Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Advertencia
las claves de seguridad Windows Hello para empresas y FIDO2 son métodos modernos de autenticación en dos fases para Windows. Se recomienda a los clientes que usan tarjetas inteligentes virtuales que pasen a Windows Hello para empresas o FIDO2. En el caso de las nuevas instalaciones de Windows, se recomienda Windows Hello para empresas o las claves de seguridad FIDO2.
En este artículo se describe la tecnología de tarjeta inteligente virtual y cómo cabe en el diseño de autenticación.
La tecnología de tarjetas inteligentes virtuales usa claves criptográficas que se almacenan en equipos que tienen instalado el módulo de plataforma segura (TPM). Las tarjetas inteligentes virtuales ofrecen ventajas de seguridad comparables a las tarjetas inteligentes convencionales mediante la autenticación en dos fases. La tecnología también ofrece más comodidad para los usuarios y tiene un menor costo de implementación. Mediante el uso de dispositivos TPM que proporcionan las mismas capacidades criptográficas que las tarjetas inteligentes convencionales, las tarjetas inteligentes virtuales logran las tres propiedades clave que se desean para las tarjetas inteligentes: no exportabilidad, criptografía aislada y anti-martillado.
Las tarjetas inteligentes virtuales son funcionalmente similares a las tarjetas inteligentes físicas. Aparecen como tarjetas inteligentes insertadas siempre y se pueden usar para la autenticación en recursos externos, la protección de datos mediante el cifrado seguro y la integridad mediante la firma confiable. Dado que el hardware habilitado para TPM está disponible fácilmente y las tarjetas inteligentes virtuales se pueden implementar mediante métodos de inscripción de certificados existentes, las tarjetas inteligentes virtuales pueden convertirse en un reemplazo de otros métodos de autenticación segura en una configuración corporativa de cualquier escala.
Este tema contiene las secciones siguientes:
- Comparación de tarjetas inteligentes virtuales con tarjetas inteligentes físicas: compara propiedades, aspectos funcionales, seguridad y costo.
- Opciones de diseño de autenticación: describe cómo se pueden usar contraseñas, tarjetas inteligentes y tarjetas inteligentes virtuales para alcanzar los objetivos de autenticación en su organización.
Comparación de tarjetas inteligentes virtuales con tarjetas inteligentes físicas
Las tarjetas inteligentes virtuales funcionan de forma muy similar a las tarjetas inteligentes físicas, pero difieren en que protegen las claves privadas mediante el TPM del equipo en lugar de los medios de tarjeta inteligente.
Una tarjeta inteligente virtual aparece a las aplicaciones como una tarjeta inteligente convencional. Las claves privadas de la tarjeta inteligente virtual están protegidas, no por el aislamiento de la memoria física, sino por las funcionalidades criptográficas del TPM. Toda la información confidencial se cifra mediante el TPM y, a continuación, se almacena en el disco duro en su forma cifrada.
Todas las operaciones criptográficas se producen en el entorno seguro y aislado del TPM y las claves privadas sin cifrar nunca se usan fuera de este entorno. Por lo tanto, al igual que las tarjetas inteligentes físicas, las tarjetas inteligentes virtuales permanecen seguras frente a cualquier malware en el host. Además, si el disco duro está en peligro de alguna manera, un usuario malintencionado no podrá acceder a las claves almacenadas en la tarjeta inteligente virtual porque están cifradas de forma segura mediante el TPM. Las claves también se pueden proteger mediante el cifrado de unidad BitLocker.
Las tarjetas inteligentes virtuales mantienen las tres propiedades clave de las tarjetas inteligentes físicas:
- No exportabilidad: dado que toda la información privada de la tarjeta inteligente virtual se cifra mediante el TPM en el equipo host, no se puede usar en un equipo diferente con un TPM diferente. Además, los TPM están diseñados para ser resistentes a manipulaciones y no exportables, por lo que un usuario malintencionado no puede realizar ingeniería inversa de un TPM idéntico ni instalar el mismo TPM en otro equipo. Para obtener más información, consulte Evaluación de la seguridad de tarjetas inteligentes virtuales.
