Inicio de sesión seguro y sin contraseñas para tu cuenta de Microsoft con una clave de seguridad o con Windows Hello
Nota del editor del 26/11/2018:
Esta publicación se actualizó e incluye información sobre la disponibilidad de inicio de sesión sin contraseña.
Hola, amigos:
Es un placer compartir con ustedes las novedades de hoy. Acabamos de activar la capacidad de iniciar sesión de forma segura en su cuenta de Microsoft con un dispositivo compatible con FIFO2 basado en estándares, sin nombre de usuario ni contraseña. FIDO2 permite a los usuarios aprovechar dispositivos basados en estándares para autenticar fácilmente servicios en línea, tanto en entornos móviles como de escritorio. Esta función está disponible ahora en los Estados Unidos y se implementará a nivel mundial en las próximas semanas.
Esta combinación de facilidad de uso, seguridad y amplia compatibilidad en el sector generará un cambio profundo tanto en el hogar como en el área de trabajo moderna. Todos los meses, más de 800 millones de personas usan una cuenta de Microsoft para crear, conectarse y compartir desde cualquier lugar hacia Outlook, Office, OneDrive, Bing, Skype y Xbox Live, por trabajo o de forma recreativa. Y ahora todos pueden beneficiarse de esta experiencia de usuario simple y notablemente mejorada.
A partir de hoy, puedes usar un dispositivo con FIDO2 o Windows Hello para iniciar sesión en tu cuenta de Microsoft con el navegador Microsoft Edge.
Mira este breve video que muestra cómo funciona:
Microsoft se propuso eliminar contraseñas para ayudar a las personas a proteger sus datos y cuentas de amenazas. Como miembro de Fast Identity Online (FIDO) Alliance y el World Wide Web Consortium (W3C), estuvimos trabajando con otras personas para desarrollar estándares abiertos para la siguiente generación de autenticación. Me complace informarles que Microsoft es la primera empresa Fortune 500 que admite la autenticación sin contraseña mediante el uso de las especificaciones WebAuthn y FIDO2, y Microsoft Edge admite la más amplia variedad de autenticadores en comparación con otros navegadores importantes.
Si deseas conocer más detalles sobre cómo funciona y cómo empezar, sigue leyendo.
Cómo empezar
Para iniciar sesión en tu cuenta Microsoft con una clave de seguridad FIDO2:
- Si todavía no lo hiciste, asegúrate de hacer una actualización a Windows 10 de octubre de 2018.
- Visita la página de la cuenta de Microsoft en Microsoft Edge e inicia sesión como lo harías normalmente.
- Selecciona Seguridad > Más opciones de seguridad y debajo de Windows Hello y claves de seguridad, verás instrucciones para configurar una clave de seguridad. (Puedes comprar una clave de seguridad de uno de nuestros partners, incluidos Yubico y Feitian Technologies que son compatibles con el estándar FIDO2*).
- La próxima vez que inicies sesión, puedes hacer clic en Más opciones > Usar una clave de seguridad o escribir tu nombre de usuario. En ese punto, se te pedirá que uses una clave de seguridad para iniciar sesión.
Y como recordatorio, es así como debes iniciar sesión con tu cuenta de Microsoft usando Windows Hello:
- Asegúrate de haber actualizado a Windows 10 de octubre 2018.
- Si todavía no lo hiciste, deberás configurar Windows Hello. Si tienes Windows Hello configurado, ya estás listo para empezar.
- La próxima vez que inicies sesión en Microsoft Edge, puedes hacer clic en Más opciones > Usar Windows Hello o una clave de seguridad o escribir tu nombre de usuario. En ese punto, se te pedirá que uses Windows Hello o una clave de seguridad para iniciar sesión.
Si necesitas más ayuda, consulta nuestro artículo de ayuda detallado sobre cómo realizar la configuración.
* Existen un par de características opcionales en las especificaciones de FIDO2 que creemos que son fundamentales para la seguridad, por lo que solo las claves que implementan esas características funcionarán. Leer ¿Qué es una clave de seguridad compatible con Microsoft? para obtener más información.
¿Cómo funciona?
Para profundizar, implementamos las especificaciones de WebAuthn y FIDO2 CTAP2 en nuestros servicios para que esto se haga realidad.
A diferencia de las contraseñas, FIDO2 protege las credenciales de los usuarios mediante el cifrado de clave pública/privada. Cuando creas y registras una credencial FIDO2, el dispositivo (tu PC o el dispositivo con FIDO2) genera una clave pública y privada en el dispositivo. La clave privada se almacena de forma segura en el dispositivo y solo se puede usar después de desbloquearlo mediante un gesto local como una identificación biométrica o un PIN. Ten en cuenta que tu identificación biométrica o PIN nunca abandona el dispositivo. Al mismo tiempo que se guarda la clave privada, la clave pública se envía al sistema de la cuenta de Microsoft en la nube y se registra en tu cuenta de usuario.
Cuando inicias sesión más tarde, el sistema de la cuenta de Microsoft ofrece un valor de seguridad (nonce) a tu PC o dispositivo con FIDO2. Tu PC o dispositivo usa la clave privada para registrar el valor de seguridad (nonce). El valor de seguridad (nonce) registrado y los metadatos se vuelven a enviar al sistema de la cuenta de Microsoft, donde se verifican mediante una clave pública. Los metadatos registrados según lo determinan las especificaciones de WebAuthn y FIDO2 ofrecen información, como si el usuario estaba presente, y verifica la autenticación a través de un gesto local. Son estas propiedades las que hacen que la autenticación con dispositivos con Windows Hello y FIDO2 no sea permeable a “ataques de suplantación de identidad (phishing)” ni caiga fácilmente en las redes del malware.
¿Cómo hacen los dispositivos con Windows Hello y FIDO2 para implementar esto? Sobre la base de las funcionalidades de tu dispositivo con Windows 10, tendrás un enclave seguro incorporado, conocido como módulo de plataforma de confianza (TPM) basado en hardware, o un TPM basado en software. Los TPM guardan la clave privada, que requiere de tu cara, tus huellas digitales o tu PIN para desbloquearlo. De la misma forma, un dispositivo con FIDO2, como una clave de seguridad, es un dispositivo externo pequeño con su propio enclave seguro incorporado que almacena la clave privada y necesita un dato biométrico o PIN para desbloquearlo. Ambas opciones ofrecen autenticación de dos factores en un solo paso, que requiere de un dispositivo registrado y un dato biométrico o PIN para iniciar sesión correctamente.
Lee este artículo en nuestro blog de estándares de identidad, que repasa todos los detalles técnicos de la implementación.
¿Qué depara el futuro?
Tenemos numerosas novedades que son el resultado de nuestros esfuerzos para reducir e incluso eliminar el uso de contraseñas. Actualmente estamos creando la misma experiencia de inicio de sesión desde un navegador con claves de seguridad para cuentas profesionales y educativas en Azure Active Directory. Los clientes empresariales podrán disfrutar de una versión preliminar a principios de este año, donde podrán permitirles a sus empleados configurar sus propias claves de seguridad para sus cuentas, a fin de iniciar sesión en Windows 10 y la nube.
Además, a medida que los navegadores y las plataformas comienzan a ser compatibles con los estándares de WebAuthn y FIDO2, la experiencia sin contraseñas, disponible en la actualidad en Microsoft Edge y Windows, seguramente estará disponible en todas partes.
Permanece atento a los detalles que se conocerán a principios del año que viene.
Atentamente,
Alex Simons (@Twitter: @Alex_A_Simons)
CVP de Administración de programas
División de Identidad de Microsoft