Introducción a la estrategia sin contraseña
En este artículo se describe la estrategia sin contraseña de Microsoft y cómo las características de seguridad de Windows ayudan a implementarla.
Cuatro pasos para la libertad de contraseña
Microsoft está trabajando duro para crear un mundo en el que las contraseñas ya no sean necesarias. Así es como Microsoft prevé el enfoque de cuatro pasos para poner fin a la era de las contraseñas para las organizaciones:
Implementación de una opción de reemplazo de contraseña
Antes de alejarse de las contraseñas, necesita algo para reemplazarlas. las claves de seguridad Windows Hello para empresas y FIDO2 ofrecen una credencial segura en dos fases protegida por hardware que permite el inicio de sesión único en Microsoft Entra ID y Active Directory.
Implementar claves de seguridad Windows Hello para empresas o FIDO2 es el primer paso hacia un entorno sin contraseña. Es probable que los usuarios usen estas características debido a su comodidad, especialmente cuando se combinan con biometría. Sin embargo, es posible que algunos flujos de trabajo y aplicaciones sigan necesitando contraseñas. En esta fase temprana se trata de implementar una solución alternativa a las contraseñas y de que los usuarios se acostumbren a ella.
Reducir el área de superficie de contraseña visible por el usuario
Con una opción de reemplazo de contraseña y contraseñas coexisten en el entorno, el siguiente paso es reducir el área de superficie de contraseña. El entorno y los flujos de trabajo deben dejar de pedir contraseñas. El objetivo de este paso es lograr un estado en el que los usuarios sepan que tienen una contraseña, pero nunca la usan. Este estado ayuda a desacondicionar a los usuarios para que no proporcionen una contraseña cada vez que se muestre una solicitud de contraseña en su equipo. Este comportamiento es cómo se suplantan las contraseñas. Es poco probable que los usuarios que rara vez, si en absoluto usan su contraseña, la proporcionen. Las solicitudes de contraseña ya no son la norma.
Transición a una implementación sin contraseña
Una vez eliminada la superficie de contraseña visible por el usuario, la organización puede empezar a realizar la transición de los usuarios a un entorno sin contraseña. En esta fase, los usuarios nunca escriben, cambian o incluso conocen su contraseña.
El usuario inicia sesión en Windows con claves de seguridad Windows Hello para empresas o FIDO2 y disfruta del inicio de sesión único en Microsoft Entra ID y recursos de Active Directory. Si el usuario se ve obligado a autenticarse, su autenticación usa claves de seguridad Windows Hello para empresas o FIDO2.
Eliminación de contraseñas del directorio de identidad
El último paso del recorrido sin contraseña es donde las contraseñas no existen. En esta fase, los directorios de identidad no almacenan ninguna forma de contraseña.
Preparación para el recorrido sin contraseña
El camino a ser sin contraseña es un viaje. La duración del recorrido varía para cada organización. Es importante que los responsables de la toma de decisiones de TI comprendan los criterios que influyen en la duración de ese recorrido.
