Elección de la solución de credenciales sin contraseña adecuada para la implementación de Windows 365

Información general

Las contraseñas son un objetivo común para los ciberataques. Confiar solo en nombres de usuario y contraseñas no es seguro para ninguna organización. Aunque la autenticación multifactor (MFA) puede bloquear más del 99,2 % de los ataques, MFA no es inmune a la suplantación de identidad (phishing) u otras amenazas avanzadas. Pasar a la autenticación sin contraseña fortalece la posición de seguridad y mejora la experiencia del usuario, lo que facilita y hace que la autenticación segura sea más sencilla y atractiva.

Ventajas de la autenticación sin contraseña

La autenticación sin contraseña ofrece varias ventajas sobre los sistemas tradicionales basados en contraseñas:

  • Superficie de ataque reducida: Elimina los riesgos de robo de contraseñas, reutilización, suplantación de identidad (phishing) y ataques por fuerza bruta.
  • Experiencia de usuario mejorada: Los usuarios no necesitan recordar contraseñas complejas ni administrar restablecimientos frecuentes. La autenticación es más rápida y menos propensa a errores.
  • Posición de seguridad más fuerte: Los métodos modernos sin contraseña usan claves criptográficas, biometría y credenciales enlazadas a dispositivos, que son más seguras que las contraseñas.
  • Acceso simplificado: Los usuarios pueden acceder de forma segura a los recursos corporativos desde varios dispositivos, lo que admite directivas de seguridad de la organización.

Descripción de los escenarios de usuario

La selección de la solución sin contraseña adecuada requiere comprender cómo acceden los usuarios a los recursos corporativos, dónde funcionan y cómo se almacenan las credenciales. Se recomienda ofrecer varias opciones de autenticación sólidas para satisfacer diversas necesidades. En esta guía se usan tres personas representativas:

Persona 1: Representante de ventas móviles

  • Viaja con frecuencia y visita a los clientes.
  • Usa un equipo portátil Windows 11 proporcionado por el trabajo como dispositivo principal.
  • En ocasiones, usa un iPad personal y un dispositivo de Windows 365 Link en escritorios de oficina compartidos.

Persona 2: Asociado del centro de llamadas

  • Funciona desde una sola ubicación de oficina mediante una estación de trabajo dedicada.
  • Accede a los recursos corporativos a través de Windows 365 Boot to Cloud.
  • La organización prefiere no emitir hardware adicional y no aplica MFA en dispositivos personales.

Persona 3: Operador de planta de fábrica

  • Usa sistemas de TI con poca frecuencia, principalmente para tareas de RR. HH.
  • Accede a los recursos desde un quiosco en la oficina o de forma remota desde casa.

Opciones de autenticación sin contraseña

Hay varias opciones sin contraseña, cada una con ventajas y desventajas únicas en portabilidad, facilidad de uso y seguridad.

Device-Linked opciones sin contraseña

Para los usuarios con dispositivos dedicados, estas soluciones vinculan las credenciales a sistemas Windows o macOS específicos.

Windows Hello para empresas

Windows Hello para empresas es la solución sin contraseña de dispositivo dedicada de Microsoft.

  • Proporciona una autenticación segura y resistente a la suplantación de identidad para Windows 10 y 11.
  • Las credenciales se protegen dentro del módulo de plataforma segura (TPM) del dispositivo.
  • Los usuarios se autentican con biometría (reconocimiento facial, huella digital) o un PIN, que nunca sale del dispositivo.
  • Limitación: Las credenciales son específicas del dispositivo. La instalación es necesaria en cada dispositivo y la inscripción puede requerir una credencial portátil (como MFA móvil, token FIDO2 o pase de acceso temporal).

Credencial de plataforma para macOS

La credencial de plataforma para macOS ofrece una experiencia de usuario similar para los usuarios de Mac, como Windows Hello hace en un equipo Windows.

  • Ofrece una experiencia similar a Windows Hello para empresas para usuarios de Mac.
  • Usa una clave criptográfica enlazada a hardware para el inicio de sesión único (SSO) entre aplicaciones mediante Microsoft Entra id.
  • Requiere la inscripción de dispositivos con un proveedor de administración de dispositivos móviles (MDM) y el registro con Entra ID.
  • Limitación: Las credenciales también son específicas del dispositivo.

