0

Windows Hello para empresas

HelloforWindows10Autenticación de próxima generación

Autenticación: el acto de comprobar su identidad para la satisfacción de alguna autoridad central. Para la mayoría, este proceso significa escribir un nombre de usuario y una contraseña. Así ha sido así durante años.

Pero las contraseñas -especialmente las contraseñas que la mayoría de las empresas requieren, tienen que ser complejas, con largas cadenas de números y frases especialmente encapsuladas, con símbolos que son difíciles de recordar y a menudo terminan escribiéndose en notas adhesivas. Entonces tiene que reajustarlas de vez en cuando para que los piratas informáticos y los crakers no se estén moviendo hacia objetivos móviles.

Las contraseñas se pueden filtrar o hackear desde el interior, así como lo hemos visto con numerosos ataques de volcado de credenciales en los últimos años. Y los usuarios pueden revelar accidentalmente sus contraseñas si son víctimas de ataques de phishing que son cada vez más sofisticados.

Afortunadamente para las tiendas de Windows, Microsoft ha introducido un método de identificación y autenticación biométrica sin necesidad de adquirir hardware de gama alta, y se instala directamente en Windows 10, que muchos departamentos de TI están empezando a implementar para reemplazar Windows 7, 8 y 8.1. En este artículo, damos un vistazo a esta innovación, llamada Windows Hello for Business o para empresas, explicar cómo funciona y mostrar cómo habilitarla para proteger su empresa, eliminando la necesidad de que sus usuarios manejen contraseñas engorrosas.

Cómo funciona Windows Hello para empresas
Windows Hello es el esquema de autenticación biométrica más conocido y difundido de que Windows soporta. Permite que los usuarios de Windows 10, que tienen dispositivos con lectores de huellas dactilares o cámaras especiales, puedan iniciar sesión en Windows mediante reconocimiento facial o de huellas dactilares.

Windows Hello para empresas, toma la idea de Hello y la empaqueta con herramientas de gestión y técnicas de aplicación para asegurar un perfil de seguridad uniforme y la postura de seguridad de la empresa. Windows Hello for Business utiliza políticas de grupo o de gestión de dispositivos móviles (MDM, por sus siglas en inglés) para la administración y la aplicación, y aprovecha la autenticación basada en claves y certificados en la mayoría de los escenarios enfocados en la nube para una protección máxima.

Windows Hello actúa sobre uno de los dos frentes: puede escanear una huella digital, o puede tomar una imagen infrarroja de la cara de un usuario y realizar análisis sobre la misma. (Hello también es compatible con el escaneo de iris, pero como las cámaras iris son más adecuadas para teléfonos que para laptops o pantallas de escritorio, los dos métodos anteriores son más prácticos para la empresa). Combina estos atributos físicos únicos de cada usuario con claves criptográficas que reemplazan contraseñas como métodos de autenticación. Estas claves se almacenan en un hardware de seguridad especializado, o se cifran en software y se desbloquean solo después de que Windows las considere auténticas. Para organizaciones desinteresadas en biometría, Windows Hello también admite el uso de PINes para reemplazar contraseñas transmitidas a través de la red.

Windows Hello protege las cuentas de Microsoft (las que usa para iniciar sesión en los servicios de nube de Microsoft, Xbox, Office 365 y similares), las cuentas de dominio que forman parte de una implementación de Active Directory corporativa, y las cuentas de dominio unidas a un dominio Azure Active Directory (que son relativamente nuevas); y en el futuro, las cuentas protegidas por proveedores de identidad federadas que soportarán el protocolo Fast ID Online (IDO) 2.0.

¿Por qué se considera que Windows Hello es más fuerte que una contraseña tradicional? Por un lado, la seguridad es siempre mejor en tres -el mejor método de autenticación es proporcionar algo que tiene, algo que sabe, y algo que es. En este caso, Windows Hello puede autenticar a los usuarios al satisfacer las tres reglas: algo que tiene (su clave privada, que está protegida por el módulo de seguridad de su dispositivo), algo que conoce (el PIN que se utiliza de forma predeterminada por Windows Hello desde el punto de registro en adelante), y algo que es (ya sea su cara, que es muy difícil de copiar y utilizar de una manera maliciosa, o su huella digital, que de nuevo, sin la eliminación de dígitos es difícil de copiar y utilizar de manera nefasta).