La respuesta más intuitiva es el tamaño de la organización, pero ¿qué define exactamente el tamaño? Podemos examinar estos factores para obtener un resumen del tamaño de la organización:
| Factor de tamaño | Detalles |
|---|---|
| Número de departamentos | El número de departamentos dentro de una organización varía. La mayoría de las organizaciones tienen un conjunto común de departamentos, como el liderazgo ejecutivo, los recursos humanos, la contabilidad, las ventas y el marketing. Es posible que las organizaciones pequeñas no segmenten explícitamente sus departamentos, mientras que las más grandes podrían. Además, puede haber subdepartimientos y subdepartimientos de esos subdepartimientos también. Debe conocer todos los departamentos de su organización y saber qué departamentos usan equipos y cuáles no. Está bien si un departamento no usa equipos (probablemente poco frecuentes, pero aceptables). Esta circunstancia significa que hay un departamento menos con el que debe preocuparse. No obstante, asegúrese de que este departamento está en su lista y de que no es aplicable. El recuento de los departamentos debe ser exhaustivo y preciso, así como conocer a las partes interesadas de los departamentos que le colocan a usted y a su personal en el camino hacia la libertad de contraseñas. De forma realista, muchos de nosotros perdemos de vista nuestro organigrama y cómo crece o se reduce con el tiempo. Esta realización es la razón por la que necesita hacer un inventario de todos ellos. Además, no olvide incluir departamentos externos, como proveedores o asociados federados. Si su organización no tiene contraseña, pero sus asociados siguen usando contraseñas para acceder a los recursos corporativos, debe conocerlos e incluirlos en su estrategia sin contraseña. |
| Jerarquía de organización o departamento | La jerarquía de organización y departamento son las capas de administración dentro de los departamentos o la organización en su conjunto. La forma en que se usa el dispositivo, qué aplicaciones y cómo se usan, probablemente difiere entre cada departamento, pero también dentro de la estructura del departamento. Para determinar la estrategia correcta sin contraseña, debe conocer estas diferencias en toda la organización. Es probable que un líder ejecutivo use su dispositivo de forma diferente en comparación con un miembro de la administración intermedia en el departamento de ventas. Ambos casos de usuario probablemente sean diferentes a la forma en que un colaborador individual del departamento de servicio al cliente usa su dispositivo. |
| Número y tipo de aplicaciones y servicios | La mayoría de las organizaciones tienen muchas aplicaciones y rara vez tienen una lista centralizada que sea precisa. Las aplicaciones y los servicios son los elementos más críticos de la evaluación sin contraseña. Las aplicaciones y los servicios realizan un esfuerzo considerable para pasar a un tipo diferente de autenticación. Cambiar directivas y procedimientos puede ser una tarea desalentadora. Tenga en cuenta el equilibrio entre la actualización de los procedimientos operativos estándar y las directivas de seguridad en comparación con el cambio de 100 líneas (o más) de código de autenticación en la ruta crítica de la aplicación CRM desarrollada internamente. Capturar el número de aplicaciones usadas es más fácil una vez que tenga los departamentos, su jerarquía y sus partes interesadas. En este enfoque, debe tener una lista organizada de departamentos y la jerarquía de cada uno. Ahora puede asociar las aplicaciones que usan todos los niveles de cada departamento. También desea documentar si la aplicación está desarrollada internamente o disponible comercialmente fuera de la plataforma. Si es el último, documente el fabricante y la versión. Además, no olvide las aplicaciones o servicios basados en web al inventariar aplicaciones. |
| Número de personas de trabajo | Las personas de trabajo son donde convergen los tres esfuerzos anteriores. Conoce los departamentos, los niveles organizativos de cada departamento, el número de aplicaciones que usa cada uno, respectivamente, y el tipo de aplicación. A partir de esta información, quiere crear un rol de trabajo. Un rol de trabajo clasifica una categoría de usuario, título o rol (colaborador individual, administrador, administrador intermedio, etc.), dentro de un departamento específico para una colección de aplicaciones usadas. Hay una alta probabilidad de que tenga muchas personas de trabajo. Estas personas de trabajo se convertirán en unidades de trabajo, y se refieren a ellas en la documentación y en las reuniones. Tienes que darles un nombre. Proporcione a sus personas nombres fáciles e intuitivos, como Amanda - Contabilidad, Mark - Marketing o Sue - Sales. Si los niveles de la organización son comunes entre departamentos, decida un nombre que represente los niveles comunes de un departamento. Por ejemplo, Amanda podría ser el nombre de un colaborador individual en un departamento determinado, mientras que el nombre Sue podría representar a alguien de la administración intermedia en cualquier departamento determinado. Además, puede usar sufijos (como I, II, Senior, etc.) para definir aún más la estructura departamental de un determinado personaje. En última instancia, cree una convención de nomenclatura que no requiera que las partes interesadas y los asociados lean una larga lista de tablas o un anillo descodificador secreto. Además, si es posible, intente mantener las referencias como nombres de personas. Después de todo, está hablando de una persona que está en ese departamento y que usa ese software específico. |