Opciones sin contraseña móvil

Las soluciones móviles abordan la limitación de las credenciales enlazadas a dispositivos habilitando la autenticación en varios dispositivos o compartidos.

Sign-In de teléfono (Microsoft Authenticator)

  • Permite el inicio de sesión sin contraseña mediante notificaciones de Entra ID.
  • Conveniente y fácil de implementar, pero no se considera resistente a phishing.
  • Nota: No hay ninguna conexión directa entre el dispositivo móvil y el dispositivo que se está autenticando.

Claves de paso y claves FIDO2

Las claves de acceso son credenciales modernas y resistentes a la suplantación de identidad basadas en estándares FIDO. Pueden ser basadas en hardware (claves de seguridad FIDO2) o basadas en software (almacenadas en un teléfono o PC).

  • Claves de seguridad FIDO2: Dispositivos físicos que proporcionan una autenticación sólida y resistente a la suplantación de identidad . Admiten conexiones USB, NFC y Bluetooth.
  • Claves de paso de software: Almacenado en un dispositivo y emparejado con el dispositivo de autenticación, a menudo a través de Bluetooth.
  • Claves de paso de Microsoft Authenticator: Entra ID passkeys se pueden almacenar en dispositivos iOS y Android, lo que permite una experiencia sin contraseña y resistente a la suplantación de identidad (phishing).

Métodos de conexión:

  • USB A/USB C: Conexión directa, portátil, pero se puede perder.
  • NFC: Basado en contactos, a menudo integrado con distintivos de empleado.
  • Bluetooth: Habilita la autenticación a distancia, pero requiere carga.

Segundo factor: Las claves FIDO requieren un PIN o biométrico para desbloquear.

Recomendaciones por persona

Persona 1: Representante de ventas móviles

  • Principal: Windows Hello para empresas en el equipo de Windows 11 dedicado para un acceso rápido y seguro.
  • Secundario: Credenciales móviles (por ejemplo, Microsoft Authenticator) para flexibilidad.
  • Dispositivos compartidos o personales: Tecla de seguridad FIDO2 para facilitar el acceso en dispositivos Windows 365 Link y iPad personal.

Persona 2: Asociado del centro de llamadas

  • Principal: Windows Hello para empresas en el equipo de oficina dedicado.
  • Secundario: Clave de seguridad FIDO2 habilitada para NFC integrada con el distintivo de acceso del empleado para su uso en otros dispositivos.

Persona 3: Operador de planta de fábrica

  • Primario: Passkey a través de Microsoft Authenticator para un acceso seguro entre dispositivos.
  • Alternativo: Clave FIDO2 biométrica para entornos en los que no se permiten dispositivos móviles.

Conclusión

Una implementación sin contraseña correcta requiere comprender las necesidades únicas de cada persona de usuario. Al combinar Windows Hello para empresas, claves de seguridad FIDO2 y claves de paso a través de Microsoft Authenticator, las organizaciones pueden ofrecer una seguridad sólida y una experiencia de usuario sin problemas. Al ofrecer varias opciones de autenticación, se maximiza la flexibilidad y la productividad, a la vez que se mantienen altos estándares de seguridad.

Para ofrecer una excelente experiencia de usuario, debemos tener en cuenta las distintas necesidades y entornos de trabajo de cada persona de usuario. Al implementar una combinación de Windows Hello para empresas, claves FIDO2 de varios tipos y claves de paso a través de Microsoft Authenticator, garantizamos una seguridad sólida y una experiencia de usuario sin problemas. Este enfoque por capas no solo mejora la posición de seguridad, sino que también maximiza la flexibilidad y la comodidad, con escenarios que abarcan desde el trabajo basado en la oficina hasta entornos móviles o altamente seguros. En última instancia, proporcionar varias opciones de autenticación permite a los usuarios seguir siendo productivos y mantener altos estándares de seguridad, independientemente de su rol o ubicación.

  • Last updated on