Adiós a las contraseñas: la autenticación sin contraseña llega a Azure AD

Las contraseñas no están funcionando: más del 80 por ciento de las brechas de seguridad se deben a contraseñas y credenciales robadas. Los usuarios suelen elegir contraseñas demasiado simples y fáciles de adivinar, y si los obligas a utilizar contraseñas complejas, las almacenan y las reutilizan. Esto se ve agravado al obligar a cambios de contraseñas regulares, y tanto el NIST como el Centro Nacional de Seguridad Cibernética desaconsejan los cambios de contraseñas regulares sin evidencia de violación. Si los sistemas de restablecimiento de contraseñas dependen de las personas, también pueden ser engañados por la ingeniería social. Los administradores de contraseñas son una solución temporal.

Índice de Contenido
  1. Una mejor solución: el inicio de sesión sin contraseña
  2. La autenticación con Microsoft Authenticator
  3. FIDO2 y Azure AD

Una mejor solución: el inicio de sesión sin contraseña

Una mejor solución es eliminar las contraseñas por completo y utilizar biometría, códigos de un solo uso, tokens de hardware y otras opciones de autenticación multifactoriales que intercambien tokens y certificados sin que los usuarios tengan que recordar nada.

El inicio de sesión sin contraseña no significa que haya más cosas que los usuarios tengan que recordar o más obstáculos que superar. Los certificados se pueden combinar con políticas de seguridad contextual que requieren menos factores para el acceso de bajo valor en dispositivos y conexiones confiables. Se pueden agregar más factores a medida que el riesgo aumenta, ya sea en función del valor del contenido, del comportamiento del usuario, de su ubicación y conexión, o del estado del dispositivo. Ya se puede configurar esto utilizando Azure AD Conditional Access y MFA, pero el soporte completo para un conjunto completo de opciones sin contraseña está comenzando a llegar recién ahora.

FIDO2 (Fast Identity Online) es la forma multiplataforma en que la industria está logrando esto, pero llevará tiempo establecer y entregar los estándares, y el soporte para Windows y Azure AD también se está implementando en etapas.

La autenticación con Microsoft Authenticator

Los primeros pasos se basan en la aplicación Microsoft Authenticator, que utiliza autenticación basada en clave para crear una credencial de usuario que está vinculada a un dispositivo y utiliza un PIN o biometría (por lo que es un equivalente de software de Windows Hello). En lugar de usar una contraseña para iniciar sesión, los usuarios ven un código numérico que deben ingresar en la aplicación Authenticator, donde deben ingresar su PIN o proporcionar una biometría.

El inicio de sesión sin contraseña para cuentas de Microsoft con la aplicación Microsoft Authenticator ya está disponible, y el soporte para iniciar sesión en Azure AD está ahora en vista previa pública. Debes estar utilizando Azure MFA y los administradores deben habilitarlo para el inquilino agregando el AuthenticatorAppSignInPolicy mediante PowerShell. Habrá una forma de hacerlo en el portal una vez que el servicio salga de la vista previa.

Las mejores formas de trabajar con archivos PDF en Windows 10

Actualmente, la aplicación Authenticator solo puede cubrir una sola cuenta registrada con Azure AD en un inquilino, pero el soporte para múltiples cuentas está planeado para el futuro.

Este inicio de sesión sin contraseña en Azure AD no solo se aplica a Office 365 y Azure, sino que funciona con cualquier servicio que admita federación. Esto significa que cientos de miles de aplicaciones en la nube (desde Twitter hasta Salesforce) y muchas aplicaciones locales que funcionan con Azure AD para el inicio de sesión único ahora pueden ser sin contraseña.

Puedes agregar aplicaciones ya habilitadas a tu inquilino utilizando la galería de aplicaciones de Azure AD. Si la aplicación que deseas no está en la lista, utiliza las plantillas de integración de aplicaciones para configurar el inicio de sesión único para aplicaciones que admiten SAML 2.0, aprovisionamiento de usuarios SCIM o inicio de sesión en formularios HTML. Desde el portal de Azure, elige Active Directory > Aplicaciones empresariales > Nueva aplicación > Aplicación no catalogada y completa los detalles en el panel lateral, comenzando por el nombre. También puedes agregar aplicaciones que tienen inicio de sesión único a través de servicios de federación como Azure ADFS y se mostrarán en el iniciador de aplicaciones de Office 365.