| Estructura de TI de la organización | Las estructuras de departamento de TI pueden variar más que la organización. Algunos departamentos de TI están centralizados, mientras que otros están descentralizados. Además, el camino hacia la libertad de contraseña probablemente le hará interactuar con el equipo de autenticación de cliente , el equipo de implementación , el equipo de seguridad , el equipo de PKI , el equipo de identidad , el equipo en la nube , etc. La mayoría de estos equipos son su partner en su viaje a la libertad de contraseña. Asegúrese de que haya una parte interesada sin contraseña en cada uno de estos equipos y de que el esfuerzo se comprenda y se financie. |
Evaluación de la organización
Ya puede entender por qué se trata de un viaje y no de una tarea rápida. Debe investigar las superficies de contraseña visibles por el usuario para cada uno de los usuarios del trabajo. Una vez que haya identificado las superficies de contraseña, debe mitigarlas. La resolución de algunas superficies de contraseñas es sencilla, lo que significa que ya existe una solución en el entorno y solo se trata de mover a los usuarios a ella. La resolución de algunas contraseñas puede existir, pero no se implementa en el entorno. Esa resolución da como resultado un proyecto que debe planearse, probarse y, a continuación, implementarse. Es probable que ese proyecto abarque varios departamentos de TI con varias personas y, potencialmente, uno o más sistemas distribuidos. Esos tipos de proyectos tardan tiempo y necesitan ciclos dedicados. Esta misma opinión es cierta con el desarrollo de software interno. Incluso con metodologías de desarrollo ágiles, es fundamental cambiar la forma en que alguien se autentica en una aplicación. Sin el planeamiento y las pruebas adecuados, tiene el potencial de afectar gravemente a la productividad.
El tiempo para completar el recorrido sin contraseña varía en función de la alineación de la organización con una estrategia sin contraseña. El acuerdo de arriba a abajo de que un entorno sin contraseña es el objetivo de la organización facilita las conversaciones. Las conversaciones más sencillas significan menos tiempo dedicado a convencer a las personas y más tiempo dedicado a avanzar hacia el objetivo. El acuerdo de nivel superior, como prioridad dentro de las filas de otros proyectos de TI en curso, ayuda a todos a comprender cómo priorizar los proyectos existentes. Acordar las prioridades debe reducir y minimizar las escalaciones de nivel ejecutivo y de administrador. Después de estas discusiones organizativas, se usan técnicas modernas de administración de proyectos para continuar con el esfuerzo sin contraseña. La organización asigna recursos en función de la prioridad (después de acordar la estrategia). Esos recursos:
- Trabajar a través de las personas de trabajo
- Organización e implementación de pruebas de aceptación de usuarios
- Evaluación de los resultados de las pruebas de aceptación del usuario para las superficies de contraseña visibles por el usuario
- Trabaje con las partes interesadas para crear soluciones que mitiguen las superficies de contraseña visibles del usuario.
- Agregar la solución al trabajo pendiente del proyecto y priorizar en otros proyectos
- Implementación de la solución
- Realizar pruebas de aceptación del usuario para confirmar que la solución mitiga la superficie de contraseña visible del usuario
- Repita las pruebas según sea necesario.
El viaje de su organización a la libertad de contraseñas puede tardar algún tiempo. Contar el número de personas de trabajo y el número de aplicaciones es un buen indicador de la inversión. Con suerte, su organización está creciendo, lo que significa que es poco probable que la lista de personas y la lista de aplicaciones se reduzcan. Si el trabajo para ir sin contraseña hoy es n, es probable que mañana no tenga contraseña n x 2 o más, n x n. No dejes que el tamaño o la duración del proyecto sean una distracción. A medida que avanza a través de cada persona de trabajo, las acciones y tareas se vuelven más familiares para usted y sus partes interesadas. Establezca el ámbito del proyecto en fases realistas y considerables, elija los roles de trabajo correctos y pronto verá que partes de su organización pasan a un estado sin contraseña.
