Compartir a través de

Administrar la verificación de identidad con Microsoft Passport

  • Artículo

En Windows 10, Microsoft Passport reemplaza las contraseñas por la autenticación sólida en dos fases, tanto en equipos como en dispositivos móviles. Esta autenticación consiste en un tipo nuevo de credenciales de usuario, las cuales están vinculadas a un dispositivo y a un PIN o al servicio Windows Hello (biométrica).

Passport soluciona estos problemas de las contraseñas:

  • Las contraseñas resultan difíciles de recordar, por lo que los usuarios suelen reutilizarlas en varios sitios.

  • Las infracciones en el servidor pueden dejar expuestas las credenciales de red simétricas.

  • Las contraseñas están sujetas a ataques de reproducción.

  • Los usuarios pueden dejarlas, sin querer, expuestas a ataques de suplantación de identidad (phishing).

Passport permite a los usuarios autenticarse en lo siguiente:

  • cuentas Microsoft

  • cuentas de Active Directory

  • cuentas de Microsoft Azure Active Directory (AD)

  • servicios de proveedores de identidad o servicios de usuarios de confianza que admitan la autenticación mediante FIDO v. 2.0

Después de una comprobación inicial en dos pasos del usuario durante la inscripción en Passport, Passport se configura en el dispositivo del usuario, a quien se le pide que configure un gesto, que puede ser Windows Hello o un PIN. El usuario proporciona el gesto para verificar su identidad. A continuación, Windows usa Passport para autenticar a los usuarios y ayudarlos a acceder a servicios y recursos protegidos.

Como administrador de una empresa o una organización educativa, puedes crear directivas para administrar el uso de Passport en los dispositivos con Windows 10 que se conectan a tu organización.

Ventajas de Microsoft Passport

Las noticias de robos de identidad y piratería a gran escala ocupan grandes titulares con frecuencia. Nadie quiere recibir la noticia de que su nombre de usuario y su contraseña han quedado expuestos.

Quizá te preguntes cómo vas a proteger mejor un dispositivo con un PIN que con una contraseña. Las contraseñas son secretos compartidos: se escriben en un dispositivo, pero se transmiten al servidor por la red. Cualquiera puede usar un nombre de cuenta y una contraseña interceptados. Además, como se guardan en el servidor, una infracción en este puede revelar las credenciales almacenadas.

En Windows 10, Passport reemplaza las contraseñas. El proceso de aprovisionamiento de Passport crea dos claves criptográficas enlazadas al Módulo de plataforma segura (TPM), si lo tiene el dispositivo, o bien en el software. Solo se permite acceder a estas claves y obtener una firma para validar la posesión del usuario de la clave privada con el PIN o con el gesto biométrico. La verificación en dos pasos que tiene lugar durante la inscripción en Passport crea una relación de confianza entre el proveedor de identidad y el usuario cuando la parte pública del par de claves pública y privada se envía a un proveedor de identidad y se asocia a una cuenta de usuario. Cuando el usuario introduce el gesto en el dispositivo, el proveedor de identidad sabe, por la combinación de las teclas de Passport y del gesto, que se trata de una identidad verificada y proporciona un token de autenticación que franquea a Windows 10 el acceso a los recursos y los servicios. Además, durante el proceso de registro, se genera la solicitud de atestación para que todos los proveedores de identidad demuestren de forma criptográfica que las claves de Passport están vinculadas al TPM. Si no se presenta la solicitud de atestación al proveedor de identidad durante el registro, el proveedor de identidad debe dar por sentado que la clave de Passport se crea en el software.

Funcionamiento de la autenticación en Microsoft Passport

Supón que, mientras sacas dinero de un cajero, alguien mira por encima del hombro para ver el PIN que introduces. Aunque sepa el PIN, no puede acceder a tu cuenta porque no tiene la tarjeta. Del mismo modo, aunque un atacante se entere del PIN de tu dispositivo, no puede obtener acceso a tu cuenta porque el PIN es local y específico de ese dispositivo, así que no se permite la autenticación de ningún tipo desde otro dispositivo.

Passport protege las identidades y las credenciales de los usuarios. Como no se usan contraseñas, Microsoft Passport evita ataques por fuerza bruta y de suplantación de identidad (phishing). También evita infracciones en el servidor porque las credenciales de Passport son un par de claves asimétricas, lo que impide ataques de reproducción cuando estas claves se generan en entornos aislados de TPM.