- Criptografía aislada: los TPM proporcionan las mismas propiedades de criptografía aislada que ofrecen las tarjetas inteligentes físicas, y esto lo usan las tarjetas inteligentes virtuales. Las copias sin cifrar de las claves privadas solo se cargan dentro del TPM y nunca en la memoria a la que el sistema operativo puede acceder. Todas las operaciones criptográficas con estas claves privadas se producen dentro del TPM
- Anti-hammering: si un usuario escribe un PIN incorrectamente, la tarjeta inteligente virtual responde mediante la lógica de anti-martilleo del TPM, que rechaza otros intentos durante un período de tiempo en lugar de bloquear la tarjeta. Esto también se conoce como bloqueo. Para obtener más información, consulte Evaluación de la seguridad de tarjetas inteligentes virtuales.
Las siguientes subsecciones comparan la funcionalidad, la seguridad y el costo de las tarjetas inteligentes virtuales y las tarjetas inteligentes físicas.
Funcionalidad
El sistema de tarjetas inteligentes virtual diseñado por Microsoft imita estrechamente la funcionalidad de las tarjetas inteligentes convencionales. La diferencia más llamativa para el usuario final es que la tarjeta inteligente virtual es esencialmente una tarjeta inteligente que siempre se inserta en el equipo. No hay ningún método para exportar la tarjeta inteligente virtual del usuario para su uso en otros equipos, lo que aumenta la seguridad de las tarjetas inteligentes virtuales. Si un usuario requiere acceso a recursos de red en varios equipos, se pueden emitir varias tarjetas inteligentes virtuales para ese usuario. Además, un equipo que se comparte entre varios usuarios puede hospedar varias tarjetas inteligentes virtuales para distintos usuarios.
La experiencia de usuario básica para una tarjeta inteligente virtual es tan sencilla como usar una contraseña para acceder a una red. Dado que la tarjeta inteligente se carga de forma predeterminada, el usuario debe escribir el PIN que está asociado a la tarjeta para obtener acceso. Los usuarios ya no tienen que llevar tarjetas y lectores ni realizar acciones físicas para usar la tarjeta.
Además, aunque la funcionalidad de anti-martilleo de la tarjeta inteligente virtual es igualmente segura a la de una tarjeta inteligente física, los usuarios de tarjetas inteligentes virtuales nunca tienen que ponerse en contacto con un administrador para desbloquear la tarjeta. En su lugar, esperan un período de tiempo (según las especificaciones del TPM) antes de volver a intentar entrar en el PIN. Como alternativa, el administrador puede restablecer el bloqueo proporcionando datos de autenticación de propietario al TPM en el equipo host.
Seguridad
Las tarjetas inteligentes físicas y las tarjetas inteligentes virtuales ofrecen niveles de seguridad comparables. Ambos implementan la autenticación en dos fases para usar recursos de red. Sin embargo, difieren en ciertos aspectos, incluida la seguridad física y la practicidad de un ataque. Debido a su diseño compacto y portátil, las tarjetas inteligentes convencionales se mantienen con mayor frecuencia cerca de su usuario previsto. Ofrecen poca oportunidad de adquisición por parte de un adversario potencial, por lo que cualquier tipo de interacción con la tarjeta es difícil sin cometer una variedad de robos.
Sin embargo, las tarjetas inteligentes virtuales de TPM residen en el equipo de un usuario que se puede dejar con frecuencia desatendido, lo que proporciona una oportunidad para que un usuario malintencionado martilla el TPM. Aunque las tarjetas inteligentes virtuales están totalmente protegidas contra el martilleo (al igual que las tarjetas inteligentes físicas), esta accesibilidad simplifica la logística de un ataque. Además, el comportamiento de anti-martilleo de una tarjeta inteligente tpm difiere en que solo presenta un retraso de tiempo en respuesta a errores repetidos de PIN, en lugar de bloquear completamente al usuario.
