Guía de Microsoft Passport
En esta guía se describen las nuevas tecnologías Windows Hello y Microsoft Passport que forman parte del sistema operativo Windows 10. En ella se resalta las capacidades específicas de estas tecnologías para ayudar a mitigar las amenazas de credenciales convencionales y se proporcionan instrucciones sobre cómo diseñar e implementar estas tecnologías como parte de la implementación de Windows 10.
Una suposición fundamental sobre la seguridad de la información es que un sistema puede identificar quién lo está usando. Al identificar a un usuario, el sistema puede decidir si el usuario se ha identificado correctamente (un proceso conocido como autenticación) y luego determinar qué ese usuario autenticado correctamente debe poder hacer (un proceso conocido como autorización). La gran mayoría de los sistemas informáticos implementados en todo el mundo dependen de las credenciales de usuario como forma de tomar decisiones sobre la autenticación y autorización, lo que significa que dependen de contraseñas creadas por los usuarios y reutilizables para su seguridad. El lema que se cita a menudo en el que la autenticación puede implicar "algo que sabes, algo que tienes o algo que eres" resalta perfectamente el tema: una contraseña reutilizable es un factor de autenticación por sí mismo, por lo que cualquier persona que conozca la contraseña de un usuario puede suplantar a este.
Problemas con las credenciales tradicionales
Desde mediados de la década los 60, cuando Fernando Corbató y su equipo en el Massachusetts Institute of Technology abogaron por la introducción de la contraseña, los usuarios y administradores han tenido que lidiar con el uso de contraseñas de autenticación y autorización de usuarios. Con el tiempo, el estado de la técnica de almacenamiento y uso de contraseñas ha avanzado ligeramente (con el hash y la sal de contraseñas siendo las dos mejoras más evidentes), pero todavía nos enfrentamos a dos problemas graves: las contraseñas son fáciles de clonar y fáciles de robar. Los errores de implementación pueden hacerlas inseguras y los usuarios tienen dificultades a la hora de encontrar un equilibrio entre comodidad y seguridad.
Robo de credenciales
El mayor riesgo de las contraseñas es simple: un atacante las puede robar fácilmente. Cada lugar en que se escribe, procesa o almacena una contraseña es vulnerable. Por ejemplo, un atacante puede robar una colección de contraseñas o hash desde un servidor de autenticación al interceptar el tráfico de red a un servidor de aplicaciones, al implantar malware en una aplicación o dispositivo, al registrar las pulsaciones de teclas del usuario en un dispositivo o al mirar qué caracteres escribe un usuario. Estos son tan solo los métodos de ataque más comunes. Es posible llevar a cabo ataques más elaborados para robar una o varias contraseñas.
El riesgo de robo se impulsa por el hecho de que el factor de autenticación que representa la contraseña es la contraseña. Sin factores de autenticación adicionales, el sistema supone que cualquier usuario que sepa la contraseña es el usuario autorizado.
Otro riesgo relacionado es la reproducción de credenciales, donde un atacante captura una credencial válida al interceptar el tráfico de una red no segura y luego la reproduce más adelante para suplantar a un usuario válido. La mayoría de los protocolos de autenticación (como Kerberos y OAuth) protegen contra ataques de reproducción al incluir una marca de tiempo en el proceso de cambio de credenciales. Sin embargo, eso protege el token que emite el sistema de autenticación, pero no la contraseña que el usuario proporcione para obtener el ticket en primer lugar.
Reutilización de credenciales
Con el crecimiento del número de sistemas y aplicaciones conectados que usamos, también ha crecido la demanda de credenciales. En una investigación que Microsoft realizó en 2007 se calculó que el usuario web promedio tenía 6,5 contraseñas. Una investigación posterior demuestra que ese número es significativamente mayor, aunque hay discrepancias sobre el número exacto. La gran variedad de requisitos de contraseña (que se analizan en la sección Cambiar comodidad por complejidad) significa que los usuarios tienen sólidos incentivos para elegir contraseñas que pueden recordar fácilmente y, a menudo, eso significa seleccionar una sola contraseña y usarla en varios sitios. Los usuarios más sofisticados podrían elegir una contraseña base y modificarla para cada sitio (por ejemplo, una contraseña base "4jose" lleva a "banco4jose", "aerolinea4jose" y "colegio4jose"), pero sorprendentemente ese procedimiento agrega poca resistencia a la hora de adivinar contraseñas. Aunque los sistemas individuales pueden mantener un historial de contraseñas para que los usuarios no puedan reutilizar contraseñas anteriores a la hora de cambiar contraseñas, no hay ningún mecanismo para impedir que usen la misma contraseña entre varios dominios.
El método común de usar una dirección de correo como nombre de usuario empeora un problema significativo. Si un atacante que recupere correctamente un par de nombre de usuario y contraseña de un sistema en riesgo luego puede intentar ese mismo par en otros sistemas. Sorprendentemente, esta táctica funciona con frecuencia para permitir a atacantes pasar de un sistema en riesgo a otros sistemas. Además, el uso de direcciones de correo como nombres de usuario conduce a otros problemas, que nos analizaremos más adelante en esta guía.
Cambiar comodidad por complejidad
La mayor parte de la seguridad es poder encontrar un equilibrio entre la comodidad y la seguridad: cuanto más seguro sea un sistema, menos cómodo suele ser para los usuarios. Aunque los diseñadores e implementadores de sistemas cuentan con una amplia variedad de herramientas para que sus sistemas sean más seguros, los usuarios también deben disponer de opciones. Cuando los usuarios perciben que un mecanismo de seguridad obstaculiza lo que quieren hacer, a menudo buscan formas de evitarlo. Este comportamiento da lugar a una especie de carrera de armas, en la que los usuarios adoptan estrategias para minimizar el esfuerzo necesario para cumplir con las directivas de contraseña de su organización a medida que las directivas evolucionan.
Complejidad de contraseñas
Si el riesgo principal para las contraseñas es que un atacante puede adivinarlas a través del análisis a fuerza bruta, puede parecer razonable exigir que los usuarios incluyan un conjunto de caracteres más amplio en sus contraseñas o hacer estas más largas, pero en la práctica, los requisitos de longitud y complejidad de contraseñas tienen dos efectos secundarios negativos. En primer lugar, alientan a la reutilización de contraseñas. En las estimaciones realizadas por Herley, Florêncio y van Oorschot, se calcula que cuanto más segura sea una contraseña, habrá más probabilidad de que se reutilice. Dado que los usuarios ponen más esfuerzo en la creación y memorización de contraseñas seguras, es mucho más probable que usen la misma credencial en varios sistemas. En segundo lugar, agregar longitud o complejidad de conjunto de caracteres a las contraseñas no necesariamente las hace más difíciles de adivinar. Por ejemplo, P@ssw0rd1 tiene nueve caracteres e incluye mayúsculas, minúsculas, números y caracteres especiales, pero es fácil de adivinar gracias a la gran variedad de herramientas que permiten adivinar contraseñas comunes disponibles actualmente en Internet. Estas herramientas pueden atacar las contraseñas al usar un diccionario previamente calculado de contraseñas comunes o pueden comenzar con una palabra base, como contraseña, y luego aplicar sustituciones de carácter comunes. Por lo tanto, adivinar una contraseña completamente aleatoria de ocho caracteres podría llevar más tiempo que P@ssw0rd123.
Expiración de contraseñas
Dado que una contraseña reutilizable es el único factor de autenticación en los sistemas basados en contraseña, los diseñadores han intentado reducir el riesgo de robo de credenciales y la reutilización. Un método habitual para ello es el uso de contraseñas de duración limitada. Algunos sistemas permiten contraseñas que se pueden usar solo una vez, pero, de lejos, el método más común es hacer que las contraseñas expiren después de un período determinado. Limitar la vida útil de una contraseña establece un límite en el tiempo que un atacante podrá usar una contraseña robada. Esta práctica también ayuda a proteger contra los casos en los que una contraseña de larga duración se roba, se conserva y se usa durante un tiempo prolongado. Sin embargo, también vuelve a los tiempos en los que la adivinanza de contraseñas era una acción impráctica para cualquier persona que no fuese pirata informático de alto nivel. Un atacante inteligente intentaría robar las contraseñas en lugar de adivinarlas debido a tiempo asociado con este último método.
La amplia disponibilidad de herramientas de adivinanza de contraseñas y la potencia informática masiva disponible a través de mecanismos como, por ejemplo, hackers impulsados por tecnología GPU o herramientas de hackeo distribuidas basadas en la nube ha invertido esta ecuación, por lo que, a menudo, es más eficaz para un hacker adivinar una contraseña que intentar robarla. Además, con la amplia disponibilidad de mecanismos de restablecimiento de contraseñas de autoservicio, un atacante tan solo necesita un período de tiempo breve durante el cual la contraseña es válida para cambiar la contraseña y, por consiguiente, restablecer el período de validez. Pocas redes empresariales proporcionan mecanismos de restablecimiento de contraseñas de autoservicio, pero son comunes para los servicios de Internet. Asimismo, muchos usuarios usan el almacén de credenciales seguras en los sistemas Windows y Mac OS X para almacenar contraseñas valiosas de servicios de Internet. Por lo tanto, si un atacante puede poner en riesgo la contraseña del sistema operativo, también podría obtener un tesoro escondido de otras contraseñas de servicio sin ningún costo.