Adiós a las contraseñas: la autenticación sin contraseña llega a Azure AD - Microsoft | Imagen 1 Newsmatic

Para agregar soporte de inicio de sesión único a tus propias aplicaciones, los desarrolladores pueden usar la biblioteca de autenticación de Azure Active Directory (ADAL), la biblioteca de autenticación de Microsoft (MSAL) u otras bibliotecas de código abierto que admitan OAuth 2.0 y OpenID Connect 1.0, y luego registrarlas a través del mismo portal.

FIDO2 y Azure AD

Si la aplicación Microsoft Authenticator no satisface todas tus necesidades, también se está implementando el soporte para dispositivos de seguridad de hardware FIDO2. Esto puede ser una llave Yubikey o incluso un rastreador de actividad física como el anillo Motiv.

Cómo automatizar la implementación de Windows 10 con Autopilot

Nuevamente, esto se lanza primero para cuentas de Microsoft, con la disponibilidad general de soporte FIDO2 sin contraseña para cuentas de Microsoft en Windows 10 esta semana. Esto significa que podrás iniciar sesión en Windows 10 y luego en sitios como Office 365 en el navegador (Edge, Chrome o Firefox) utilizando una llave FIDO2 en lugar de una contraseña, de la misma manera que lo haces con Windows Hello y la biometría, con el hardware de seguridad de la llave vinculado a la TPM del PC. A medida que más sitios web utilicen los estándares de autenticación FIDO del W3C, también podrás iniciar sesión sin contraseña en ellos.

"Siempre lanzamos primero las versiones para cuentas de Microsoft, tanto para experimentar como para aprender rápidamente, y también porque no requieren los controles administrativos extensos que necesitan las versiones de Azure AD", explicó Alex Simons, vicepresidente corporativo en la división de identidad de Microsoft, a Newsmatic.

El siguiente paso será el soporte FIDO2 sin contraseña para cuentas de Azure AD en Windows 10, tanto para la cuenta de Windows como para Office 365, y todos los servicios en la nube y servicios locales federados que obtienen inicio de sesión único a través de Azure AD. Esto ha estado en vista previa privada desde el verano de 2018; las organizaciones podrán utilizarlo en vista previa pública en el primer trimestre de 2019.

Muchos dispositivos de seguridad FIDO también pueden crear contraseñas de un solo uso basadas en tiempo (TOTP) utilizando el estándar OATH. Esto es especialmente útil para los usuarios que no podrán (o simplemente no desean) recibir una llamada telefónica o un mensaje de texto.

Ahora puedes usar tokens OATH de hardware como opción para Azure AD MFA y restablecimiento de contraseña de autoservicio, siempre que tengas una licencia de Azure AD premium (P1 o P2). Además, ahora el restablecimiento de contraseñas es compatible con Windows 7, 8 y 8.1 desde la pantalla de inicio de sesión.

El soporte de hardware OATH no reemplaza las opciones de autenticación existentes. Los usuarios pueden tener hasta cinco opciones de hardware y software, que incluyen la aplicación Microsoft Authenticator (y la vista previa incluye otras aplicaciones de autenticación como Authy que admiten OATH), mensajes de texto y llamadas de voz. Si utilizas un YubiKey, que no tiene una batería y no puede rastrear el tiempo, también necesitarás la aplicación Yubico Authenticator. El soporte de OATH está en vista previa, por lo que espera que la interfaz para administrarlo cambie (y se mueva fuera de la sección de MFA Server de la interfaz de Azure, que de lo contrario se utiliza para configurar el soporte de Azure MFA local).

Todo lo que necesitas saber sobre las actualizaciones de Windows y cómo funcionan

No esperes soporte para FIDO U2F; Microsoft cree que optar por el inicio de sesión sin contraseña es una opción mejor que simplemente tener otro factor de autenticación compatible.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Microsoft, allí encontraras muchos artículos similares a Adiós a las contraseñas: la autenticación sin contraseña llega a Azure AD , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.