Sin embargo, las tarjetas inteligentes virtuales proporcionan varias ventajas para mitigar estos ligeros déficits de seguridad. Lo más importante es que es mucho menos probable que se pierda una tarjeta inteligente virtual. Las tarjetas inteligentes virtuales se integran en equipos y dispositivos que el usuario ya posee para otros fines y tiene incentivos para mantener la seguridad. Si el equipo o dispositivo que hospeda la tarjeta inteligente virtual se pierde o se roba, un usuario observa su pérdida más rápido que la pérdida de una tarjeta inteligente física. Cuando un equipo o dispositivo se identifica como perdido, el usuario puede notificar al administrador del sistema, que puede revocar el certificado asociado a la tarjeta inteligente virtual en ese dispositivo. Esto impide cualquier acceso no autorizado futuro en ese equipo o dispositivo si el PIN de la tarjeta inteligente virtual está en peligro.
Coste
Si una empresa quiere implementar tarjetas inteligentes físicas, debe comprar tarjetas inteligentes y lectores de tarjetas inteligentes para todos los empleados. Aunque se pueden encontrar opciones relativamente económicas, las opciones que garantizan las tres propiedades clave de la seguridad de tarjetas inteligentes (en particular, la no exportabilidad) son más costosas. Si los empleados tienen equipos con un TPM integrado, las tarjetas inteligentes virtuales se pueden implementar sin costos de material adicionales. Estos equipos y dispositivos son relativamente comunes en el mercado.
El costo de mantenimiento de las tarjetas inteligentes virtuales es menor que el de las tarjetas inteligentes físicas, que se pierden fácilmente, se roban o se interrumpen por el desgaste normal. Las tarjetas inteligentes virtuales de TPM solo se pierden o interrumpen si el equipo host o el dispositivo se pierden o se interrumpen, lo que en la mayoría de los casos es mucho menos frecuente.
Resumen de comparación
| Tarjetas inteligentes físicas | Tarjetas inteligentes virtuales de TPM |
|---|---|
| Protege las claves privadas mediante la funcionalidad criptográfica integrada de la tarjeta. | Protege las claves privadas mediante la funcionalidad criptográfica del TPM. |
| Almacena las claves privadas en memoria no volátil aislada en la tarjeta, lo que significa que el acceso a las claves privadas es solo desde la tarjeta y que nunca se permite el acceso al sistema operativo. | Almacena claves privadas cifradas en el disco duro. El cifrado garantiza que estas claves solo se pueden descifrar y usar en el TPM, no en la memoria accesible del sistema operativo. |
| Garantiza la no exportabilidad a través del fabricante de tarjetas, lo que incluye aislar la información privada del acceso al sistema operativo. | Garantiza la no exportabilidad a través del fabricante de TPM, que incluye la incapacidad de un adversario para replicar o quitar el TPM. |
| Realiza y aísla las operaciones criptográficas dentro de las funcionalidades integradas de la tarjeta. | Realiza y aísla las operaciones criptográficas en el TPM del equipo o dispositivo del usuario. |
| Proporciona anti-martilleo a través de la tarjeta. Después de algunos intentos de entrada de PIN erróneos, la tarjeta bloquea el acceso adicional hasta que se realiza una acción administrativa. | Proporciona anti-martilleo a través del TPM. Los intentos con errores sucesivos aumentan el tiempo de bloqueo del dispositivo (el tiempo que el usuario tiene que esperar antes de intentarlo de nuevo). Esto lo puede restablecer un administrador. |
| Requiere que los usuarios lleven consigo su tarjeta inteligente y lector de tarjetas inteligentes para acceder a los recursos de red. | Permite a los usuarios acceder a sus equipos o dispositivos habilitados para TPM y, potencialmente, acceder a la red sin otros equipos. |
| Permite la portabilidad de credenciales insertando la tarjeta inteligente en lectores de tarjetas inteligentes que están conectados a otros equipos. | Impide la exportación de credenciales desde un equipo o dispositivo determinado. Sin embargo, las tarjetas inteligentes virtuales se pueden emitir para el mismo usuario en varios equipos o dispositivos mediante certificados adicionales. |