Por último, si la vida útil de las contraseñas es demasiada corta, los usuarios realizarán pequeños cambios en sus contraseñas en cada período de expiración, por ejemplo, cambiar de password123 a password456 a password789. Este método reduce el trabajo necesario para adivinar la contraseña, especialmente si el atacante sabe cualquiera de las contraseñas anteriores.
Mecanismos de restablecimiento de contraseñas
Para permitir a los usuarios administrar mejor sus propias contraseñas, algunos servicios proporcionan a los usuarios una manera de cambiar sus contraseñas propias. Algunas implementaciones requieren que los usuarios inicien sesión con su contraseña actual, mientras que otras permiten a los usuarios seleccionar la opción Olvidé mi contraseña, que envía un correo electrónico a la dirección de correo registrada del usuario. El problema con estos mecanismos es que muchos de ellos se implementan de manera tal que un atacante puede aprovecharse de ellos. Por ejemplo, un atacante que puede adivinar correctamente o robar la contraseña de correo electrónico de un usuario puede solicitar el restablecimiento de la contraseña para todas las demás cuentas de la víctima, ya que los mensajes de correo de restablecimiento va a la cuenta comprometida. Por este motivo, la mayoría de las redes empresariales están configuradas para que solo los administradores puedan restablecer las contraseñas de usuario- Por ejemplo, Active Directory admite el uso de un indicador La contraseña se debe cambiar en el siguiente inicio de sesión de modo que después de que el administrador restablezca la contraseña, el usuario puede restablecer la contraseña solo después de proporcionar la contraseña establecida por el administrador. Algunos sistemas de administración de dispositivos móviles (MDM) admiten una funcionalidad similar para dispositivos móviles.
Descuido de contraseñas de usuario
Un problema insidioso empeora estas debilidades de diseño e implementación: algunos usuarios no son cuidadosos con sus contraseñas. Escriben sus contraseñas en ubicaciones no seguras, eligen contraseñas fáciles de adivinar, toman medidas de precaución mínimas (si es que las toman) contra malware o incluso dan sus contraseñas a otras personas. Estos usuarios no necesariamente se descuidan porque son indiferentes; quieren poder hacer sus cosas y las directivas demasiadas estrictas en cuanto a longitud y expiración de contraseñas, o la necesidad de usar muchas contraseñas, los estorban.
Mitigar los riesgos de credenciales
Dado los problemas descritos hasta ahora, puede parecer obvio que las contraseñas reutilizables son un riesgo de seguridad. El argumento es simple: la adición de factores de autenticación reduce el valor de las contraseñas en sí, porque incluso un robo de contraseña no permitirá que un atacante inicie sesión en un sistema a menos que también disponga de los dos factores adicionales asociados. Lamentablemente, este argumento sencillo tiene muchas complicaciones prácticas. Los proveedores de seguridad y sistemas operativos han intentado durante décadas solucionar los problemas que suponen las credenciales reutilizables, pero con poco éxito.
La mitigación más evidente a los riesgos que presentan las contraseñas reutilizables consiste en la adición de uno o más factores de autenticación. En momentos diferentes durante los últimos 30 años, distintos proveedores han intentado resolver este problema al abogar por el uso de identificadores biométricos (por ejemplo, huellas digitales, escaneos de iris y retina, y geometría de mano), tokens basados en software y hardware, tarjetas inteligentes físicas y virtuales, así como autenticación por voz o un servicio de mensajes cortos (SMS) a través del teléfono móvil del usuario. Una descripción detallada de cada uno de estos autenticadores, así como sus ventajas y desventajas, está fuera del ámbito de esta guía. Sin embargo, independientemente del método de autenticación que elija, los desafíos principales presentan una adopción limitada de todas las soluciones de autenticación multifactor (AMF), entre los que se incluyen:
Complejidad y costo de la infraestructura. Los sistemas que requieren que el usuario proporcione un factor de autenticación adicional en el punto de acceso deben disponer de una manera de recopilar esa información. Aunque es posible adaptar hardware de campo y agregar lectores de huellas digitales, escáneres de ojo, lectores de tarjetas inteligentes, etc., pocas empresas están dispuestas a asumir los costos y la carga de soporte que ello requiere.
Falta de normalización. Aunque Microsoft incluyó compatibilidad con tarjetas inteligentes de nivel de sistema operativo como parte de Windows Vista, los proveedores de tarjetas inteligentes y lectores podían seguir proporcionando sus propios controladores, igual que los fabricantes de otros dispositivos de autenticación. La falta de normalización llevó a la fragmentación de aplicaciones y compatibilidad, lo que significa que no siempre era posible mezclar y combinar soluciones dentro de una empresa, incluso cuando los fabricantes de estas soluciones las indicaban como compatibles.
Compatibilidad con versiones anteriores. La instalación de accesorios en sistemas operativos y aplicaciones implementados para usar MFA ha resultado ser una tarea muy difícil. Casi tres años después de su lanzamiento, Microsoft Office 2013 finalmente admitirá MFA. La gran mayoría de las aplicaciones comerciales y de línea de negocio (LOB) nunca se adaptarán para aprovechar las ventajas de un sistema de autenticación distinto de lo que proporciona el sistema operativo subyacente.
Incomodidad para el usuario. Las soluciones que requieren que los usuarios obtengan, controlen y usen tokens físicos no suelen ser muy populares. Si los usuarios necesitan un token específico para el acceso remoto o se aplican otros escenarios que supuestamente son más cómodos, con frecuencia se sentirán insatisfechos rápidamente de tener que lidiar con un dispositivo adicional. Esta resistencia se multiplica en soluciones en las que se conectan accesorios a los PC (por ejemplo, lectores de tarjetas inteligentes) ya que este tipo de soluciones presenta problemas de movilidad, compatibilidad con controladores e integración con el sistema operativo y las aplicaciones.
Compatibilidad de los dispositivos. No todos los factores de forma de hardware admiten todos los métodos de autenticación. Por ejemplo, a pesar de los escasos esfuerzos ocasionales de los proveedores, no ha surgido ningún lector de tarjetas inteligentes para teléfonos móviles. Por lo tanto, cuando Microsoft implementó por primera vez las tarjetas inteligentes como autenticador para acceso remoto a redes, una limitación clave fue que los empleados solo podían iniciar sesión desde PC de escritorio o portátiles con lectores de tarjetas inteligentes. Cualquier método de autenticación que depende en hardware o software adicional podría enfrentarse a este problema. Por ejemplo, varios sistemas populares de "token suave" dependen de aplicaciones móviles que se ejecutan en un número limitado de plataformas móviles.
Otro problema engorroso está relacionado con la madurez y los conocimientos institucionales. Los sistemas de autenticación sólida son complejos. Tienen un gran número de componentes y su diseño, mantenimiento y funcionamiento pueden ser costosos. Para algunas empresas, el costo adicional y la sobrecarga de mantener una infraestructura de clave pública (PKI) para emitir tarjetas inteligentes o la carga de administrar dispositivos complementarios supera el valor que perciben en tener una autenticación más sólida. Este es un caso especial del problema común al que se enfrentan las instituciones financieras: si el costo de la reducción de fraudes es mayor que el costo del fraude en sí, es difícil justificar la inversión en medidas mejores de prevención de fraudes.
Solucionar los problemas relacionados con las credenciales
Es difícil solucionar los problemas que presentan las contraseñas. Tan solo aumentar las exigencias de las directivas de contraseña no es suficiente, ya que los usuarios pueden simplemente reciclar, compartir o anotar las contraseñas. Aunque la educación de los usuarios es fundamental para la seguridad de autenticación, ella sola tampoco elimina el problema.
Como ya hemos visto, los autenticadores adicionales no ayudarán necesariamente si los nuevos sistemas de autenticación agregan complejidad, costo o fragilidad. En Windows 10, Microsoft soluciona estos problemas con dos nuevas tecnologías: Windows Hello y Microsoft Passport. En combinación, estas tecnologías ayudan a aumentar la seguridad y comodidad para los usuarios:
Microsoft Passport reemplaza las contraseñas con autenticación sólida en dos fases (2FA) mediante la comprobación de las credenciales existentes y la creación de una credencial específica protegida por un gesto de usuario (basado en datos biométricos o PIN). Esta combinación reemplaza eficazmente las tarjetas inteligentes físicas y virtuales, así como las contraseñas reutilizables para el inicio de sesión y control de acceso.
Windows Hello ofrece una confiable autenticación biométrica completamente integrada basada en el reconocimiento de rostros o la coincidencia de huella digital. Windows Hello usa una combinación de cámaras de infrarrojos (IR) y software especiales para aumentar la precisión y proteger contra la suplantación de identidad. Los proveedores principales de hardware están ofreciendo dispositivos con cámaras integradas compatibles con Windows Hello y se puede usar o agregar hardware de lector de huellas dactilares a los dispositivos que actualmente no disponen de él. En dispositivos que admiten Windows Hello, un sencillo gesto biométrico desbloquea las credenciales de Microsoft Passport de los usuarios.
¿Qué es Windows Hello?
