidad del usuario y asigna la clave pública de Hello a la cuenta del usuario durante el paso de registro.
  • Las claves se pueden generar en el hardware (TPM 1.2 o 2.0 para empresas y TPM 2.0 para consumidores) o en el software, en función de la directiva.
  • Se emplea la autenticación en dos fases con la combinación de una clave o un certificado enlazado a un dispositivo y un elemento que el usuario sabe (un PIN) o hace (Windows Hello). El gesto de Hello no vale en otros dispositivos, ni se comparte con el servidor, sino que se almacena localmente en un dispositivo concreto.
  • La clave privada nunca sale del dispositivo. El servidor de autenticación tiene una clave pública que se asigna a la cuenta de usuario durante el proceso de registro.
  • La entrada del PIN y el gesto biométrico activan Windows 10 para comprobar la identidad del usuario y autenticarse con claves o certificados de Hello.
  • Las cuentas personales (cuenta Microsoft) y las corporativas (Active Directory o Azure AD) usan un solo contenedor para las claves. Todas las claves están separadas por dominios de proveedores de identidad para garantizar la privacidad del usuario.
  • Las claves privadas de certificados pueden estar protegidas por el contenedor y el gesto de Hello.

Comparación de la autenticación basada en claves y la basada en certificados

Windows Hello para empresas puede usar tanto claves (de hardware o de software) como certificados con claves de hardware o de software para confirmar la identidad. Las empresas que tienen una infraestructura de clave pública (PKI) para emitir y administrar certificados pueden seguir usándola en combinación con Hello. Las empresas que no usan ninguna PKI o desean reducir el trabajo que conlleva administrar los certificados pueden confiar en las credenciales basadas en claves de Hello.

Las claves basadas en hardware que genera el TPM proporcionan el grado máximo de protección. Cuando se crea el TPM, en él reside un certificado de clave de aprobación (EK). Este certificado EK genera una veracidad raíz para todas las demás claves que se generan en ese TPM. La certificación EK sirve para generar un certificado de clave de identidad de la atestación (AIK), el cual emite alguna entidad de certificación (CA) de Microsoft. Este certificado AIK se puede usar como solicitud de atestación para demostrar a los proveedores de identidad que las claves de Hello se han generado en el mismo TPM. La CA de Microsoft genera el certificado AIK para cada dispositivo, cada usuario y cada IDP con el fin de garantizar la protección de la privacidad del usuario.

Cuando los proveedores de identidad como Active Directory o Azure AD inscriben un certificado en Hello, Windows 10 admite el mismo conjunto de escenarios que una tarjeta inteligente. Cuando el tipo de credencial es una clave, solo se admiten las operaciones y la confianza basadas en claves.

Más información

Introduction to Windows Hello (Introducción a Windows Hello), presentación de vídeo de Microsoft Virtual Academy

Novedades acerca de los Servicios de dominio de Active Directory (AD DS) en Windows Server Technical Preview

Autenticación facial de Windows Hello

Directrices de hardware de biometría

Windows 10: Interrumpir la revolución de amenazas de Internet con seguridad revolucionaria

Windows 10: ¿se acabó el juego para los ladrones de contraseñas y credenciales?

Autenticación de identidades sin contraseñas a través de Microsoft Passport

Guía de Microsoft Passport

Temas relacionados

Implementar Windows Hello para empresas en tu organización

Habilitar el inicio de sesión mediante teléfono para PC o VPN

Por qué un PIN es mejor que una contraseña

Preparar a los usuarios para usar Windows Hello

Windows Hello y cambios de contraseña

Errores de Windows Hello durante la creación del PIN

Id. de evento 300: Windows Hello se creó correctamente

Biométrica de Windows Hello en la empresa

© 2017 Microsoft