{"id":90840,"date":"2017-11-02T16:39:28","date_gmt":"2017-11-02T16:39:28","guid":{"rendered":"http:\/\/elluchador.info\/web\/?p=90840"},"modified":"2017-11-02T16:39:28","modified_gmt":"2017-11-02T16:39:28","slug":"windows-hello-para-empresas","status":"publish","type":"post","link":"https:\/\/elluchador.info\/?p=90840","title":{"rendered":"Windows Hello para empresas"},"content":{"rendered":"

Autenticaci\u00f3n de pr\u00f3xima generaci\u00f3n<\/em><\/p>\n

Autenticaci\u00f3n: el acto de comprobar su identidad para la satisfacci\u00f3n de alguna autoridad central. Para la mayor\u00eda, este proceso significa escribir un nombre de usuario y una contrase\u00f1a. As\u00ed ha sido as\u00ed durante a\u00f1os.<\/p>\n

Pero las contrase\u00f1as -especialmente las contrase\u00f1as que la mayor\u00eda de las empresas requieren, tienen que ser complejas, con largas cadenas de n\u00fameros y frases especialmente encapsuladas, con s\u00edmbolos que son dif\u00edciles de recordar y a menudo terminan escribi\u00e9ndose en notas adhesivas. Entonces tiene que reajustarlas de vez en cuando para que los piratas inform\u00e1ticos y los crakers no se est\u00e9n moviendo hacia objetivos m\u00f3viles.<\/p>\n

Las contrase\u00f1as se pueden filtrar o hackear desde el interior, as\u00ed como lo hemos visto con numerosos ataques de volcado de credenciales en los \u00faltimos a\u00f1os. Y los usuarios pueden revelar accidentalmente sus contrase\u00f1as si son v\u00edctimas de ataques de phishing que son cada vez m\u00e1s sofisticados.<\/p>\n

Afortunadamente para las tiendas de Windows, Microsoft ha introducido un m\u00e9todo de identificaci\u00f3n y autenticaci\u00f3n biom\u00e9trica sin necesidad de adquirir hardware de gama alta, y se instala directamente en Windows 10, que muchos departamentos de TI est\u00e1n empezando a implementar para reemplazar Windows 7, 8 y 8.1. En este art\u00edculo, damos un vistazo a esta innovaci\u00f3n, llamada Windows Hello for Business o para empresas, explicar c\u00f3mo funciona y mostrar c\u00f3mo habilitarla para proteger su empresa, eliminando la necesidad de que sus usuarios manejen contrase\u00f1as engorrosas.<\/p>\n

C\u00f3mo funciona Windows Hello para empresas<\/strong>
\nWindows Hello<\/a>\u00a0es el esquema de autenticaci\u00f3n biom\u00e9trica m\u00e1s conocido y difundido de que Windows soporta. Permite que los usuarios de Windows 10, que tienen dispositivos con lectores de huellas dactilares o c\u00e1maras especiales, puedan iniciar sesi\u00f3n en Windows mediante reconocimiento facial o de huellas dactilares.<\/p>\n

Windows Hello para empresas<\/a>, toma la idea de Hello y la empaqueta con herramientas de gesti\u00f3n y t\u00e9cnicas de aplicaci\u00f3n para asegurar un perfil de seguridad uniforme y la postura de seguridad de la empresa. Windows Hello for Business utiliza pol\u00edticas de grupo o de gesti\u00f3n de dispositivos m\u00f3viles (MDM, por sus siglas en ingl\u00e9s) para la administraci\u00f3n y la aplicaci\u00f3n, y aprovecha la autenticaci\u00f3n basada en claves y certificados en la mayor\u00eda de los escenarios enfocados en la nube para una protecci\u00f3n m\u00e1xima.<\/p>\n