Windows Hello es el nombre que Microsoft dio al nuevo sistema de inicio de sesión biométrico integrado en Windows 10. Dado que está integrado directamente en el sistema operativo, Windows Hello permite la identificación por rostro o huella digital para desbloquear los dispositivos de los usuarios. La autenticación se produce cuando el usuario proporciona su identificador biométrico único para acceder a las credenciales de Microsoft Passport específicas del dispositivo, lo que significa que un atacante que robe el dispositivo no podrá iniciar sesión en él a menos que cuente con el PIN. El almacén de credenciales seguro de Windows protege los datos biométricos en el dispositivo. Si usas Windows Hello para desbloquear un dispositivo, el usuario autorizado obtiene acceso a todos sus servicios, sitios web, datos, aplicaciones y experiencia de Windows.
El autenticador de Windows Hello se conoce como un saludo. Un saludo es único a la combinación de un dispositivo individual y un usuario específico; no se traspasa entre distintos dispositivos, no se comparte con un servidor ni tampoco se puede extraer fácilmente de un dispositivo. Si varios usuarios comparten un dispositivo, cada usuario obtiene un saludo único para ese dispositivo. Un saludo se puede considerar como un token que se usa para desbloquear (o liberar) una credencial almacenada: el saludo en sí no autentica al usuario en una aplicación o servicio, sino que libera las credenciales que sí pueden hacerlo.
En el lanzamiento de Windows 10, el sistema operativo admite tres tipos de saludos:
PIN. Para poder usar Windows Hello y habilitar los datos biométricos en un dispositivo, tienes que elegir un PIN como gesto de saludo inicial. Después de configurar un PIN, puedes agregar gestos biométricos si quieres. Siempre puedes usar el gesto de PIN para liberar tus credenciales, por lo que aún podrás desbloquear y usar el dispositivo, incluso si no consigues usar tus datos biométricos preferidos debido a una lesión o porque el sensor no está disponible o no funciona correctamente.
Reconocimiento de rostro. Este tipo usa cámaras especiales que ven en iluminación de infrarrojos, lo que les permite distinguir de manera confiable entre una foto o digitalización y una persona real. Varios proveedores están ofreciendo cámaras externas que incorporan esta tecnología y los fabricantes de portátiles más importantes también las están incorporando en sus dispositivos.
Reconocimiento de huellas digitales. Este tipo usa un sensor de huella digital capacitivo para analizar tu huella digital. Hace años que hay lectores de huellas digitales disponibles para los PC Windows, pero la generación actual de sensores es mucho más confiable y menos propensa a errores. La mayoría de los lectores de huellas digitales existente (ya sea externos o integrados en portátiles o teclados USB) funcionan con Windows 10.
Los datos biométricos que se usan para implementar estos gestos de saludo se almacenan de forma segura solo en el dispositivo local. No se pasa de un dispositivo a otro ni se envía nunca a servidores o dispositivos externos. Dado que Windows Hello solo almacena los datos de identificación biométrica en el dispositivo, no hay ningún punto de colección único que un atacante puede poner en riesgo para robar los datos biométricos. Las infracciones que exponen la información biométrica recopilada y almacenada para otros usos (tales como huellas digitales recopiladas y almacenadas para las fuerzas de seguridad y los antecedentes) no representan una amenaza significativa: un atacante que robe información biométrica tiene literalmente solo una plantilla del identificador y esa plantilla no se puede convertir fácilmente en una forma que el atacante pueda presentar a un sensor biométrico. Además, la ruta de datos de los sensores compatibles con Windows Hello es resistente a la alteración, lo que reduce aún más la posibilidad de que un atacante pueda insertar correctamente datos biométricos simulados. Asimismo, antes de que un atacante pueda incluso intentar insertar datos en la canalización del sensor, primero debe acceder físicamente al dispositivo y un atacante que pueda hacer eso puede montar varios otros ataques menos difíciles.
Windows Hello ofrece varias ventajas importantes. En primer lugar, cuando se combina con Microsoft Passport, resuelve de manera eficaz los problemas de robo o uso compartido de las credenciales. Dado que un atacante debe obtener tanto el dispositivo como los datos biométricos seleccionados, es mucho más difícil conseguir acceso sin que lo sepa el usuario. En segundo lugar, el uso de información biométrica significa que los usuarios sacan provecho del hecho de disponer de un autenticador simple que siempre les acompaña... no hay nada que olvidar, perder o dejar. En lugar de preocuparse por memorizar contraseñas largas y complejas, los usuarios pueden sacar provecho de un método cómodo y seguro para iniciar sesión en todos sus dispositivos Windows. Por último, en muchos casos, para usar Windows Hello no hace falta implementar o administrar ningún elemento adicional (aunque es posible que Microsoft Passport requiera una implementación adicional, tal como se describe más adelante en esta guía). La compatibilidad con Windows Hello se integra directamente en el sistema operativo y los usuarios o las empresas pueden agregar dispositivos biométricos compatibles que permitan el reconocimiento de gestos biométricos, ya sea como parte de una implementación coordinada o a medida que los usuarios individuales o grupos decidan agregar los sensores necesarios. Windows Hello forma parte de Windows, por lo que para comenzar a usarlo no hace falta ninguna implementación adicional.
¿Qué es Microsoft Passport?
Windows Hello ofrece una forma eficaz para que un dispositivo reconozca a un usuario individual y eso aborda la primera parte de la ruta entre un usuario y un elemento de datos o servicio solicitado. Sin embargo, después de que el dispositivo haya reconocido al usuario, aún tiene que autenticar al usuario antes de decidir si conceder acceso a un recurso solicitado. Microsoft Passport proporciona 2FA sólida, totalmente integrado en Windows, que reemplaza las contraseñas reutilizables con la combinación de un dispositivo específico y un saludo o PIN. No obstante, Microsoft Passport no es tan solo un sustituto de los sistemas 2FA tradicionales. Conceptualmente, es similar a una tarjeta inteligente: la autenticación se realiza mediante primitivas criptográficas en lugar de comparaciones de cadenas y el material de clave del usuario se protege en el interior de hardware resistente a manipulaciones. Microsoft Passport tampoco requiere los componentes de infraestructura adicionales que se necesitan para la implementación de tarjetas inteligentes. En particular, si no se usa una PKI, no se necesita. Microsoft Passport combina la principal ventaja que ofrecen las tarjetas inteligentes (flexibilidad de implementación de tarjetas inteligentes virtuales y una seguridad sólida para tarjetas inteligentes físicas) sin ninguna de sus desventajas.
Microsoft Passport ofrece cuatro ventajas importantes en comparación con el estado actual de la autenticación de Windows: es más flexible, se basa en estándares del sector, es un mitigator de riesgos eficaz y está preparado para la empresa. Echemos un vistazo más detallado a cada una de estas ventajas.
Es flexible
Microsoft Passport ofrece una flexibilidad sin precedentes. Aunque el formato y uso de las contraseñas reutilizables son fijos, Microsoft Passport ofrece a los administradores y usuarios opciones para administrar la autenticación. En primer lugar y lo más importante, Microsoft Passport funciona con identificadores biométricos y PIN, por lo que las credenciales de los usuarios quedan protegidas incluso en dispositivos que no admiten información biométrica. Los usuarios incluso pueden usar su teléfono para liberar sus credenciales en lugar de un PIN o gesto biométrico en el dispositivo principal. Microsoft Passport saca provecho perfectamente del hardware de los dispositivos en uso; a medida que los usuarios actualicen a dispositivos más nuevos, Microsoft Passport está listo para ellos y las organizaciones pueden actualizar dispositivos existentes al agregar sensores biométricos donde corresponda.
Microsoft Passport también ofrece flexibilidad en el centro de datos. Para implementarlo, en algunos modos hay que agregar controladores de dominio de Windows Server 2016 Technical Preview al entorno de Active Directory, pero no hace falta reemplazar o quitar los servidores de Active Directory existentes; los servidores que se necesitan para Microsoft Passport se basan en la infraestructura existente y le agregan capacidades. No hace falta cambiar el nivel funcional del dominio o bosque y se pueden agregar servidores locales o usar Microsoft Azure Active Directory para implementar Microsoft Passport en la red. La elección de qué usuarios se deben habilitar para usar Microsoft Passport es totalmente tuya: tú eliges las directivas y los dispositivos compatibles, así como los factores de autenticación a los que tendrán acceso los usuarios. Así, será fácil usar Microsoft Passport para complementar las implementaciones existentes de tarjeta inteligente o token al agregar protección de credenciales sólida para los usuarios que actualmente no disponen de ella o para implementar Microsoft Passport en escenarios en los que se necesita mayor protección para recursos o sistemas con información confidencial (que se describe en la sección Diseñar una implementación de Microsoft Passport).
Es estandarizado
Tanto los proveedores de software como los clientes empresariales se han dado cuenta que los sistemas patentados de identidad y autenticación no tienen salida. El futuro está en sistemas abiertos e interoperables que permiten una autenticación segura en una variedad de dispositivos, LOB y aplicaciones y sitios web externos. Para ello, un grupo de miembros del sector formó la organización sin ánimo de lucro Fast IDentity Online Alliance (FIDO) destinada a tratar la falta de interoperabilidad entre los dispositivos de autenticación sólida, así como los problemas a los que se enfrentan los usuarios a la hora de crear y recordar varios nombres de usuario y contraseñas. La Alianza FIDO desea cambiar la naturaleza de la autenticación al desarrollar especificaciones que definen un conjunto abierto, escalable e interoperable de mecanismos que sustituyen la dependencia en las contraseñas para la autenticación segura de los usuarios de servicios en línea. Este nuevo estándar para dispositivos de seguridad y complementos de explorador permitirá que cualquier aplicación de sitio web o en la nube se comunique con una amplia variedad de dispositivos FIDO existentes y futuros de los que dispongan los usuarios para la seguridad en línea. Para obtener más información, consulta el sitio Web de la Alianza FIDO.