Microsoft Passport también te permite usar dispositivos de Windows 10 Mobile como credenciales remotas cuando inicias sesión en equipos con Windows 10. Durante el inicio de sesión, el equipo con Windows 10 puede usar una conexión de Bluetooth para obtener acceso a Microsoft Passport en el dispositivo de Windows 10 Mobile del usuario. Como los usuarios siempre suelen llevar su teléfono consigo, Microsoft Passport hace que implementar la autenticación en dos fases en toda la empresa sea un proceso menos costoso y complejo, en comparación con otras soluciones.

Nota  El inicio de sesión mediante el teléfono actualmente está limitado para seleccionar los participantes del Programa de adopción de tecnología (TAP).

 

Funcionamiento de Microsoft Passport: puntos principales

  • Las credenciales de Passport se basan en un certificado o un par de claves asimétricas. Las credenciales de Passport se enlazan al dispositivo y el token que se obtiene con la credencial también se enlaza al dispositivo.

  • El proveedor de identidad (por ejemplo, la cuenta Active Directory, Azure AD o Microsoft) valida la identidad del usuario y asigna la clave pública de Microsoft Passport a la cuenta del usuario durante el paso de registro.

  • Las claves se pueden generar en el hardware (TPM 1.2 o 2.0 para empresas y TPM 2.0 para consumidores) o en el software, en función de la directiva.

  • Se emplea la autenticación en dos fases con la combinación de una clave o un certificado enlazado a un dispositivo y un elemento que el usuario sabe (un PIN) o hace (Windows Hello). El gesto de Passport no vale en otros dispositivos, ni se comparte con el servidor, sino que se almacena localmente en un dispositivo concreto.

  • La clave privada nunca sale del dispositivo. El servidor de autenticación tiene una clave pública que se asigna a la cuenta de usuario durante el proceso de registro.

  • Al especificar el PIN y Hello, Windows 10 verifica la identidad del usuario y lo autentica con las claves o los certificados de Passport.

  • Las cuentas personales (cuenta Microsoft) y las corporativas (Active Directory o Azure AD) usan contenedores diferentes para las claves. Otros proveedores de identidad que no sean de Microsoft generan claves para sus usuarios en el mismo contenedor de la cuenta Microsoft; aun así, todas las claves están separadas por dominios de proveedores de identidad para garantizar la privacidad del usuario.

  • Los certificados se agregan al contenedor de Passport y están protegidos con el gesto de Passport.

  • En cuanto al comportamiento de Windows Update cuando exige el reinicio, inicia automáticamente la sesión del último usuario interactivo sin ningún gesto y la bloquea para que se ejecuten las aplicaciones para la pantalla de bloqueo del usuario.

Comparación de la autenticación basada en claves y la basada en certificados

Passport puede usar tanto claves (de hardware o de software) como certificados con claves de hardware o de software para confirmar la identidad. Las empresas que tienen una infraestructura de clave pública (PKI) para emitir y administrar certificados pueden seguir usándola en combinación con Passport. Las empresas que no usan ninguna PKI o desean reducir el trabajo que conlleva administrar los certificados pueden confiar en las credenciales basadas en claves de Passport.

Las claves basadas en hardware que genera el TPM proporcionan el grado máximo de protección. Cuando se crea el TPM, en él reside un certificado de clave de aprobación (EK). Este certificado EK genera una veracidad raíz para todas las demás claves que se generan en ese TPM.

La certificación EK sirve para generar un certificado de clave de identidad de la atestación (AIK), el cual emite alguna entidad de certificación (CA) de Microsoft. Este certificado AIK se puede usar como solicitud de atestación para demostrar a los proveedores de identidad que las claves de Passport se han generado en el mismo TPM. La CA de Microsoft genera el certificado AIK para cada dispositivo, cada usuario y cada IDP con el fin de garantizar la protección de la privacidad del usuario.

Cuando los proveedores de identidad como Active Directory o Azure AD inscriben un certificado en Passport, Windows 10 admite el mismo conjunto de escenarios que una tarjeta inteligente. Cuando el tipo de credencial es una clave, solo se admiten las operaciones y la confianza basadas en claves.

Más información

Novedades acerca de los Servicios de dominio de Active Directory (AD DS) en Windows Server Technical Preview

Autenticación facial de Windows Hello

Directrices de hardware de biometría

Windows 10: Interrumpir la revolución de amenazas de Internet con seguridad revolucionaria

Windows 10: ¿el fin del juego para los ladrones de contraseñas y credenciales?

Autenticación sin contraseña con Microsoft Passport

Guía de Microsoft Passport

Temas relacionados

Implementar Microsoft Passport en la organización

Por qué un PIN es mejor que una contraseña

Preparar a los usuarios para usar Microsoft Passport

Microsoft Passport y cambios de contraseña

Errores de Microsoft Passport durante la creación de PIN

Id. de evento 300: Passport se creó correctamente