Windows Hello act\u00faa sobre uno de los dos frentes: puede escanear una huella digital, o puede tomar una imagen infrarroja de la cara de un usuario y realizar an\u00e1lisis sobre la misma. (Hello tambi\u00e9n es compatible con el escaneo de iris, pero como las c\u00e1maras iris son m\u00e1s adecuadas para tel\u00e9fonos que para laptops o pantallas de escritorio, los dos m\u00e9todos anteriores son m\u00e1s pr\u00e1cticos para la empresa). Combina estos atributos f\u00edsicos \u00fanicos de cada usuario con claves criptogr\u00e1ficas que reemplazan contrase\u00f1as como m\u00e9todos de autenticaci\u00f3n. Estas claves se almacenan en un hardware de seguridad especializado, o se cifran en software y se desbloquean solo despu\u00e9s de que Windows las considere aut\u00e9nticas. Para organizaciones desinteresadas en biometr\u00eda, Windows Hello tambi\u00e9n admite el uso de PINes para reemplazar contrase\u00f1as transmitidas a trav\u00e9s de la red.<\/p>\n

Windows Hello protege las cuentas de Microsoft (las que usa para iniciar sesi\u00f3n en los servicios de nube de Microsoft, Xbox, Office 365 y similares), las cuentas de dominio que forman parte de una implementaci\u00f3n de Active Directory corporativa, y las cuentas de dominio unidas a un dominio Azure Active Directory (que son relativamente nuevas); y en el futuro, las cuentas protegidas por proveedores de identidad federadas que soportar\u00e1n el protocolo Fast ID Online (IDO) 2.0.<\/p>\n

\u00bfPor qu\u00e9 se considera que Windows Hello es m\u00e1s fuerte que una contrase\u00f1a tradicional? Por un lado, la seguridad es siempre mejor en tres -el mejor m\u00e9todo de autenticaci\u00f3n es proporcionar algo que tiene, algo que sabe, y algo que es. En este caso, Windows Hello puede autenticar a los usuarios al satisfacer las tres reglas: algo que tiene (su clave privada, que est\u00e1 protegida por el m\u00f3dulo de seguridad de su dispositivo), algo que conoce (el PIN que se utiliza de forma predeterminada por Windows Hello desde el punto de registro en adelante), y algo que es (ya sea su cara, que es muy dif\u00edcil de copiar y utilizar de una manera maliciosa, o su huella digital, que de nuevo, sin la eliminaci\u00f3n de d\u00edgitos es dif\u00edcil de copiar y utilizar de manera nefasta).<\/p>\n

Lo que es m\u00e1s interesante es que todas estas biometr\u00edas se almacenan solamente en el dispositivo local y no est\u00e1n centralizadas en el directorio o en alguna otra fuente de autenticaci\u00f3n; esto significa que los ataques de recopilaci\u00f3n de credenciales no son buenos contra las cuentas habilitadas por Windows Hello, simplemente porque las credenciales no existen en el lugar que podr\u00edan ser hackeadas. Aunque es t\u00e9cnicamente posible que el m\u00f3dulo de plataforma de confianza de cada dispositivo, o TPM, pueda ser hackeado, un atacante tendr\u00eda que romper la m\u00e1quina de cada usuario, en lugar de simplemente ejecutar un ataque exitoso contra un solo controlador de dominio vulnerable.
\nLa verificaci\u00f3n biom\u00e9trica de Hello requiere hardware especializado: c\u00e1maras web o c\u00e1maras dise\u00f1adas para capturar luz infrarroja pueden captar las diferencias entre una fotograf\u00eda de una persona y la presencia real de esa persona. La mayor\u00eda de los fabricantes de port\u00e1tiles est\u00e1n ahora incluyendo c\u00e1maras compatibles con Hello en sus l\u00edneas corporativas de dispositivos. Tambi\u00e9n puede adquirir estas c\u00e1maras compatibles por separado, haciendo posible un despliegue escalonado.<\/p>\n

Los lectores de huellas digitales, por supuesto, han existido desde hace a\u00f1os. Esencialmente, todos los lectores de huellas dactilares compatibles con cualquier versi\u00f3n de Windows tambi\u00e9n se pueden utilizar con Windows Hello; sin embargo, Microsoft dice que las generaciones m\u00e1s nuevas de lectores, toman m\u00e1s en el primer tacto o el golpe, eliminando la necesidad de deslizar el dedo una y otra vez como requer\u00edan algunos modelos anteriores.<\/p>\n