Microsoft se unió a la Alianza FIDO en 2013. Los estándares FIDO crean un marco universal que un ecosistema global proporciona para ofrecer una experiencia de usuario coherente y mejorada en la autenticación sólida sin contraseñas. Las especificaciones FIDO 1.0, que se publicaron en diciembre de 2014, proporcionan dos tipos de autenticaciones: sin contraseñas (conocida como el Marco de autenticación universal [UAF]) y Factor 2 (U2F). La Alianza FIDO está trabajando en un conjunto de propuestas 2.0 para combinar las mejores partes de los estándares U2F y UAF FIDO 1.0. Microsoft contribuye activamente a las propuestas y Windows 10 es una implementación de referencia de estos conceptos. Además de admitir estos protocolos, la implementación de Windows trata otros aspectos de la experiencia de principio a fin que no cubre la especificación, por ejemplo, la interfaz de usuario, el almacenamiento y la protección de las claves de dispositivo de los usuarios y los tokens emitidos después de la autenticación, la compatibilidad con directivas de administrador y la oferta de herramientas de implementación. Microsoft espera seguir trabajando con la Alianza FIDO a medida que avance la especificación FIDO 2.0. La interoperabilidad de los productos FIDO es una marca distintiva de la autenticación FIDO. Microsoft cree que introducir una solución FIDO en el mercado ayudará a satisfacer una necesidad imprescindible, tanto para las empresas como para los consumidores.
Es eficaz
Microsoft Passport mitiga eficazmente dos riesgos principales de seguridad. En primer lugar, al eliminar el uso de contraseñas reutilizables para el inicio de sesión, reduce el riesgo de la copia o reutilización de las credenciales del usuario. En los dispositivos que admiten el estándar Módulo de plataforma segura (TPM), el material de clave del usuario se puede almacenar en el TPM del dispositivo, lo que hace que sea más difícil que un atacante capture el material de clave y lo reutilice. En los dispositivos sin TPM, Microsoft Passport puede cifrar y almacenar los datos de credenciales en software, pero los administradores pueden deshabilitar esta función para forzar una implementación tipo "TPM o nada".
En segundo lugar, como Microsoft Passport no depende de un único servidor centralizado, por lo que desaparece el riesgo de compromiso de una infracción de ese servidor. Aunque un atacante teóricamente puede poner en peligro un solo dispositivo, no hay ningún punto único de ataque del que puede aprovechar un intruso para obtener un acceso amplio al entorno.
Está listo para las empresas
En todas las ediciones de Windows 10 se incluye la funcionalidad de Microsoft Passport para uso individual; los usuarios personales y las empresas pueden aprovechar Microsoft Passport para proteger sus credenciales individuales con aplicaciones y servicios compatibles. Además, las empresas cuyos usuarios ejecutan Windows 10 Professional y Windows 10 Enterprise pueden usar Microsoft Passport para el trabajo, una versión mejorada de Microsoft Passport que incluye la capacidad de administrar de forma centralizada la configuración de Microsoft Passport para la seguridad de PIN y el uso de datos biométricos a través de objetos de directiva de grupo (GPO).
Cómo funciona Microsoft Passport
Para usar Microsoft Passport e iniciar sesión con una identidad de proveedor (IDP), un usuario necesita un dispositivo configurado. Esto significa que el ciclo de vida de Microsoft Passport empieza cuando un dispositivo se configura para usar Microsoft Passport. Una vez configurado el dispositivo, el usuario puede usarlo para la autenticación en los servicios. En esta sección, exploraremos cómo funciona el registro del dispositivo, qué sucede cuando un usuario solicita la autenticación, cómo se almacena y procesa el material de clave y qué servidores y componentes de infraestructura intervienen en las distintas partes de este proceso.
Registrar un nuevo usuario o dispositivo
Un objetivo de Microsoft Passport es permitir que un usuario abra un nuevo dispositivo, se una de manera segura a una red corporativa para descargar y administrar los datos de la organización y cree un nuevo gesto Hello para proteger el dispositivo. En Microsoft, el proceso de configuración de un dispositivo para usarlo con Microsoft Passport se conoce como registro.
Nota
Esto es independiente de la configuración de la organización que se necesita para usar Microsoft Passport con Active Directory o Azure AD. Dicha configuración se analiza más adelante en esta guía. Esta configuración se debe completar antes de que los usuarios puedan comenzar a registrarse.
El proceso de registro funciona del modo siguiente:
El usuario configura una cuenta en el dispositivo.
Esta cuenta puede ser una cuenta local en el dispositivo, una cuenta de dominio almacenada en el dominio local de Active Directory, una cuenta de Microsoft o una cuenta de Azure AD. Para un dispositivo nuevo, este paso puede ser tan sencillo como iniciar sesión con una cuenta de Microsoft. Iniciar sesión con una cuenta de Microsoft en un dispositivo Windows 10 configura Microsoft Passport automáticamente en el dispositivo. Los usuarios no tienen que hacer nada más para habilitarlo.
Para iniciar sesión con esa cuenta, el usuario tiene que escribir las credenciales existentes correspondientes.
El IDP que "posee" la cuenta recibe las credenciales y autenticará al usuario. Esta autenticación IDP puede incluir el uso de un segundo factor de autenticación existente, o prueba. Por ejemplo, un usuario que registra un nuevo dispositivo con una cuenta de Azure AD tendrá que proporcionar una prueba SMS que envía Azure AD.
Cuando el usuario proporcione la prueba para el IDP, habilita la autenticación de PIN (figura 1).
El PIN se asociará con esta credencial concreta.
Figura 1. Configurar un PIN en el elemento del panel de control Configuración de la cuenta
Cuando el usuario establece el PIN, este se puede usar inmediatamente (figura 2).
Figura 2. Cuando se establece el PIN, se puede usar inmediatamente
Recuerda que Microsoft Passport depende del emparejamiento de un dispositivo y una credencial, por lo que el PIN elegido se asocia solo a la combinación de la cuenta activa y ese dispositivo específico. El PIN debe cumplir con las directivas de longitud y complejidad que establezca el administrador de la cuenta y las directivas se aplican en el dispositivo. Microsoft Passport admite los siguientes escenarios de registro adicionales:
Un usuario actualiza desde el sistema operativo Windows 8.1 iniciará sesión con su contraseña empresarial existente. De este modo, se desencadena la MFA en el lado del IDP. Después de recibir una prueba, tal como un mensaje de texto o un código de voz, el IDP autentica el usuario en el dispositivo Windows 10 actualizado y el usuario puede establecer su PIN.
Para un usuario que suele usar una tarjeta inteligente para iniciar sesión, se le pedirá que configure un PIN la primera vez inicie sesión en un dispositivo Windows 10 en el que nunca haya iniciado sesión.
Para un usuario que suele usar una tarjeta inteligente virtual para iniciar sesión, se le pedirá que configure un PIN la primera vez inicie sesión en un dispositivo Windows 10 en el que nunca haya iniciado sesión.
Cuando el usuario haya completado este proceso, Microsoft Passport genera un nuevo par de claves privada y pública privada en el dispositivo. El TPM genera y almacena esta clave privada, Si el dispositivo no dispone de TPM, la clave privada se cifra y se almacena en software. Esta clave inicial se conoce como la clave protectora. Está asociada únicamente a un solo gesto. Es decir, si un usuario registra un PIN, una huella digital y un rostro en el mismo dispositivo, cada uno de esos gestos tendrá una clave protectora única. La clave protectora ajusta de forma segura la clave de autenticación para un contenedor específico. Cada contenedor tiene una sola clave de autenticación. Sin embargo, puede haber varias copias de dicha clave ajustadas con distintas claves protectoras únicas (cada una de las cuales está asociada a un gesto único). Microsoft Passport también genera una clave de administración que el usuario o el administrador puede usar para restablecer las credenciales, cuando sea necesario. Además de la clave protectora, los dispositivos habilitados para TPM generan un bloque de datos que contiene los certificados del TPM.
Llegado a este punto, el usuario tiene un gesto PIN definido en el dispositivo y una clave protectora asociada para dicho gesto PIN. Eso significa que puede iniciar sesión de forma segura en el dispositivo con el PIN y, por consiguiente, puede establecer una sesión de confianza en el dispositivo para agregar compatibilidad con un gesto de datos biométricos como una alternativa del PIN. Cuando se agrega un gesto de datos biométricos, se sigue la misma secuencia básica: el usuario se autentica en el sistema con su PIN y luego registra la nueva información biométrica ("sonríe a la cámara"). Después de este proceso, Windows genera un nuevo par de claves único y lo almacena de forma segura. En los inicios de sesión subsiguientes, se puede usar el PIN o los gestos de datos biométricos registrados.