Lo que es más interesante es que todas estas biometrías se almacenan solamente en el dispositivo local y no están centralizadas en el directorio o en alguna otra fuente de autenticación; esto significa que los ataques de recopilación de credenciales no son buenos contra las cuentas habilitadas por Windows Hello, simplemente porque las credenciales no existen en el lugar que podrían ser hackeadas. Aunque es técnicamente posible que el módulo de plataforma de confianza de cada dispositivo, o TPM, pueda ser hackeado, un atacante tendría que romper la máquina de cada usuario, en lugar de simplemente ejecutar un ataque exitoso contra un solo controlador de dominio vulnerable.
La verificación biométrica de Hello requiere hardware especializado: cámaras web o cámaras diseñadas para capturar luz infrarroja pueden captar las diferencias entre una fotografía de una persona y la presencia real de esa persona. La mayoría de los fabricantes de portátiles están ahora incluyendo cámaras compatibles con Hello en sus líneas corporativas de dispositivos. También puede adquirir estas cámaras compatibles por separado, haciendo posible un despliegue escalonado.

Los lectores de huellas digitales, por supuesto, han existido desde hace años. Esencialmente, todos los lectores de huellas dactilares compatibles con cualquier versión de Windows también se pueden utilizar con Windows Hello; sin embargo, Microsoft dice que las generaciones más nuevas de lectores, toman más en el primer tacto o el golpe, eliminando la necesidad de deslizar el dedo una y otra vez como requerían algunos modelos anteriores.

Es importante tener en cuenta que puede utilizar sensores de huellas dactilares, cámaras faciales, entrada de PIN o una combinación de enfoques en su organización. De hecho, un usuario puede registrar una huella dactilar, impresión facial y PIN en el mismo dispositivo para que él o ella pueda elegir qué método de autenticación utilizar al iniciar sesión. Cada uno de estos métodos de autenticación se denomina “gesto”, y la acción gestual es la clave que inicia el desbloqueo de claves públicas y privadas y la verificación de la identidad de un usuario.

El proceso de registro
Para utilizar Windows Hello, debe registrar su cuenta de usuario para que Windows pueda generar los elementos adecuados para reemplazar la contraseña tradicional. En primer lugar, el usuario configura una cuenta en el dispositivo (o el administrador agrega una cuenta de usuario al dispositivo). El usuario se autentica de la manera normal durante el proceso de registro -utilizando un nombre de usuario y una contraseña- y la fuente de autenticación, probablemente Active Directory, emite su estándar ‘yay’ o ‘nay’ a las credenciales de ese usuario. El usuario puede entonces habilitar su PIN, que se vuelve estrictamente vinculado entre ese dispositivo y esa cuenta de usuario.

¿Por qué un PIN y no una contraseña?
A primera vista, un PIN parece una contraseña, pero es más corto, probablemente de un solo tipo de carácter (generalmente números), y muy probablemente reutilizado entre varios lugares diferentes, incluyendo cuentas bancarias, pantallas de bloqueo de teléfonos o tabletas, etc. Sin embargo, la ejecución técnica de cómo se verifican las contraseñas en el proceso de autenticación hace toda la diferencia.

Las contraseñas se transmiten a través de la red a la fuente de autenticación, donde son validadas y aceptadas o rechazadas. Debido a que esta transmisión se produce a través de la red, cualquier persona con las herramientas adecuadas puede husmear, capturar las credenciales y reutilizarlas en cualquier lugar. Y como comentamos anteriormente, si todas las contraseñas se almacenan de forma centralizada, un ataque puede comprometer potencialmente todas las contraseñas.

En Windows Hello para empresas, el PIN es el ‘carcelero’ para desbloquear una clave criptográfica que está enlazada al TPM en una máquina individual. El PIN solo funciona en el dispositivo local y no permite autenticación de ningún otro tipo desde ningún otro lugar.

Windows genera un par de claves, una mitad pública y una mitad privada, y las almacena en el módulo TPM del hardware; o si un dispositivo no tiene un TPM, cifra las claves y las almacena en el software. Este primer par de claves está asociado con el “gesto” del PIN del usuario y se conoce como una clave de protección.

Posteriormente en este proceso, el usuario podrá registrar adicionalmente gestos biométricos. Cada gesto tiene una clave protectora diferente que se envuelve alrededor de la clave de autenticación. Aunque el contenedor está diseñado para tener solo una clave de autenticación, varias copias de esa clave de autenticación se pueden envolver con las diferentes teclas protectoras asociadas con los diferentes gestos registrados en el dispositivo.

También hay una clave administrativa que Windows genera automáticamente para que las credenciales se puedan restablecer cuando sea necesario, y el TPM también tiene su bloque normal de datos que contiene atestados, y otra información relacionada con TPM.

Una vez que se ha establecido el PIN y se crea la clave de protección inicial como acabamos de describir, el usuario puede utilizar el PIN para autenticarse en el dispositivo de una manera confiable. Windows le permitirá luego registrar gestos biométricos -una huella dactilar o impresión de cara, o ambos- como métodos de autenticación adicionales.