Es importante tener en cuenta que puede utilizar sensores de huellas dactilares, c\u00e1maras faciales, entrada de PIN o una combinaci\u00f3n de enfoques en su organizaci\u00f3n. De hecho, un usuario puede registrar una huella dactilar, impresi\u00f3n facial y PIN en el mismo dispositivo para que \u00e9l o ella pueda elegir qu\u00e9 m\u00e9todo de autenticaci\u00f3n utilizar al iniciar sesi\u00f3n. Cada uno de estos m\u00e9todos de autenticaci\u00f3n se denomina \u201cgesto\u201d, y la acci\u00f3n gestual es la clave que inicia el desbloqueo de claves p\u00fablicas y privadas y la verificaci\u00f3n de la identidad de un usuario.<\/p>\n

El proceso de registro<\/strong>
\nPara utilizar Windows Hello, debe registrar su cuenta de usuario para que Windows pueda generar los elementos adecuados para reemplazar la contrase\u00f1a tradicional. En primer lugar, el usuario configura una cuenta en el dispositivo (o el administrador agrega una cuenta de usuario al dispositivo). El usuario se autentica de la manera normal durante el proceso de registro -utilizando un nombre de usuario y una contrase\u00f1a- y la fuente de autenticaci\u00f3n, probablemente Active Directory, emite su est\u00e1ndar \u2018yay\u2019 o \u2018nay\u2019 a las credenciales de ese usuario. El usuario puede entonces habilitar su PIN, que se vuelve estrictamente vinculado entre ese dispositivo y esa cuenta de usuario.<\/p>\n

\u00bfPor qu\u00e9 un PIN y no una contrase\u00f1a?<\/strong>
\nA primera vista, un PIN parece una contrase\u00f1a, pero es m\u00e1s corto, probablemente de un solo tipo de car\u00e1cter (generalmente n\u00fameros), y muy probablemente reutilizado entre varios lugares diferentes, incluyendo cuentas bancarias, pantallas de bloqueo de tel\u00e9fonos o tabletas, etc. Sin embargo, la ejecuci\u00f3n t\u00e9cnica de c\u00f3mo se verifican las contrase\u00f1as en el proceso de autenticaci\u00f3n hace toda la diferencia.<\/p>\n

Las contrase\u00f1as se transmiten a trav\u00e9s de la red a la fuente de autenticaci\u00f3n, donde son validadas y aceptadas o rechazadas. Debido a que esta transmisi\u00f3n se produce a trav\u00e9s de la red, cualquier persona con las herramientas adecuadas puede husmear, capturar las credenciales y reutilizarlas en cualquier lugar. Y como comentamos anteriormente, si todas las contrase\u00f1as se almacenan de forma centralizada, un ataque puede comprometer potencialmente todas las contrase\u00f1as.<\/p>\n

En Windows Hello para empresas, el PIN es el \u2018carcelero\u2019 para desbloquear una clave criptogr\u00e1fica que est\u00e1 enlazada al TPM en una m\u00e1quina individual. El PIN solo funciona en el dispositivo local y no permite autenticaci\u00f3n de ning\u00fan otro tipo desde ning\u00fan otro lugar.<\/p>\n

Windows genera un par de claves, una mitad p\u00fablica y una mitad privada, y las almacena en el m\u00f3dulo TPM del hardware; o si un dispositivo no tiene un TPM, cifra las claves y las almacena en el software. Este primer par de claves est\u00e1 asociado con el \u201cgesto\u201d del PIN del usuario y se conoce como una clave de protecci\u00f3n.<\/p>\n

Posteriormente en este proceso, el usuario podr\u00e1 registrar adicionalmente gestos biom\u00e9tricos. Cada gesto tiene una clave protectora diferente que se envuelve alrededor de la clave de autenticaci\u00f3n. Aunque el contenedor est\u00e1 dise\u00f1ado para tener solo una clave de autenticaci\u00f3n, varias copias de esa clave de autenticaci\u00f3n se pueden envolver con las diferentes teclas protectoras asociadas con los diferentes gestos registrados en el dispositivo.<\/p>\n