¿Qué es un contenedor?
A menudo verás el término contenedor que se usa en relación con las soluciones de MDM. Microsoft Passport usa el término también, pero de una forma ligeramente diferente. Un contenedor en este contexto es la abreviatura de una agrupación lógica de datos o material de clave. Windows 10 admite dos contenedores: el contenedor predeterminado que contiene el material de clave del usuario para las cuentas personales, por ejemplo, el material de clave asociado a la cuenta de Microsoft del usuario o de otros proveedores de identidad de consumidor, y el contenedor empresarial que contiene las credenciales asociadas con una cuenta educativa o profesional.
El contenedor empresarial existe solamente en los dispositivos que se han registrado en una organización y contiene el material de clave del IDP de la empresa, tal como la instalación local de Active Directory o Azure AD. El contenedor empresarial solo contiene datos clave de Active Directory o Azure AD. Si el contenedor empresarial está presente en un dispositivo, se desbloquea por separado desde el contenedor predeterminado, que mantiene la separación entre los datos y el acceso entre todas las credenciales y los servicios personales y empresariales. Por ejemplo, un usuario que usa un gesto de datos biométricos para iniciar sesión en un PC administrado puede desbloquear por separado su contenedor personal escribiendo un PIN al iniciar sesión para hacer una compra en un sitio web.
Estos contenedores son lógicamente independientes. Las organizaciones no tienen ningún control sobre el almacén de credenciales de usuario en el contenedor predeterminado y las aplicaciones que se autentican en los servicios del contenedor predeterminado no pueden usar las credenciales del contenedor empresarial. Sin embargo, las aplicaciones Windows individuales pueden usar las interfaces de programación de aplicaciones (API) de Microsoft Passport para solicitar acceso a las credenciales según corresponda, de modo que se puedan mejorar las aplicaciones tanto de consumidor como de línea de negocio para aprovechar las ventajas que ofrece Microsoft Passport.
Es importante tener en cuenta que no hay contenedores físicos en el disco, en el registro ni en ningún otro sitio. Los contenedores son unidades lógicas que se usan para agrupar elementos relacionados. Las claves, los certificados y las credenciales que Microsoft Passport almacena se protegen sin la creación de carpetas o contenedores reales.
En realidad, cada contenedor contiene un conjunto de claves, algunas de las cuales se usan para proteger otras claves. En la figura 3 se muestra un ejemplo: la clave protectora se usa para cifrar la clave de autenticación y la clave de autenticación se usa para cifrar las claves individuales almacenadas en el contenedor.
Figura 3. Cada contenedor lógico contiene uno o más conjuntos de claves
Los contenedores pueden contener varios tipos de material de clave:
Una clave de autenticación, que siempre es un par de claves pública y privada asimétrico. Este par de claves se genera durante el registro. Se debe desbloquear cada vez que se accede a él, con el PIN del usuario o un gesto de datos biométricos generado anteriormente. La clave de autenticación existe hasta que el usuario restablece el PIN, en cuyo momento se generará una nueva clave. Cuando se genere la nueva clave, todo el material de clave que protegía la clave anterior se debe descifrar y volver a cifrar con la nueva clave.
Las claves de tarjeta inteligente virtual se generan cuando se genera una tarjeta inteligente virtual y se almacenan de forma segura en el contenedor. Están disponibles siempre que se desbloquee el contenedor del usuario.
Los certificados y claves S/MIME (Extensiones multipropósito de correo Internet/seguras) los genera una entidad de certificación (CA). Las claves asociadas con el certificado S/MIME del usuario se pueden almacenar en un contenedor de Microsoft Passport de modo que estén disponibles para el usuario siempre que se desbloquee el contenedor.
La clave IDP. Estas claves pueden ser simétricas o asimétricas, según el IDP que se use. Un contenedor único puede contener cero o más claves IDP, con algunas restricciones (por ejemplo, el contenedor empresarial puede contener cero o una clave IDP). Las claves IDP se almacenan en el contenedor, tal como se muestra en la figura 3. En el caso de Microsoft Passport para el trabajo basado en certificados, cuando el contenedor se desbloquea, las aplicaciones que requieren acceso a la clave IDP o un par de claves pueden solicitar acceso. Las claves IDP se usan para firmar o cifrar las solicitudes o tokens de autenticación que se envían desde este equipo al IDP. Las claves IDP suelen de larga duración, pero podrían tener una duración más corta que la clave de autenticación.
Las cuentas de Microsoft, Active Directory y Azure AD requieren el uso de pares de claves asimétricas. El dispositivo genera claves públicas y privadas, registra la clave pública en el IDP (quien la almacena para una comprobación posterior) y almacena la clave privada de forma segura. Para las empresas, las claves IDP se pueden generar de dos maneras:
El par de claves IDP se puede asociar a una CA de empresa a través del Servicio de inscripción de dispositivos de red (NDES) de Windows, que se describe con más detalle en Guía del Servicio de inscripción de dispositivos de red. En este caso, Microsoft Passport solicita un nuevo certificado con la misma clave que el certificado de la PKI existente. Esta opción permite a las organizaciones con una PKI existente seguir usándola según corresponda. Dado que muchas aplicaciones, como los populares sistemas de red privada virtual, requieren el uso de certificados, la implementación de Microsoft Passport en este modo permite una transición más rápida desde el uso de contraseñas de usuario mientras se sigue conservando la funcionalidad basada en certificados. Esta opción también permite a la empresa almacenar certificados adicionales en el contenedor protegido.
El IDP puede generar el par de claves IDP directamente, lo que permite una implementación de Microsoft Passport rápida y con menos carga en entornos que no tengan o necesiten una PKI.
Cómo se protegen claves
Cada vez que se genere material de clave, este se debe proteger contra los ataques. La forma más sólida de hacer esto es mediante hardware especializado. El uso de módulos de seguridad de hardware (HSM) para generar, almacenar y procesar las claves para aplicaciones críticas para la seguridad tiene una larga trayectoria. Las tarjetas inteligentes son un tipo especial de HSM, como lo son también los dispositivos compatibles con el estándar Trusted Computing Group TPM. Siempre que sea posible, la implementación de Microsoft Passport para el trabajo saca provecho de las ventajas del hardware TPM incorporado para generar, almacenar y procesar las claves. Sin embargo, Microsoft Passport y Microsoft Passport para el trabajo no requieren un TPM incorporado. Los administradores tienen la opción de permitir las operaciones de clave en software, en cuyo caso, los usuarios que tengan derechos administrativos, o puedan escalar a ellos, en el equipo pueden usar las claves IDP para firmar las solicitudes. Como alternativa, en algunos escenarios, los dispositivos que no tienen un TPM se pueden autenticar remotamente mediante un dispositivo con un TPM, en cuyo caso, todas las operaciones con información confidencial se hacen con el TPM y no se expone ningún material de clave.
Siempre que sea posible, Microsoft recomienda el uso de hardware de TPM. El TPM protege contra una variedad de ataques conocidos y posibles, incluidos los ataques de fuerza bruta contra los PIN. Además, el TPM proporciona un nivel adicional de protección después de un bloqueo de la cuenta. Cuando el TPM ha bloqueado el material de clave, el usuario tendrá que restablecer el PIN (lo que significa que tendrá que usar MFA para reautenticar en el IDP antes de que este le permita registrarse de nuevo). Restablecer el PIN significa que se quitarán todas las claves y certificados cifrados con el material de clave anterior.
Autenticación
Cuando un usuario quiere acceder a material de clave protegido, quizás para usar un sitio de Internet que requiere un inicio de sesión o acceder a recursos protegidos en una intranet corporativa, el comienzo del proceso de autenticación implica que el usuario especifica un PIN o gesto de datos biométricos para desbloquear el dispositivo, un proceso que a veces se denomina liberar la clave. Esto se puede imaginar como cuando se usa una llave para abrir una puerta: antes de poder abrir la puerta, hay que quitar la llave del bolsillo o bolso. En un dispositivo personal conectado a una red corporativa, los usuarios usarán su PIN personal o datos biométricos para liberar la clave. En un dispositivo unido a un dominio local o de Azure AD, usarán el PIN de la organización.
Este proceso desbloquea la clave protectora del contenedor principal del dispositivo. Cuando se desbloquea ese contenedor, las aplicaciones (y, por consiguiente, el usuario) pueden usar cualquier clave IDP que resida dentro del contenedor.
Estas claves se usan para firmar las solicitudes que se envían al IDP, solicitando acceso a los recursos especificados. Es importante comprender que aunque las claves se desbloquean, las aplicaciones no pueden usarlas a voluntad. Las aplicaciones pueden usar API específicas para solicitar operaciones que requieren el material de clave para acciones concretas (por ejemplo, descifrar un mensaje de correo electrónico o iniciar sesión en un sitio web). El acceso a través de estas API no requiere validación explícita mediante un gesto de usuario y el material de clave no se expone a la aplicación solicitante. En cambio, la aplicación solicita la autenticación, el cifrado o el descifrado, y el nivel de Microsoft Passport controla el trabajo real y devuelve los resultados. Cuando corresponda, una aplicación puede solicitar una autenticación forzada incluso en un dispositivo desbloqueado. Windows pide al usuario que vuelva a escribir el PIN o a realizar un gesto de autenticación, lo que agrega un nivel adicional de protección de datos o acciones confidenciales. Por ejemplo, se puede configurar la Tienda Windows para requerir una nueva autenticación cada vez que un usuario compre una aplicación, incluso si la misma cuenta y PIN o gesto ya se usaron para desbloquear el dispositivo.
