Introducción a la implementación de autenticación sin contraseña resistente a la suplantación de identidad (phishing) en Microsoft Entra ID
Las contraseñas son el vector de ataque principal para los adversarios modernos y una fuente de fricción para los usuarios y administradores. Como parte de una estrategia de seguridad de Confianza cero general, Microsoft recomienda pasar a la solución de autenticación sin contraseña resistente a la suplantación de identidad. Esta guía le ayuda a seleccionar, preparar e implementar las credenciales sin contraseña resistentes a la suplantación de identidad (phishing) adecuadas para su organización. Use esta guía para planear y ejecutar el proyecto sin contraseña y resistente a la suplantación de identidad (phishing).
El uso de características como la autenticación multifactor (MFA) constituye una excelente manera de proteger una organización. Pero esta capa de seguridad adicional sumada al hecho de tener que recordar las contraseñas suele frustrar a los usuarios. Los métodos de autenticación sin contraseña resistentes a la suplantación de identidad (phishing) son más cómodos. Por ejemplo, un análisis de cuentas de consumidores de Microsoft muestra que el inicio de sesión con contraseña puede llevar hasta 9 segundos de media, pero con las claves de acceso se tarda solo unos 3 segundos en la mayoría de los casos. La velocidad y facilidad de inicio de sesión mediante clave de acceso es aún mayor en comparación con la contraseña tradicional y el inicio de sesión con MFA. Los usuarios de las claves de acceso no necesitan recordar su contraseña ni esperar mensajes SMS.
Nota:
Estos datos se basan en el análisis de inicios de sesión de cuentas de consumidor de Microsoft.
Los métodos sin contraseña resistentes a la suplantación de identidad (phishing) también tienen seguridad adicional integrada. Cuentan automáticamente como MFA usando algo que el usuario tiene (un dispositivo físico o una clave de seguridad) y algo que el usuario conoce o que le es propio, como un dato biométrico o un código PIN. A diferencia de la MFA tradicional, los métodos sin contraseña resistentes a la suplantación de identidad (phishing) anulan los ataques de suplantación de identidad contra los usuarios mediante credenciales respaldadas por hardware que no pueden ponerse en peligro fácilmente.
Microsoft Entra ID ofrece las siguientes opciones de autenticación sin contraseña resistente a suplantación de identidad:
- Claves de paso (FIDO2)
- Windows Hello para empresas
- Credencial de plataforma para macOS (versión preliminar)
- Claves de acceso de aplicación de Microsoft Authenticator (versión preliminar)
- Claves de seguridad FIDO2
- Otras claves de acceso y proveedores, como iCloud Keychain, en la hoja de ruta
- Tarjetas inteligentes y autenticación basadas en certificados
Requisitos previos
Antes de iniciar el proyecto de implementación sin contraseña resistente a la suplantación de identidad de Microsoft Entra, complete estos requisitos previos:
- Revisión de los requisitos de licencia
- Revisión de los roles necesarios para realizar acciones con privilegios
- Identificación de los equipos de partes interesadas que necesitan colaborar
Requisitos de licencia
El registro y el inicio de sesión sin contraseña con Microsoft Entra no requieren licencia, pero se recomienda al menos una licencia P1 de Microsoft Entra ID para contar con el conjunto completo de funcionalidades asociadas a una implementación sin contraseña. Por ejemplo, una licencia P1 de Microsoft Entra ID le ayuda a aplicar el inicio de sesión sin contraseña a través del acceso condicional y realizar un seguimiento de la implementación con un informe de actividad del método de autenticación. Consulte la guía de requisitos de licencia para conocer las características a las que se hace referencia en esta guía para conocer los requisitos de licencia específicos.
Integración de aplicaciones con Microsoft Entra ID
Microsoft Entra ID es un servicio de administración de identidades y acceso (IAM) basado en la nube que se integra con muchos tipos de aplicaciones, incluidas aplicaciones de software como servicio (SaaS), aplicaciones de línea de negocio (LOB), aplicaciones locales, etc. Debe integrar sus aplicaciones con Microsoft Entra ID para sacar el máximo provecho a su inversión en la autenticación sin contraseña y resistente a suplantación de identidad. A medida que integra más aplicaciones con Microsoft Entra ID, puede proteger más su entorno con directivas de acceso condicional que aplican el uso de métodos de autenticación resistentes a la suplantación de identidad (phishing). Para obtener más información sobre cómo integrar aplicaciones con Microsoft Entra ID, consulte Cinco pasos para integrar sus aplicaciones con Microsoft Entra ID.
Al desarrollar sus propias aplicaciones, siga las instrucciones para desarrolladores para permitir la autenticación sin contraseña y resistente a suplantación de identidad. Para obtener más información, consulte Compatibilidad con la autenticación sin contraseña con claves FIDO2 en aplicaciones que desarrolle.
Roles necesarios
En la tabla siguiente se enumeran los requisitos de roles con privilegios mínimos para la implementación de autenticación sin contraseña y resistente a la suplantación de identidad (phishing). Se recomienda habilitar la autenticación sin contraseña resistente a la suplantación de identidad (phishing) para todas las cuentas con privilegios.
| Rol de Microsoft Entra | Descripción |
|---|---|
| Administrador de usuarios | Para implementar la experiencia de registro combinado |
| Administrador de autenticación | Para implementar y administrar métodos de autenticación |
| Administrador de directivas de autenticación | Para implementar y administrar la directiva de métodos de autenticación |
| Usuario | Para configurar la aplicación Authenticator en el dispositivo; para inscribir el dispositivo de clave de seguridad para el inicio de sesión web o de Windows 10/11. |
Equipos de partes interesadas del cliente
Para garantizar el éxito, asegúrese de interactuar con las partes interesadas adecuadas y de que comprendan sus roles antes de comenzar la planificación y la implementación. En la tabla siguiente se enumeran los equipos de partes interesadas recomendados normalmente.
| Equipo de partes interesadas | Descripción |
|---|---|
| Identity and Access Management (IAM) | Administra las operaciones diarias del sistema IAM |
| Arquitectura de seguridad de la información | Planes y diseños de las prácticas de seguridad de la información de la organización |
| Operaciones de seguridad de la información | Ejecuta y supervisa los procedimientos de seguridad de la información para la arquitectura de seguridad de la información |
| Seguridad y auditoría | Ayuda a garantizar que los procesos de TI son seguros y compatibles. Realizan auditorías periódicas, evalúan los riesgos y recomiendan medidas de seguridad para mitigar las vulnerabilidades identificadas y mejorar la posición general de seguridad. |
| Servicio de asistencia y soporte | Ayuda a los usuarios finales que encuentran problemas durante la implementación de nuevas tecnologías y directivas, o cuando se producen problemas. |
| Comunicaciones del usuario final | Cambios de mensajes a los usuarios finales en preparación para ayudar a impulsar los lanzamientos de tecnología orientados al usuario |