Tambi\u00e9n hay una clave administrativa que Windows genera autom\u00e1ticamente para que las credenciales se puedan restablecer cuando sea necesario, y el TPM tambi\u00e9n tiene su\u00a0bloque normal de datos que contiene atestados<\/a>, y otra informaci\u00f3n relacionada con TPM.<\/p>\n

Una vez que se ha establecido el PIN y se crea la clave de protecci\u00f3n inicial como acabamos de describir, el usuario puede utilizar el PIN para autenticarse en el dispositivo de una manera confiable. Windows le permitir\u00e1 luego registrar gestos biom\u00e9tricos -una huella dactilar o impresi\u00f3n de cara, o ambos- como m\u00e9todos de autenticaci\u00f3n adicionales.<\/p>\n

Reforzar Windows Hello para empresas mediante la pol\u00edtica de grupo<\/strong>
\nComo puede imaginar, puede configurar Windows Hello y aplicarlo a toda la organizaci\u00f3n empresarial mediante el uso de la\u00a0pol\u00edtica de grupo<\/a>. En la Consola de administraci\u00f3n de directivas de grupo, puede encontrar la configuraci\u00f3n de directiva en Directivas > Plantillas administrativas > Componentes de Windows > Windows Hello para empresas, tanto en la configuraci\u00f3n del usuario como en las colas de configuraci\u00f3n de la computadora. Las pol\u00edticas importantes a configurar son:<\/p>\n

\u2013 Utilice Windows Hello para empresas: c\u00e1mbielo a Habilitado para comenzar con la implementaci\u00f3n.<\/p>\n

\u2013 Utilice biometr\u00eda: configure esta opci\u00f3n a Habilitada para activar gestos de reconocimiento de huellas dactilares o de rostro en lugar de solo admitir un PIN.<\/p>\n

De forma alternativa, si ya tiene implementado el software de administraci\u00f3n de dispositivos m\u00f3viles, puede utilizar la configuraci\u00f3n de\u00a0directiva MDM de Microsoft<\/a>, para forzar el despliegue de Windows Hello. Las pol\u00edticas utilizan el proveedor de servicios de configuraci\u00f3n de PassportForWork, que es como una plantilla de configuraciones potenciales que necesitar\u00e1 importar a la herramienta MDM antes de comenzar a configurar y aplicar directivas.<\/p>\n

Requisitos de Active Directory<\/strong>
\nLa habilitaci\u00f3n completa de Windows Hello para empresas probablemente requiera que agregue al m\u00ednimo un controlador de dominio Windows Server 2016 a su dominio. Aunque no es necesario aumentar el\u00a0nivel funcional de su dominio o bosque<\/a>, el 2016 DC iluminar\u00e1 algunas funciones de autenticaci\u00f3n requerida. Una alternativa a la eliminaci\u00f3n de una licencia 2016 es utilizar Azure Active Directory para desplegar Windows Hello.<\/p>\n

El sitio web de Microsoft proporciona\u00a0informaci\u00f3n detallada sobre exactamente lo que se requiere<\/a>, desde un punto de vista requisito previo. En particular, preste mucha atenci\u00f3n a los requisitos de autenticaci\u00f3n basados en claves y los requisitos de autenticaci\u00f3n basados en certificados; si ya tiene implementada una infraestructura de clave p\u00fablica en producci\u00f3n, el m\u00e9todo de autenticaci\u00f3n basado en certificados ser\u00e1 mucho m\u00e1s f\u00e1cil de comenzar. Si est\u00e1 orientado en gran medida a la nube, el m\u00e9todo de autenticaci\u00f3n basado en claves es el que se utiliza para las primeras implementaciones de Windows Hello.<\/p>\n

Puntos clave a considerar<\/strong>
\nAlgunos puntos importantes a recordar:<\/p>\n

