Ingreso seguro sin contraseña para su cuenta Microsoft a través de una llave de seguridad o de Windows Hello
Por: Alex Simons, vicepresidente corporativo de gestión de programa en la división de Identidad de Microsoft
¡Estoy muy emocionado por compartir estas noticias! ¡Hemos activado la capacidad de ingresar de manera segura con su cuenta Microsoft a través de un dispositivo FIDO2 compatible basado en estándares sin requerir nombre de usuario o contraseña! FIDO2 permite a los usuarios aprovechar los dispositivos basados en estándares para autenticarse de manera sencilla a servicios en línea, en ambientes tanto móviles como de escritorio. Esto está disponible ya en Estados Unidos y lo entregaremos de manera global en los meses siguientes.
Esta combinación de facilidad de uso, seguridad y amplio soporte para la industria será algo transformacional tanto en casa como en el lugar de trabajo moderno. Cada mes, más de 800 millones de personas utilizan una cuenta Microsoft para crear, conectarse y compartir desde cualquier lugar en Outlook, Office, OneDrive, Bing, Skype, y Xbox Live para trabajar y jugar. Y ahora se pueden beneficiar de esta simple experiencia de usuario y con una seguridad mejorada.
Ya pueden utilizar un dispositivo FIDO2 o Windows Hello para ingresar a su cuenta Microsoft a través del navegador Microsoft Edge.
Vean este corto video que muestra cómo funciona:
Microsoft se encuentra en una misión de eliminar las contraseñas y ayudar a la gente a proteger sus datos y cuentas de amenazas. Como miembro de la Alianza Fast Identity Online (FIDO) y World Wide Web Consortium (W3C), hemos trabajado con otros para desarrollar estándares abiertos para la siguiente generación de autenticación. Estoy muy contento de compartir que Microsoft es la primera compañía Fortune 500 en soportar la autenticación sin contraseña a través de las especificaciones WebAuthn y FIDO 2, y Microsoft Edge soporta el más amplio conjunto de autenticadores, comparado con otros grandes navegadores.
Si quieren conocer más detalles sobre cómo funciona y comenzar a utilizarlo, los invito a continuar la lectura.
Para comenzar
Para ingresar con su Cuenta Microsoft a través de una clave de seguridad FIDO2:
- Si aún no lo hacen, asegúrense de actualizar a Windows 10 October 2018.
- Vayan a la página de cuenta Microsoft en Microsoft Edge e ingresen como lo harían de manera normal.
- Elijan Seguridad > Más opciones de seguridad y bajo Windows Hello y claves de seguridad, verán las instrucciones para establecer una llave de seguridad. (Pueden adquirir una llave de seguridad de uno de nuestros socios, entre los que se encuentran Yubico y Feitan Technologies, que soporten el estándar FIDO2.*)
- La siguiente ocasión que ingresen, podrán dar clic en Más Opciones > Utilizar una llave de seguridad o escriban su nombre de usuario. En este punto, se les pedirá utilizar una llave de seguridad para ingresar.
Como recordatorio, así es como se debe ingresar con su cuenta Microsoft a través de Windows Hello:
- Asegúrense de haber actualizado a Windows 10 October 2018.
- Si aún no lo han hecho, necesitarán configurar Windows Hello. Si ya lo hicieron, están listos para continuar.
- La siguiente vez que ingresen a Microsoft Edge, pueden dar clic en Más Opciones > Utilizar Windows Hello o una llave de seguridad o teclear su nombre de usuario. En este punto, se les pedirá utilizar Windows Hello o una llave de seguridad para ingresar.
Si necesitan más ayuda, vean nuestro detallado artículo de ayuda sobre cómo configurar lo anterior.
*Existen algunas otras características opcionales en la especificación FIDO2 que creemos son fundamentales para la seguridad, por lo que sólo funcionarán llaves que han implementado esas características. Lean ¿Qué es una llave de seguridad compatible con Microsoft?, para conocer más
¿Cómo funciona?
Detrás de escena, hemos implementado las especificaciones WebAuthn y FIDO2 CTAP2 en nuestros servicios para hacer esto realidad.
A diferencia de las contraseñas, FIDO2 protege las credenciales del usuario a través de encriptación de llave pública/privada. Cuando ustedes crean y registran una credencial FIDO2, el dispositivo (su PC o el dispositivo FIDO2) genera una llave privada y pública en el dispositivo. La llave privada es almacenada de manera segura en el dispositivo y sólo puede ser utilizada después de que ha sido desbloqueado a través de un gesto local como biométrico o PIN. Tomen en cuenta que su biométrico o PIN nunca deja al dispositivo. Al mismo tiempo que la llave privada es almacenada, la llave pública es enviada al sistema de cuenta Microsoft en la nube y es registrada con su cuenta de usuario.
Después, cuando ingresan, el sistema de cuenta Microsoft brinda un número aleatorio de un solo uso a su PC o dispositivo FIDO2. Luego su PC o dispositivo utiliza la llave privada para registrar el número. Este número y los metadatos son enviados de vuelta al sistema de cuenta Microsoft, donde es verificado a través de la llave pública. Los metadatos registrados, como lo especifican WebAuthn y FIDO2, brindan información, tal como si el usuario estaba presente, y verifican la autenticación a través de un gesto local. Estas propiedades son las que hacen a la autenticación con Windows Hello y a los dispositivos FIDO2 difíciles de ser víctimas de phishing o malware.
¿Cómo implementan esto Windows Hello y los dispositivos FIDO2? Basado en las capacidades de su dispositivo Windows 10, recibirán ya sea un enclave seguro integrado, conocido como módulo de hardware de plataforma confiable (TPM, por sus siglas en inglés) o un software TPM. El TPM almacena la llave privada, que requiere ya sea su rostro, huella digital, o un PIN para desbloquearlo. De manera similar, un dispositivo FIDO2, como una llave de seguridad, es un pequeño dispositivo externo con su propio enclave de seguridad integrado que almacena la llave privada y solicita el biométrico o PIN para desbloquearlo. Ambas opciones ofrecen la autenticación de dos factores en un paso, al requerir tanto un dispositivo registrado como un biométrico o PIN para ingresar de manera exitosa.
Vean este artículo en nuestro blog de Estándares de Identidad, que abarca todos los detalles técnicos alrededor de la implementación.
Siguientes pasos
Tenemos muchas cosas por llegar que son parte de nuestros esfuerzos para reducir e incluso eliminar el uso de contraseñas. En la actualidad construimos la misma experiencia de ingreso desde un navegador con llaves de seguridad para cuentas del trabajo y la escuela en Azure Active Directory. Los clientes empresariales podrán probar la versión previa de esto a principios de 2019, donde podrán permitir a sus empleados establecer sus propias llaves de seguridad para su cuenta y poder ingresar a Windows 10 y a la nube.
Más aun, ¡Conforme más navegadores y plataformas comiencen a soportar los estándares WebAuthn y FIDO2, la experiencia sin contraseña, disponible hoy en Microsoft Edge y Windows, podrá estar en todas partes!
¡Estén pendientes de más detalles el próximo año!