El proceso de autenticación real funciona del modo siguiente:
El cliente envía una solicitud de autenticación vacía al IDP. (Esto es simplemente para el proceso de protocolo de enlace).
El IDP devuelve un desafío, conocido como un nonce.
El dispositivo inicia el nonce con la clave privada adecuada.
El dispositivo devuelve el nonce original, el nonce firmado y el identificador de la clave que se usa para firmar el nonce.
El IDP recupera la clave pública que el identificador de clave especifica, la usa para comprobar la firma del nonce y comprueba que el nonce que el dispositivo devolvió coincide con el original.
Si se superan correctamente todas las comprobaciones del paso 5, el IDP devuelve dos elementos de datos: una clave simétrica, que se cifra con la clave pública del dispositivo, y un token de seguridad, que se cifra con la clave simétrica.
El dispositivo usa su clave privada para descifrar la clave simétrica y luego usa esa clave simétrica para descifrar el token.
El dispositivo realiza una solicitud de autenticación normal para el recurso original y presenta el token del IDP como su prueba de autenticación.
Cuando el IDP valida la firma, comprueba que la solicitud proviene del dispositivo y usuario especificados. La clave privada específica del dispositivo firma el nonce, lo que permite al IDP determinar la identidad del usuario y dispositivo solicitantes para que pueda aplicar directivas de acceso a contenido basadas en el usuario, tipo de dispositivo o ambas cosas. Por ejemplo, un IDP podría permitir el acceso a un conjunto de recursos solo desde dispositivos móviles y un conjunto diferente desde dispositivos de escritorio.
El desbloqueo remoto, que está previsto para una versión futura de Windows 10, se basa en estos escenarios al habilitar la autenticación remota sin problemas desde un dispositivo móvil como un segundo factor. Por ejemplo, supongamos que estás visitando otra oficina de tu empresa y necesitas pedir prestado un PC, pero no quieres exponer las credenciales a la captura. En lugar de escribir tus credenciales, puedes hacer clic en Otro usuario en la pantalla de inicio de sesión de Windows 10, escribir tu nombre de usuario, elegir el icono para la autenticación remota y usar una aplicación en el teléfono, que ya desbloqueaste con sus sensores integrados de reconocimiento del rostro. El teléfono y el PC están emparejados e intercambia el protocolo de enlace a través de Bluetooth, escribes el PIN de autenticación en el teléfono y el PC obtiene del IDP la confirmación de tu identidad. Todo esto sucede sin escribir ninguna contraseña en ningún lugar, y sin escribir tu PIN en el PC.
Infraestructura
Microsoft Passport depende de tener a su disposición IDP compatibles. En el momento de la redacción de este documento, eso significa que hay cuatro posibilidades de implementación:
Usar una PKI existente basada en Windows que se centra en los Servicios de certificados de Active Directory. Esta opción requiere infraestructura adicional, tal como una forma de emitir certificados a los dispositivos. Se puede usar NDES para registrar dispositivos directamente, Microsoft System Center Configuration Manager Technical Preview o una versión posterior para entornos locales o Microsoft Intune allí donde esté disponible para administrar la participación de dispositivos móviles en Microsoft Passport.
También se pueden configurar controladores de dominio de Windows Server 2016 Technical Preview para que actúen como IDP para Microsoft Passport. En este modo, los controladores de dominio de Windows Server 2016 Technical Preview actúan como IDP junto con cualquier controlador de dominio de Windows Server 2008 R2 o posterior. No hay ningún requisito para reemplazar todos los controladores de dominio existentes, simplemente para introducir al menos un controlador de dominio de Windows Server 2016 Technical Preview por sitio de Active Directory y actualizar el esquema del bosque de AD DS (Servicios de dominio de Active Directory) para Windows Server 2016 Technical Preview.
El mecanismo de detección normal que los clientes usan para buscar controladores de dominio y catálogos globales se basa en los registros SRV del sistema de nombres de dominio (DNS), pero los registros no contienen datos de la versión. Los PC Windows 10 consultarán DNS en busca de registros SRV para encontrar todos los servidores de Active Directory disponibles y luego consultarán cada servidor para identificar aquellos que pueden actuar como IDP de Microsoft Passport. El número de solicitudes de autenticación que generan los usuarios, la ubicación de los usuarios y el diseño de la red son todos elementos que determinarán el número de controladores de dominio de Windows Server 2016 Technical Preview necesarios.
Azure AD puede actuar como IDP por sí solo o junto con un bosque de AD DS local. Las organizaciones que usan Azure AD pueden registrar dispositivos directamente sin tener que unirlos a un dominio local a través de las funcionalidades que proporciona el Servicio de registro de dispositivos de Azure AD.
Además del IDP, Microsoft Passport requiere un sistema MDM. Este sistema puede ser el sistema Intune basado en la nube si usas Azure AD, o bien una implementación local de System Center Configuration Manager que cumple los requisitos del sistema que se describen en la sección Requisitos de implementación de este documento.
Diseñar una implementación de Microsoft Passport para el trabajo
Microsoft Passport para el trabajo está diseñado para integrarse en la infraestructura de directorios e implementaciones de dispositivo existentes y futuras, pero esta flexibilidad significa que hay muchas cosas que se deben tener en cuenta a la hora de diseñar la implementación. Algunas de estas decisiones son técnicas, mientras que otras son organizativas o incluso políticas. En esta sección, analizaremos los puntos clave donde hay que tomar decisiones sobre cómo implementar Microsoft Passport para el trabajo. Recuerda que los dispositivos individuales pueden usar la versión individual de Microsoft Passport sin que tengas que hacer ningún cambio en la infraestructura. Microsoft Passport para el trabajo te permite controlar y administrar de forma centralizada la autenticación de usuarios y el registro de dispositivos. Para usar la versión inicial de Microsoft Passport para el trabajo, cada dispositivo debe tener una identidad de Azure AD, por lo que el registro automático de dispositivos proporciona un medio para registrar los nuevos dispositivos y aplicar directivas opcionales con el fin de administrar Microsoft Passport para el trabajo.
Una estrategia de implementación
Diferentes organizaciones necesariamente aplicarán métodos distintos para la implementación de Microsoft Passport en función de sus necesidades y capacidades,. Sin embargo, la estrategia es única: implementar Microsoft Passport para el trabajo en toda la organización con el fin de obtener la máxima protección para el número máximo de recursos y dispositivos. Las organizaciones pueden tomar una de tres rutas básicas para realizar esa estrategia:
Implementar Microsoft Passport para el trabajo en todo lugar según la estrategia de implementación de dispositivos o usuarios que mejor funcione para la organización.
Implementar Microsoft Passport para el trabajo primero en destinos de gran valor o riesgo elevado, usando directivas de acceso condicional para restringir el acceso a recursos clave solamente a los usuarios que posean credenciales de autenticación sólida.
Combinar Microsoft Passport para el trabajo en un entorno de varios factores existente, usándolo como una manera adicional de autenticación sólida junto con tarjetas inteligentes físicas o virtuales.
Implementar Microsoft Passport para el trabajo en todo lugar
En este método, Microsoft Passport se implementa en toda la organización en una implementación coordinada. En cierta medida, este método es similar a cualquier otro proyecto de implementación de escritorios. La única diferencia es que la infraestructura de Microsoft Passport ya debe estar implementada para admitir el registro de dispositivos antes de poder empezar a usar Microsoft Passport en dispositivos Windows 10.
Nota
Aún puedes actualizar a Windows 10 o agregar nuevos dispositivos Windows 10 sin cambiar la infraestructura. Simplemente no puedes usar Microsoft Passport for Work en un dispositivo hasta que este se una a Azure AD y reciba la directiva apropiada.
La principal ventaja de este método es que proporciona protección uniforme para todas las partes de la organización. Los atacantes sofisticados han sido muy habilidosos a la hora de infringir organizaciones de gran tamaño al identificar los puntos débiles en su seguridad, como por ejemplo, usuarios y sistemas que no tienen información de gran valor, pero que se pueden aprovechar para obtenerla. Aplicar una protección coherente en todos los dispositivos que un atacante podría usar para acceder a datos de la empresa es una excelente protección contra estos tipos de ataques.
La desventaja de este enfoque es su complejidad. Es posible que las organizaciones pequeñas consideren que la administración de la implementación de un nuevo sistema operativo en todos los dispositivos esté fuera del alcance de su experiencia y capacidad. Para estas organizaciones, los usuarios pueden actualizar ellos mismos y los nuevos usuarios dispondrán de Windows 10 porque reciben nuevos dispositivos cuando se unen a la empresa. Las organizaciones de gran tamaño, en especial aquellas que son muy descentralizadas o tienen operaciones en muchos sitios físicos, podrían disponer de más conocimientos y recursos para la implementación, pero tienen el desafío de tener que coordinar los esfuerzos de implementación en una base de usuarios y superficie más grandes.
Para obtener más información sobre la implementación de escritorio de Windows 10, visita el TechCenter de Windows 10.