\u2013 Las credenciales registradas en Windows Hello for Business pueden estar vinculadas a computadoras port\u00e1tiles individuales, equipos de escritorio o dispositivos m\u00f3viles, y el token de acceso obtenido despu\u00e9s de una verificaci\u00f3n de credenciales satisfactoria tambi\u00e9n se limita a ese \u00fanico dispositivo.<\/p>\n

\u2013 Durante el proceso de registro de una cuenta, Active Directory, Azure AD o el servicio de cuentas de Microsoft, comprueban y autentican la validez del usuario y asocian la clave p\u00fablica de Windows Hello a una cuenta de usuario. Las teclas -tanto las mitades p\u00fablicas como las privadas- se pueden generar en los m\u00f3dulos TPM de versiones 1.2 o 2.0, o pueden vivir en software para dispositivos sin el hardware TPM correcto. El gesto de Windows Hello no circula entre dispositivos y no se comparte con el servidor; se almacena localmente en un dispositivo y nunca sale del dispositivo. Cuando se introduce el PIN o se aplica la cara o la huella digital, Windows 10 utiliza la clave privada almacenada en el TPM para firmar los datos transmitidos a la fuente de autenticaci\u00f3n.<\/p>\n

\u2013 Seg\u00fan Microsoft: \u201cLas cuentas personales (cuenta de Microsoft) y corporativas (Active Directory o Azure AD) utilizan un \u00fanico contenedor para las claves. En la pr\u00e1ctica, esto significa que las claves se mezclan dentro de un contenedor seguro, a pesar de que est\u00e1n delineadas por su proveedor de identidad nativo para que la clave equivocada no se env\u00ede al proveedor equivocado.<\/p>\n

La \u00faltima palabra<\/strong>
\nDurante a\u00f1os, los expertos en seguridad han estado pidiendo la muerte de las contrase\u00f1as, pero ese objetivo siempre ha sido postergado por la falta de una alternativa que no genere problemas, sea asequible y f\u00e1cil de usar para la autenticaci\u00f3n. En la pr\u00e1ctica, Microsoft siempre iba a colocar caracter\u00edsticas biom\u00e9tricas dentro de Windows, el sistema operativo m\u00e1s popular, para estimular a que suficientes organizaciones busquen la autenticaci\u00f3n sin contrase\u00f1a. Parece que con Windows 10, el gigante de software de Redmond ha hecho lo suficiente para garantizar la atenci\u00f3n de las empresas de todo el mundo.<\/p>\n

Si bien es poco probable que su tienda sea capaz de eliminar las contrase\u00f1as por completo, las nuevas m\u00e1quinas que despliegue pueden funcionar con esta opci\u00f3n de forma predeterminada, y al migrar a Windows 10 con el tiempo a su propio ritmo, puede trabajar lenta pero seguramente con Windows Hello para empresas en su perfil de seguridad.<\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

V\u00eda:\u00a0cwv<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Autenticaci\u00f3n de pr\u00f3xima generaci\u00f3n Autenticaci\u00f3n: el acto de comprobar su identidad para la satisfacci\u00f3n de alguna autoridad central. Para la mayor\u00eda, este proceso significa escribir un nombre de usuario y una contrase\u00f1a. As\u00ed ha sido as\u00ed durante a\u00f1os. Pero las contrase\u00f1as -especialmente las contrase\u00f1as que la mayor\u00eda de las empresas requieren, tienen que ser complejas, […]<\/p>\n","protected":false},"author":2,"featured_media":90842,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[14],"tags":[],"class_list":{"0":"post-90840","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-tecnologia"},"_links":{"self":[{"href":"https:\/\/elluchador.info\/index.php?rest_route=\/wp\/v2\/posts\/90840","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/elluchador.info\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/elluchador.info\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/elluchador.info\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/elluchador.info\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=90840"}],"version-history":[{"count":0,"href":"https:\/\/elluchador.info\/index.php?rest_route=\/wp\/v2\/posts\/90840\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/elluchador.info\/index.php?rest_route=\/wp\/v2\/media\/90842"}],"wp:attachment":[{"href":"https:\/\/elluchador.info\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=90840"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/elluchador.info\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=90840"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/elluchador.info\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=90840"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}