| Permite que varios usuarios accedan a los recursos de red a través del mismo equipo insertando sus tarjetas inteligentes personales. | Permite que varios usuarios accedan a los recursos de red a través del mismo equipo o dispositivo mediante la emisión de una tarjeta inteligente virtual para cada usuario de ese equipo o dispositivo. |
| Requiere que el usuario lleve la tarjeta, lo que dificulta que un atacante acceda al dispositivo e inicie un intento de martillo. | Almacena la tarjeta inteligente virtual en el equipo del usuario, que podría dejarse desatendida y permitir una ventana de mayor riesgo para los intentos de martillo. |
| Proporciona un dispositivo generalmente de un solo uso que se lleva explícitamente con el fin de la autenticación. La tarjeta inteligente puede ser fácilmente extraviada u olvidada. | Instala la tarjeta inteligente virtual en un dispositivo que tiene otros fines para el usuario, por lo que el usuario tiene un mayor incentivo para ser responsable del equipo o dispositivo. |
| Alerta a los usuarios de que su tarjeta se pierde o se roba solo cuando necesitan iniciar sesión y observar que falta. | Instala la tarjeta inteligente virtual en un dispositivo que el usuario probablemente necesite para otros fines, por lo que los usuarios notarán su pérdida mucho más rápidamente. Esto reduce la ventana de riesgo asociada. |
| Requiere que las empresas inviertan en tarjetas inteligentes y lectores de tarjetas inteligentes para todos los empleados. | Requiere que las empresas se aseguren de que todos los empleados tengan equipos habilitados para TPM, que son relativamente comunes. |
| Permite usar una directiva de eliminación de tarjeta inteligente para afectar al comportamiento del sistema cuando se quita la tarjeta inteligente. Por ejemplo, la directiva puede determinar si la sesión de inicio de sesión del usuario está bloqueada o terminada cuando el usuario quita la tarjeta. | Elimina la necesidad de una directiva de eliminación de tarjetas inteligentes porque una tarjeta inteligente virtual tpm siempre está presente y no se puede quitar del equipo. |
Opciones de diseño de autenticación
En la sección siguiente se presentan varias opciones de uso común y sus respectivas fortalezas y debilidades, que las organizaciones pueden tener en cuenta para la autenticación.
Contraseñas
Una contraseña es una cadena secreta de caracteres que está asociada a las credenciales de identificación de la cuenta de un usuario. Esto establece la identidad del usuario. Aunque las contraseñas son la forma de autenticación más utilizada, también son las más débiles. En un sistema donde las contraseñas se usan como el único método de autenticación de usuario, solo las personas que conocen sus contraseñas se consideran usuarios válidos.
La autenticación con contraseña supone una gran responsabilidad para el usuario. Las contraseñas deben ser lo suficientemente complejas para que no se puedan adivinar fácilmente, pero deben ser lo suficientemente sencillas como para confirmarse en la memoria y no almacenarse en una ubicación física. Incluso si este equilibrio se logra correctamente, existe una amplia variedad de ataques (como ataques por fuerza bruta, interceptación y tácticas de ingeniería social) donde un usuario malintencionado puede adquirir la contraseña de un usuario e suplantar la identidad de esa persona. A menudo, un usuario no se dará cuenta de que la contraseña está en peligro, lo que facilita a un usuario malintencionado mantener el acceso a un sistema si se ha obtenido una contraseña válida.
Contraseñas únicas
Una contraseña de un solo uso (OTP) es similar a una contraseña tradicional, pero es más segura porque solo se puede usar una vez para autenticar a un usuario. El método para determinar cada nueva contraseña varía según la implementación. Suponiendo una implementación segura de cada nueva contraseña, los OTP tienen varias ventajas sobre el modelo de autenticación de contraseña clásica. Lo más importante es que si un token OTP determinado se intercepta en la transmisión entre el usuario y el sistema, el interceptor no puede usarlo para transacciones futuras. De forma similar, si un usuario malintencionado obtiene el OTP de un usuario válido, el interceptor tendrá acceso limitado al sistema (solo una sesión).