Reforzar Windows Hello para empresas mediante la política de grupo
Como puede imaginar, puede configurar Windows Hello y aplicarlo a toda la organización empresarial mediante el uso de la política de grupo. En la Consola de administración de directivas de grupo, puede encontrar la configuración de directiva en Directivas > Plantillas administrativas > Componentes de Windows > Windows Hello para empresas, tanto en la configuración del usuario como en las colas de configuración de la computadora. Las políticas importantes a configurar son:

– Utilice Windows Hello para empresas: cámbielo a Habilitado para comenzar con la implementación.

– Utilice biometría: configure esta opción a Habilitada para activar gestos de reconocimiento de huellas dactilares o de rostro en lugar de solo admitir un PIN.

De forma alternativa, si ya tiene implementado el software de administración de dispositivos móviles, puede utilizar la configuración de directiva MDM de Microsoft, para forzar el despliegue de Windows Hello. Las políticas utilizan el proveedor de servicios de configuración de PassportForWork, que es como una plantilla de configuraciones potenciales que necesitará importar a la herramienta MDM antes de comenzar a configurar y aplicar directivas.

Requisitos de Active Directory
La habilitación completa de Windows Hello para empresas probablemente requiera que agregue al mínimo un controlador de dominio Windows Server 2016 a su dominio. Aunque no es necesario aumentar el nivel funcional de su dominio o bosque, el 2016 DC iluminará algunas funciones de autenticación requerida. Una alternativa a la eliminación de una licencia 2016 es utilizar Azure Active Directory para desplegar Windows Hello.

El sitio web de Microsoft proporciona información detallada sobre exactamente lo que se requiere, desde un punto de vista requisito previo. En particular, preste mucha atención a los requisitos de autenticación basados en claves y los requisitos de autenticación basados en certificados; si ya tiene implementada una infraestructura de clave pública en producción, el método de autenticación basado en certificados será mucho más fácil de comenzar. Si está orientado en gran medida a la nube, el método de autenticación basado en claves es el que se utiliza para las primeras implementaciones de Windows Hello.

Puntos clave a considerar
Algunos puntos importantes a recordar:

– Las credenciales registradas en Windows Hello for Business pueden estar vinculadas a computadoras portátiles individuales, equipos de escritorio o dispositivos móviles, y el token de acceso obtenido después de una verificación de credenciales satisfactoria también se limita a ese único dispositivo.

– Durante el proceso de registro de una cuenta, Active Directory, Azure AD o el servicio de cuentas de Microsoft, comprueban y autentican la validez del usuario y asocian la clave pública de Windows Hello a una cuenta de usuario. Las teclas -tanto las mitades públicas como las privadas- se pueden generar en los módulos TPM de versiones 1.2 o 2.0, o pueden vivir en software para dispositivos sin el hardware TPM correcto. El gesto de Windows Hello no circula entre dispositivos y no se comparte con el servidor; se almacena localmente en un dispositivo y nunca sale del dispositivo. Cuando se introduce el PIN o se aplica la cara o la huella digital, Windows 10 utiliza la clave privada almacenada en el TPM para firmar los datos transmitidos a la fuente de autenticación.

– Según Microsoft: “Las cuentas personales (cuenta de Microsoft) y corporativas (Active Directory o Azure AD) utilizan un único contenedor para las claves. En la práctica, esto significa que las claves se mezclan dentro de un contenedor seguro, a pesar de que están delineadas por su proveedor de identidad nativo para que la clave equivocada no se envíe al proveedor equivocado.

La última palabra
Durante años, los expertos en seguridad han estado pidiendo la muerte de las contraseñas, pero ese objetivo siempre ha sido postergado por la falta de una alternativa que no genere problemas, sea asequible y fácil de usar para la autenticación. En la práctica, Microsoft siempre iba a colocar características biométricas dentro de Windows, el sistema operativo más popular, para estimular a que suficientes organizaciones busquen la autenticación sin contraseña. Parece que con Windows 10, el gigante de software de Redmond ha hecho lo suficiente para garantizar la atención de las empresas de todo el mundo.

Si bien es poco probable que su tienda sea capaz de eliminar las contraseñas por completo, las nuevas máquinas que despliegue pueden funcionar con esta opción de forma predeterminada, y al migrar a Windows 10 con el tiempo a su propio ritmo, puede trabajar lenta pero seguramente con Windows Hello para empresas en su perfil de seguridad.

Jonathan Hassell, Computerworld.com via CIOPeru.pe

Ordenado por: Seguridad Tags: ,

Contenidos recomendados...

Comparta esta publicación

Artículos relacionados

Escriba su comentario

Ud. tiene que estar conectado para publicar comentarios.

Red de publicaciones IDG en Latinoamérica: Computerworld Ecuador - Computerworld Colombia - CIO Perú // Contáctenos
© 2017 Computerworld Venezuela - All rights reserved ---- WordPress - Tema adaptado por GiorgioB