Un aspecto clave de esta estrategia de implementación es cómo poner Windows 10 en las manos de los usuarios. Dado que las distintas organizaciones tienen estrategias totalmente diferentes para actualizar el hardware y el software, no podemos hablar de una única estrategia. Por ejemplo, algunas organizaciones siguen una estrategia coordinada en la que cada dos o tres años proporcionan a los usuarios sistemas operativos de escritorio nuevos en hardware existente y los complementan con nuevo hardware únicamente en el lugar y en el momento necesarios. Otros usuarios tienden a reemplazar el hardware y a implementar cualquier versión de sistema operativo de cliente Windows que incluyan los dispositivos comprados. En ambos casos, existen ciclos de implementación que suelen ser independientes para servidores y sistemas operativos de servidor, y los ciclos de servidor y escritorio pueden estar coordinados o no.
Además del problema de la implementación de Windows 10 para los usuarios, debes tener en cuenta la manera y el momento en que (o si) implementarás dispositivos biométricos para los usuarios. Dado que Windows Hello puede aprovechar varios identificadores biométricos, tienes una gama flexible de opciones de dispositivo, la cual incluye la compra de dispositivos nuevos que incorporan las biométricas seleccionadas, la propagación de dispositivos adecuados para determinados usuarios, la implementación de dispositivos biométricos como parte de una actualización de hardware programada y el uso de gestos de PIN hasta que los usuarios obtienen dispositivos, o bien, el uso del desbloqueo remoto como segundo factor de autenticación.
Implementar destinos con un valor o riesgo elevados
Esta estrategia tiene en cuenta el hecho de que en la mayoría de las redes no cada activo se protege de la misma forma o tiene el mismo valor. Esto se puede planear de dos maneras. Una es que puedes centrarte en proteger a los usuarios y los servicios que tienen mayor riesgo de peligro debido a su valor. Algunos ejemplos son las bases de datos internas confidenciales o las cuentas de usuario de los ejecutivos clave. La otra opción es que puedes centrarte en las áreas de la red que son más vulnerables, como los usuarios que viajan con mucha frecuencia (y, por consiguiente, corren un mayor riesgo de perder dispositivos o de que se los roben, o de sufrir un robo de credenciales oculto). En cualquier caso, la estrategia es la misma: implementar rápidamente y de forma selectiva Microsoft Passport para proteger los recursos y personas concretas. Por ejemplo, es posible que distribuyas nuevos dispositivos Windows 10 con sensores biométricos a todos los usuarios que necesitan acceder a una base de datos interna confidencial y que, a continuación, implementes la infraestructura mínima necesaria para admitir el acceso seguro de Microsoft Passport a esa base de datos para estos usuarios.
Una de las funciones clave de diseño de Microsoft Passport for Work es que admite entornos Bring Your Own Device (BYOD) al permitir que los usuarios registren sus propios dispositivos con el IDP de la organización (ya sea local, híbrido o de Azure AD). Es posible que puedas sacar provecho de esta funcionalidad para implementar rápidamente Microsoft Passport con el fin de proteger a los usuarios o activos más vulnerables, idealmente mediante la biométrica como una medida de seguridad adicional para los posibles destinos más valiosos.
Combinar Microsoft Passport con la infraestructura
Las organizaciones que ya han invertido en tarjetas inteligentes, tarjetas inteligentes virtuales o sistemas basados en token también pueden beneficiarse de Microsoft Passport. Muchas de estas organizaciones usan tarjetas inteligentes y tokens físicos para proteger solo los activos críticos debido a los gastos y la complejidad que conlleva la implementación. Microsoft Passport ofrece un complemento valioso para estos sistemas porque protege a los usuarios que actualmente usan credenciales reutilizables; la protección de todas las credenciales de los usuarios representa un gran paso adelante para mitigar los ataques que tratan de aprovecharse del riesgo de las credenciales para cometer una infracción generalizada. Este enfoque también te ofrece una gran flexibilidad en la programación y la implementación.
Algunas empresas han implementado tarjetas inteligentes de varios usos que proporcionan control de acceso a los edificios, acceso a las fotocopiadoras o a otros equipos de la oficina, valor almacenado para las compras en el comedor, acceso a la red remota y otros servicios. La implementación de Microsoft Passport en estos entornos no impide que puedas seguir usando las tarjetas inteligentes para estos servicios. Puedes conservar la infraestructura de tarjetas inteligentes existentes para los casos de uso existentes y, a continuación, registrar los dispositivos móviles y de escritorio en Microsoft Passport y usar Microsoft Passport para acceder de forma segura a la red y a los recursos de Internet. Este enfoque requiere una infraestructura más complicada y un mayor grado de desarrollo de la organización porque es necesario vincular el PKI existente con un servicio de inscripción y Microsoft Passport en sí.
Las tarjetas inteligentes pueden actuar como un complemento útil de Microsoft Passport en otro aspecto importante: arrancar el inicio de sesión inicial para el registro de Microsoft Passport. Cuando un usuario se registra en Microsoft Passport con un dispositivo, una parte de ese proceso de registro requiere un inicio de sesión convencional. En lugar de usar una contraseña tradicional, las organizaciones que han implementado previamente la infraestructura necesaria para tarjetas inteligentes o tarjetas inteligentes virtuales pueden permitir que los usuarios registren los nuevos dispositivos iniciando sesión con una tarjeta inteligente o una tarjeta inteligente virtual. Una vez el usuario verifica su identidad en el IPD de la organización con la tarjeta inteligente, puede configurar un PIN y continuar usando Microsoft Passport para los siguientes inicios de sesión.
Elegir un método de implementación
El método de implementación que eliges depende de varios factores:
La cantidad de dispositivos que debes implementar. Este número tiene una enorme influencia en la implementación general. Una implementación global para 75 000 usuarios tiene distintos requisitos que una implementación en fases para grupos de entre 200 y 300 usuarios en diferentes ciudades.
La rapidez en la que quieres implementar la protección de Microsoft Passport for Work. Se trata de un equilibrio clásico de costo-beneficio. Hay que equilibrar las ventajas de seguridad de Microsoft Passport for Work con el costo y el tiempo necesarios para implementarlo de forma general, y es posible que las distintas organizaciones tomen decisiones totalmente diferentes en función de cómo clasifican los costos y los beneficios que esto supone. La obtención de la mayor cobertura posible de Microsoft Passport en el menor plazo posible maximiza las ventajas de seguridad.
El tipo de dispositivos que quieres implementar. Los fabricantes de dispositivos Windows presentan de forma deliberada nuevos dispositivos optimizados para Windows 10, lo que te permite implementar Microsoft Passport primero en tabletas y dispositivos portátiles recién comprados y luego en equipos de escritorio como parte del ciclo de actualización normal.
El aspecto actual de tu infraestructura. Con la versión individual de Microsoft Passport no es necesario que realices cambios en el entorno de Active Directory, sin embargo, para admitir Microsoft Passport for Work, puede que necesites un sistema MDM compatible. En función del tamaño y la composición de la red, la implementación de los servicios de administración y de inscripción móvil puede ser un proyecto importante por sí mismo.
Tus planes para la nube. Si ya tienes previsto un desplazamiento a la nube, Azure AD simplifica el proceso de implementación de Microsoft Passport for Work, porque puedes usar Azure AD como un IDP junto con la configuración de AD DS local existente sin realizar cambios significativos en el entorno local. Las versiones futuras de Microsoft Passport for Work admitirán la capacidad de registrar simultáneamente dispositivos que ya son miembros de un dominio de AD DS local en una partición de Azure AD para que usen Microsoft Passport for Work desde la nube. Las implementaciones híbridas que combinan AD DS con Azure AD te permiten mantener la autenticación del equipo y la administración de directivas en tu dominio de AD DS local a la vez que proporcionan el conjunto completo de servicios de Microsoft Passport for Work (y la integración de Microsoft Office 365) para los usuarios. Si tienes pensado usar solo AD DS local, el diseño y la configuración de tu entorno local determinarán el tipo de cambios que debes realizar.
Requisitos de implementación
En la tabla 1 se muestran seis escenarios de implementación de Microsoft Passport for Work en la empresa. La versión inicial de Windows 10 solo admite escenarios de AD Azure, pero tiene la compatibilidad con Microsoft Passport for Work local planeada para una versión posterior de 2015 (consulta la Guía básica para obtener más detalles).
Según el escenario que elijas, la implementación de Microsoft Passport for Work puede requerir cuatro elementos:
Un IDP de la organización que admita Microsoft Passport. Puede ser Azure AD o un conjunto de controladores de dominio locales de Windows Server 2016 Technical Preview en un bosque de AD DS existente. Con Azure AD puedes establecer una administración de identidades híbrida, en la que Azure AD actúe como un IDP de Microsoft Passport y el entorno de AD DS local controle las solicitudes de autenticación más antiguas. Este enfoque proporciona toda la flexibilidad de Azure AD con la capacidad de administrar cuentas del equipo, dispositivos que ejecutan versiones anteriores de Windows y aplicaciones locales como, por ejemplo, Microsoft Exchange Server o Microsoft SharePoint.
Si usas certificados, un sistema MDM debe permitir la administración de directivas de Microsoft Passport for Work. Los dispositivos unidos a un dominio en implementaciones locales o híbridas necesitan Configuration Manager Technical Preview o posterior. Las implementaciones con Azure AD deben usar Intune o una solución de MDM compatible que no sea de Microsoft.