Tarjetas inteligentes
Las tarjetas inteligentes son dispositivos de autenticación física, que mejoran el concepto de contraseña al requerir que los usuarios tengan realmente su dispositivo de tarjeta inteligente con ellos para acceder al sistema, además de conocer el PIN que proporciona acceso a la tarjeta inteligente. Las tarjetas inteligentes tienen tres propiedades clave que ayudan a mantener su seguridad:
- No exportabilidad: la información almacenada en la tarjeta, como las claves privadas del usuario, no se puede extraer de un dispositivo y usarse en otro medio
- Criptografía aislada: todas las operaciones criptográficas relacionadas con la tarjeta (como el cifrado seguro y el descifrado de datos) se producen en un procesador criptográfico de la tarjeta, por lo que el software malintencionado del equipo host no puede observar las transacciones.
- Anti-martilleo: para evitar el acceso a la tarjeta mediante un ataque por fuerza bruta, un número establecido de intentos de entrada de PIN consecutivos incorrectos bloquea la tarjeta hasta que se realice una acción administrativa.
Las tarjetas inteligentes proporcionan una seguridad muy mejorada solo sobre las contraseñas, ya que es mucho más difícil para un usuario malintencionado obtener y mantener el acceso a un sistema. Lo más importante es que el acceso a un sistema de tarjeta inteligente requiere que los usuarios tengan una tarjeta válida y que conozcan el PIN que proporciona acceso a esa tarjeta. Es difícil para un ladrón adquirir la tarjeta y el PIN.
La seguridad adicional se logra por la naturaleza singular de la tarjeta porque solo existe una copia de la tarjeta, solo una persona puede usar las credenciales de inicio de sesión y los usuarios notarán rápidamente si la tarjeta se ha perdido o robado. Esto reduce considerablemente la ventana de riesgo del robo de credenciales en comparación con el uso de una contraseña solo.
La seguridad adicional incluye costos adicionales de material y soporte técnico. Las tarjetas inteligentes tradicionales son costosas de comprar (las tarjetas y los lectores de tarjetas deben proporcionarse a los empleados), y los usuarios pueden perderlas o perderlas.
Tarjetas inteligentes virtuales
Las tarjetas inteligentes virtuales emulan la funcionalidad de las tarjetas inteligentes tradicionales. En lugar de requerir la compra de hardware adicional, las tarjetas inteligentes virtuales usan tecnología que los usuarios ya poseen y que es más probable que siempre tengan con ellas. Teóricamente, cualquier dispositivo que pueda proporcionar las tres propiedades clave de las tarjetas inteligentes (no exportabilidad, criptografía aislada y anti-martilleo) se puede encargar como una tarjeta inteligente virtual. La plataforma de tarjeta inteligente virtual se limita al uso del chip módulo de plataforma segura (TPM), que se encuentra en la mayoría de los dispositivos modernos.
Las tarjetas inteligentes virtuales que usan un TPM proporcionan los tres principios de seguridad principales de las tarjetas inteligentes tradicionales: no exportabilidad, criptografía aislada y anti-martillado. Las tarjetas inteligentes virtuales son menos costosas de implementar y más convenientes para los usuarios. Dado que muchos equipos corporativos ya tienen un TPM integrado, no hay ningún costo asociado con la compra de hardware nuevo. La posesión de un equipo o dispositivo por parte del usuario es equivalente a la posesión de una tarjeta inteligente, y la identidad de un usuario no se puede asumir desde ningún otro equipo o dispositivo sin el aprovisionamiento administrativo de credenciales adicionales. Por lo tanto, la autenticación en dos fases se logra porque el usuario debe tener un equipo configurado con una tarjeta inteligente virtual y conocer el PIN para usar la tarjeta inteligente virtual.