Por qué un PIN es mejor que una contraseña
Microsoft Passport en Windows 10 permite a los usuarios iniciar sesión en sus dispositivos con un PIN. ¿De qué manera difiere un PIN de una contraseña y por qué es mejor?
En la superficie, un PIN se parece mucho a una contraseña. Un PIN puede ser un conjunto de números, pero la directiva de la empresa puede permitir PIN completos que incluyen caracteres especiales, así como letras mayúsculas y minúsculas. Algo como t758A! podría ser una contraseña o un Passport PIN complejo. No es la estructura de un PIN (longitud, complejidad) que hace que sea mejor que una contraseña, es cómo funciona.
El PIN está vinculado al dispositivo
Una diferencia importante entre una contraseña y un Passport PIN es que el PIN está vinculado al dispositivo específico en el que se configuró. Ese PIN no sirve sin ese hardware específico. Alguien que robe tu contraseña puede iniciar sesión en tu cuenta desde cualquier lugar, pero si roban el PIN, también tendrían robar el dispositivo físico.
Incluso tú no puedes usar ese PIN en cualquier lugar excepto en ese dispositivo específico. Si quieres iniciar sesión en varios dispositivos, tienes que configurar Passport en cada dispositivo.
El PIN es local para el dispositivo
Una contraseña se transmite al servidor... se puede interceptar durante la transmisión o robado de un servidor. Un PIN es local en el dispositivo... no se transmite a ningún lugar y no se almacenan en el servidor.
Cuando se crea el PIN, se establece una relación de confianza con el proveedor de identidades y se crea un par de claves asimétricas que se usa para la autenticación. Cuando especificas tu PIN, se desbloquea la clave de autenticación y se usa la clave para firmar la solicitud que se envía al servidor de autenticación.
Nota
Para más información sobre cómo Passport usa pares de claves asimétricas para la autenticación, consulta la Guía de Microsoft Passport.
El PIN está respaldado por el hardware
El Passport PIN está respaldado por un chip del Módulo de plataforma segura (TPM), que es un procesador de criptografía seguro diseñado para llevar a cabo operaciones criptográficas. El chip incluye varios mecanismos de seguridad física que hacen que sea resistente a las alteraciones y que las funciones de seguridad no permitan que el software malintencionado realice alteraciones. Todos los teléfonos con Windows 10 Mobile y muchos equipos portátiles modernos disponen de TPM.
Se genera material de clave de usuario, disponible en el Módulo de plataforma segura (TPM) del dispositivo del usuario, que lo protege de los atacantes que deseen capturar el material de clave y volver a utilizarlo. Dado que Microsoft Passport usa pares de clave asimétricas, las credenciales de los usuarios no se pueden robar en los casos donde se haya puesto en riesgo el proveedor de identidades o los sitios web a los que accede el usuario.
El TPM protege contra una variedad de ataques conocidos y posibles, incluidos los ataques de fuerza bruta contra los PIN. Después de demasiados intentos incorrectos, el dispositivo se bloquea.
El PIN puede ser complejo
El Passport PIN está sujeto al mismo conjunto de directivas de administración de TI que las de una contraseña, como la complejidad, longitud, expiración e historial. Aunque generalmente consideramos que un PIN es un simple código de cuatro dígitos, los administradores pueden establecer directivas para dispositivos administrados de modo que requieran un nivel de complejidad de PIN similar al de una contraseña. Puedes requerir o bloquear lo siguiente: caracteres especiales, caracteres en mayúsculas, caracteres en minúsculas y dígitos.
¿Qué sucede si alguien roba el equipo portátil o el teléfono?
Para poner en peligro una credencial de Microsoft Passport que protege el TPM, un atacante debe tener acceso al dispositivo físico y luego debe encontrar la forma de suplantar la biométrica del usuario o adivinar su PIN, y todo esto debe hacerse antes de que las funcionalidades de protección contra ataques de repetición del TPM bloqueen el dispositivo. Esto establece la barra de magnitudes de orden superior a los ataques de suplantación de identidad de contraseña.
Puedes proporcionar protección adicional para equipos portátiles que no tienen TPM al habilitar BitLocker y establecer una directiva para limitar los inicios de sesión con error.
.gif "Mt621546.wedge(es-es,VS.85).gif")
Configurar BitLocker sin TPM
Usa el Editor de directivas de grupo Local (gpedit.msc) para habilitar la siguiente directiva:
Configuración del equipo < Plantillas administrativas > Componentes de Windows > Cifrado de unidad BitLocker > Unidades de sistema operativo > Requerir autenticación adicional al inicio.
En la opción de directiva, selecciona Permitir BitLocker sin un TPM compatible y haz clic en Aceptar.
Ve al Panel de control > Sistema y seguridad > Cifrado de unidad BitLocker y selecciona la unidad del sistema operativo que quieres proteger.
Establecer el umbral de bloqueo de cuenta
Usa el Editor de directivas de grupo Local (gpedit.msc) para habilitar la siguiente directiva:
Configuración del equipo >Configuración de Windows > Configuración de seguridad >Directivas de cuenta > Directiva de bloqueo de cuenta > Umbral de bloqueo de cuenta
Establece el número de intentos de inicio de sesión no válido que se deben permitir y haz clic en Aceptar.
¿Por qué necesitas un PIN para usar Windows Hello?
Windows Hello es el inicio de sesión con datos biométricos para Microsoft Passport en Windows 10: reconocimiento de huella digital, iris o rostro. Al configurar Windows Hello, se te pedirá que crees un PIN en primer lugar. Este PIN te permite iniciar sesión con Passport cuando no puedes usar los datos biométricos preferidos debido a una lesión o porque el sensor no está disponible o no funciona correctamente.
Si solo tuvieras configurado el inicio de sesión con datos biométricos y, por algún motivo, no puedes usar ese método para iniciar sesión, tendrías que iniciar sesión con tu nombre de cuenta y contraseña, lo que no proporciona el mismo nivel de protección que Passport.
Temas relacionados
Administrar la verificación de identidad con Microsoft Passport