Las implementaciones locales requieren la próxima versión de los Servicios de federación de Active Directory (AD FS) incluida en Windows Server 2016 Technical Preview para admitir el aprovisionamiento de credenciales de Microsoft Passport para dispositivos. En este escenario, AD FS toma el lugar del aprovisionamiento que realiza Azure AD en las implementaciones basadas en la nube.
Las implementaciones de Microsoft Passport basadas en certificados requieren un PKI, así como CA que sean accesibles para todos los dispositivos que se deben registrar. Si implementas Microsoft Passport basado en certificados a nivel local, realmente no necesitas los controladores de dominio de Windows Server 2016 Technical Preview. Las implementaciones locales deben aplicar el esquema de AD DS de Windows Server 2016 Technical Preview y tener la versión de Windows Server 2016 Technical Preview de AD FS instalada.
Tabla 1. Requisitos de implementación para Microsoft Passport
Método Microsoft Passport | Azure AD | Active Directory híbrido | Solo Active Directory local |
---|---|---|---|
Basado en teclas | Suscripción a Azure AD |
|
Uno o varios controladores de dominio de Windows Server 2016 Technical Preview AD FS de Windows Server 2016 Technical Preview |
Basado en certificados | Suscripción a Azure AD Infraestructura de PKI Intune |
|
Esquema de Windows Server 2016 Technical Preview de AD DS AD FS de Windows Server 2016 Technical Preview Infraestructura de PKI System Center 2012 R2 Configuration Manager con SP2 o posterior |
Ten en cuenta que la versión actual de Windows 10 solo admite los escenarios de AD Azure. Microsoft proporciona las instrucciones futuras en la tabla 1 para ayudar a las organizaciones a preparar sus entornos para las siguientes versiones previstas de las funcionalidades de Microsoft Passport.
Seleccionar configuración de directivas
Otro aspecto clave de la implementación de Microsoft Passport for Work es la elección de la configuración de directivas que se debe aplicar a la empresa. Esta elección consta de dos partes: las directivas que implementas para administrar Microsoft Passport en sí y las directivas que implementas para controlar el registro y la administración de dispositivos. Una guía completa para seleccionar las directivas eficaces queda fuera del ámbito de esta guía, sin embargo, puedes encontrar una referencia de ejemplo útil en Capacidades de administración de dispositivos móviles en Microsoft Intune.
Implementar Microsoft Passport
No es necesario realizar ninguna configuración para usar Windows Hello o Microsoft Passport en dispositivos de usuarios individuales si los usuarios simplemente quieren proteger sus credenciales personales. A menos que la empresa inhabilite la característica, los usuarios tienen la opción de usar Microsoft Passport para sus credenciales personales, incluso en los dispositivos que se registran con un IDP de la organización. Sin embargo, cuando pongas Microsoft Passport for Work a disposición de los usuarios, debes agregar los componentes necesarios a tu infraestructura, como se ha descrito anteriormente en la sección Requisitos de implementación.
Cómo usar Azure AD
Existen tres escenarios para usar Microsoft Passport for Work en organizaciones que solo hay AD Azure:
Organizaciones que usan la versión de Azure AD incluida con Office 365. Estas organizaciones no deben realizar ninguna acción adicional. Cuando Windows 10 se lanzó para la disponibilidad general, Microsoft cambió el comportamiento de la pila de Azure AD de Office 365. Cuando un usuario selecciona la opción para unirse a una red profesional o educativa (figura 4), el dispositivo se une automáticamente a la partición de directorio del inquilino de Office 365, se emite un certificado para el dispositivo y este pasa ser apto para MDM de Office 365 si el inquilino se ha suscrito a esa característica. Además, se pide al usuario que inicie sesión y, si MFA está habilitado, el usuario debe introducir una prueba de MFA que Azure AD envía a su teléfono.
Organizaciones que usan el nivel gratuito de Azure AD. Para estas organizaciones, Microsoft no ha habilitado la unión automática al dominio de Azure AD. Las organizaciones que se hayan registrado para el nivel gratuito tienen la opción de habilitar o deshabilitar esta característica, de manera que la unión automática al dominio no se habilitará a menos que o hasta que los administradores de la organización la habiliten. Cuando se habilite esa característica, los dispositivos que se unan al dominio de Azure AD mediante el cuadro de diálogo Conectarse a la red del trabajo o colegio que se muestra en la figura 4 se registrarán automáticamente en la compatibilidad de Microsoft Passport for Work, sin embargo, los dispositivos que ya se hayan unido anteriormente no se registrarán.
Las organizaciones que se han suscrito a Azure AD Premium tienen acceso a todo el conjunto de características de MDM de Azure AD. Estas características incluyen controles para administrar Microsoft Passport for Work. Puedes establecer directivas para deshabilitar o forzar el uso de Microsoft Passport for Work, requerir el uso de un TPM y controlar la longitud y la intensidad de los PIN establecidos en el dispositivo.
Figura 4: si te unes una organización de Office 365, el dispositivo se registra automáticamente en Azure AD
Habilitar registro de dispositivos
Si quieres usar Microsoft Passport for Work con certificados, necesitaras un sistema de registro de dispositivos. Esto significa que debes instalar Configuration Manager Technical Preview, Intune o un sistema MDM compatible que no sea de Microsoft y habilitarlo para que inscriba dispositivos. Este es un requisito previo para usar Microsoft Passport for Work con certificados, independientemente del IDP, porque el sistema de inscripción es responsable de aprovisionar los certificados necesarios a los dispositivos.
Establecer directivas de Microsoft Passport
A partir de la versión inicial de Windows 10, puedes controlar la siguiente configuración para usar Microsoft Passport for Work:
Puedes requerir que Microsoft Passport solo esté disponible en dispositivos que tengan hardware de seguridad TPM, lo que significa que el dispositivo usa TPM 1.2 o TPM 2.0.
Puedes habilitar Microsoft Passport con una opción preferida de hardware, lo que significa que se generarán claves en TPM 1.2 o TPM 2.0 cuando esté disponible y por software cuando el TPM no esté disponible.
Puedes configurar si Microsoft Passport basado en certificados debe estar disponible para los usuarios. Puedes hacerlo como parte del proceso de implementación de dispositivos, pero no a través de una directiva aplicada por separado.
Puedes definir la complejidad y la longitud del PIN que generan los usuarios en el registro.
Puedes controlar si el uso de Windows Hello está habilitado en la organización.
Esta configuración se puede implementar a través de los GPO o los proveedores de servicios de configuración (CSP) en los sistemas MDM, de modo que tengas un conjunto de herramientas familiar y flexible que puedas usar para aplicarlo exactamente a los usuarios que quieras. (Para obtener más información acerca del CSP de Microsoft Passport for Work, consulta PassportForWork CSP).
Guía básica
La velocidad en qué evolucionan los servicios y las aplicaciones universales de Windows significa que el ciclo tradicional que va del diseño, la compilación y las pruebas hasta el lanzamiento es demasiado lento para satisfacer las necesidades de los clientes. Como parte de la versión de Windows 10, Microsoft está cambiando la forma en que ingenia, prueba y distribuye Windows. En lugar de lanzar versiones grandes y monolíticas cada 3 o 5 años, el equipo de ingeniería de Windows se compromete a lanzar versiones más pequeñas más a menudo con el fin de incorporar nuevas características y servicios en el mercado más rápidamente sin sacrificar la facilidad de uso, la calidad o la seguridad. Este modelo ha funcionado correctamente en Office 365 y el ecosistema de Xbox.
En la versión inicial de Windows 10, Microsoft admite las siguientes características de Microsoft Passport y Windows Hello:
Autenticación biométrica, con lectores de huellas digitales que usan el marco del lector de huellas digitales de Windows
Funcionalidad de reconocimiento facial en dispositivos que tienen cámaras compatibles con infrarrojos
Microsoft Passport para credenciales personales en dispositivos personales o administrados por la empresa.
Compatibilidad con Microsoft Passport for Work para organizaciones que solo tienen implementaciones de Azure AD en la nube
Configuración de directivas de grupo para controlar la longitud y la complejidad del PIN de Microsoft Passport
En futuras versiones de Windows 10, tenemos previsto agregar compatibilidad con características adicionales:
Tipos de identificadores biométricos adicionales, como el reconocimiento de iris
Credenciales de Microsoft Passport for Work basadas en teclas para implementaciones de Azure AD locales e implementaciones de Azure AD locales o híbridas
Certificados de Microsoft Passport for Work emitidos por un PKI confianza, así como certificados de tarjetas inteligentes y de tarjetas inteligentes virtuales
Atestación del TPM para proteger claves de modo que un usuario o programa malintencionados no puedan crear claves de software (porque TPM no atestará estas claves y, por lo tanto, se podrán identificar como falsas)
A largo plazo, Microsoft seguirá mejorando y ampliando las características de Microsoft Passport y Windows Hello con el fin de cubrir las necesidades adicionales del cliente para la seguridad y la manejabilidad. También estamos trabajando con FIDO Alliance y muchos otros terceros para promover la adopción de Microsoft Passport por parte de desarrolladores de aplicaciones de LOB y web.