¿Cuál es la mejor guía para iniciar el camino hacia la libertad de contraseñas? Quiere mostrar a la administración una prueba de concepto lo antes posible. Lo ideal es mostrarlo en cada paso del recorrido sin contraseña. Mantener la estrategia sin contraseña en primer lugar y mostrar un progreso coherente mantiene a todos centrados.
Persona de trabajo
Empiezas con tus personajes de trabajo. Estos fueron parte de su proceso de preparación. Tienen un nombre de persona, como Amanda - Accounting II, o cualquier otra convención de nomenclatura definida por su organización. Ese rol de trabajo incluye una lista de todas las aplicaciones que Usa Amanda para realizar sus tareas asignadas en el departamento de contabilidad. Para empezar, debe elegir un rol de trabajo. Es la persona de trabajo dirigida que habilita para completar el recorrido.
Sugerencia
Evite usar cualquier persona de trabajo del departamento de TI. Este método es probablemente la peor manera de iniciar el recorrido sin contraseña. Los roles de TI son muy difíciles y consumen mucho tiempo. Los trabajadores de TI suelen tener varias credenciales, ejecutar una gran cantidad de scripts y aplicaciones personalizadas, y son los peores infractores del uso de contraseñas. Es mejor guardar estas personas de trabajo para el medio o el final de su viaje.
Revise su colección de personas de trabajo. Al principio de su recorrido sin contraseña, identifique personas con el menor número de aplicaciones. Estas personas de trabajo podrían representar un departamento completo o dos. Estos roles son los roles de trabajo perfectos para su prueba de concepto (POC) o piloto.
La mayoría de las organizaciones hospedan su POC en un laboratorio o entorno de prueba. Si realiza esa prueba con una estrategia sin contraseña, podría ser más difícil y tardar más tiempo. Para probar en un laboratorio, primero debe duplicar el entorno del rol de destino. Este proceso podría tardar unos días o varias semanas, dependiendo de la complejidad del rol de trabajo de destino.
Quiere equilibrar las pruebas de laboratorio con proporcionar resultados a la administración rápidamente. Seguir mostrando el progreso hacia delante en su viaje a la libertad de contraseñas siempre es una buena cosa. Si hay maneras de probar en producción con riesgo bajo o sin riesgo, puede ser ventajoso para la escala de tiempo.
El recorrido hacia la libertad de contraseña es llevar a cada persona de trabajo a través de cada paso del proceso. Al principio, animamos a trabajar con una persona a la vez para garantizar que los miembros del equipo y las partes interesadas estén familiarizados con el proceso. Una vez que se sienta cómodo con el proceso, puede cubrir tantos roles de trabajo en paralelo como los recursos lo permitan. El proceso tiene un aspecto similar al siguiente:
Implementación de una opción de reemplazo sin contraseña
- Identificación de usuarios de prueba que representan el rol de trabajo de destino
- Implementación de Windows Hello para empresas para probar usuarios
- Validar que las contraseñas y Windows Hello para empresas funcionan
Reducir la superficie de contraseña visible por el usuario
- Flujo de trabajo de usuario de prueba de encuesta para el uso de contraseñas
- Identificar el uso de contraseñas y planear, desarrollar e implementar mitigaciones de contraseñas
- Repetir hasta que se mitigue todo el uso de contraseñas de usuario
- Eliminación de funcionalidades de contraseña de Windows
- Validar que ninguno de los flujos de trabajo necesita contraseñas
Transición a un escenario sin contraseña
- Campaña de concienciación y educación del usuario
- Incluir los usuarios restantes que se ajusten al rol de trabajo
- Validar que ninguno de los usuarios de los usuarios del trabajo necesita contraseñas
- Configuración de cuentas de usuario para evitar la autenticación con contraseña
Después de mover correctamente un rol de trabajo a la libertad de contraseña, puede priorizar el resto de personas de trabajo y repetir el proceso.
Pasos siguientes
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de