Llegamos a ustedes gracias a:



Reportajes y análisis

Qué credenciales FIDO importan en Windows 10

Los estándares abiertos de la U2F de la FIDO Alliance permite que las unidades clave compatibles con USB y otros dispositivos pequeños simplifiquen la autenticación de dos factores. Crédito: Imagen: FIDO Alliance.
Microsoft, fido

[21/01/2016] Las contraseñas ofrecen una protección débil, pero "son baratas en su implementación", señala un reciente informe de Forrester. Es por eso que las contraseñas siguen siendo la forma de protección de tantos sistemas. Pero con la creciente lista de incumplimientos de contraseña -por no hablar de la disponibilidad de hardware más rápido, que hace que el craqueo de contraseñas sea algo cada vez más trivial- el 56% de las empresas le dijo a Forrester que quiere alejarse de ellas en los próximos tres años.

Windows 10 puede ser parte de una estrategia para hacer eso, y gracias a la participación de Microsoft en la Alianza FIDO, cualquier cambio que realice en apoyar esa estrategia funciona a través de una amplia gama de dispositivos y opciones de autenticación.

Varios servicios ofrecen formas de acabar con las contraseñas. Yahoo presentó recientemente una cuenta "sin contraseña" que utiliza una notificación de inserción en un iOS registrado o dispositivo Android que permite a sus usuarios de Yahoo Mail confirmar que son ellos quienes están tratando de entrar. Si desea usar ese modelo para sus propias aplicaciones, Twilio lanzó recientemente la opción OneTouch para su servicio de autenticación Authy que le permite utilizar una notificación de inserción móvil similar a la que los usuarios utilizan para confirmar su inicio de sesión, en lugar de utilizar contraseñas. También puede utilizarla para otras operaciones sensibles, por lo que es más que un simple reemplazo de contraseña.

"OneTouch es la próxima generación y va más allá de usar un tóken o un código de una sola vez a través de SMS, y se puede utilizar para autenticación y autorización", señala Marc Boroditsky de Twilio. "Podría ser un padre que aprueba una transacción para un niño, o varias partes de un fideicomiso o una secuencia de aprobaciones en el flujo de trabajo". Las compañías de nómina y servicios de firma digital tienen previsto utilizar el sistema para manejar las transacciones que deben ser autorizadas por varias personas.

"Tenemos insertado el no repudio", señala Boroditsky. "Tenemos un registro digital de la autenticación que no es solo alguien que hace clic en Aceptar desde su computadora". OneTouch de Authy no utiliza la biometría para reemplazar una contraseña; en vez de eso, considera múltiples señales. No solo se trata de que usted está utilizando su propio teléfono; también es dónde se encuentra y cómo se está comportando. ¿Está usted en el otro lado del mundo, conectado a través de una VPN en vez de la red de su oficina? Si el sistema decide que su entrada es inusual, no lo dejará iniciar sesión; en ese momento, podría pedirle que use la autenticación de dos factores, incluyendo la biometría.

Eso es más fácil de añadir a una nueva aplicación en lugar de un sistema que fue diseñado para trabajar con contraseñas, admite. "Hacer que esto sea universal, aquí es donde FIDO juega un papel. Hacemos autenticación de dos factores, trabajamos con FIDO -y cuando hay FIDO será más fácil.

FIDO significa 'identidad rápida en línea' por sus siglas en inglés; la FIDO Alliance, es un grupo alrededor de la industria que trata de reemplazar las contraseñas con autenticación más simple y más fuerte que funciona a través de múltiples dispositivos y servicios. La primera generación de FIDO admite dos protocolos clave. El primero, Universal 2nd Factor, es la adición de un segundo factor para el nombre de usuario y contraseña estándar; la diferencia desde el hardware de autenticación familiar como SecureID de RSA es que el hardware FIDO U2F como el Yubikey no solo funciona con servicio; puede utilizar el mismo dispositivo para autenticar Google Apps, PayPal, DropBox y otros sistemas compatibles con FIDO. Las credenciales nunca dejan el dispositivo, así que no pueden verse comprometidas en una brecha, y cada servicio utiliza un par de claves por separado.

El protocolo Universal Authentication Framework, o marco universal de autenticación, de FIDO utiliza la biometría -como un sensor de huellas digitales o el escáner del iris, o la voz o el reconocimiento facial- para desbloquear una clave criptográfica en el dispositivo y utilizar eso para autenticarse en el servicio que desea utilizar; en ese punto, no necesita una contraseña en absoluto. Eso está en teléfonos como el iPhone y el Samsung Galaxy S5, pero no le permite utilizar el teléfono como dispositivo de autenticación para otros dispositivos.

Esa capacidad de dispositivo a dispositivo es una característica clave en las especificaciones FIDO 2.0. No es solo acerca de ser más conveniente para los usuarios, que solo tienen que registrarse y desbloquear un dispositivo (aunque eso es importante para lograr que la gente utilice sistemas FIDO). También significa que puede conectarse a un servicio FIDO en una Mac o PC sin sensor de huellas digitales, utilizando un teléfono con Android que sí lo tenga. (También ayuda a probar el sistema a futuro; si desarrollamos un nuevo identificador biométrico en cinco años, se puede usar eso para desbloquear los dispositivos y los servicios existentes.)

Para hacer que eso sea realmente útil, necesitamos el otro objetivo principal de FIDO 2.0; lo que FIDO Alliance llama "plataforma de apoyo ubicua. Como explica el presidente de FIDO Alliance Dustin Ingalls, "La misión de FIDO Alliance siempre ha sido una autenticación más fuerte y más simple": fuerte para ayudar a proteger los datos, y más simple para hacer frente a los problemas de los usuarios cuando tratan de crear y recordar múltiples nombres de usuario y contraseñas. Para lograr esta misión, la autenticación FIDO debe estar disponible en todas partes ... en todos los dispositivos que usa y con todas las aplicaciones y servicios que utiliza". Eso significa conseguir soporte FIDO fuera de la caja, no como un add-on.

Los 72 dispositivos certificados con FIDO disponibles hasta el momento son un comienzo, como lo es que la organización de estándares W3C planifique traer protocolos clave FIDO 2.0 y convertirlos en la base de un nuevo grupo de trabajo de autenticación web y una API Web cuyos servicios del navegador web pueden usar para el intercambio de credenciales FIDO. "¿Cómo podemos 'matar contraseñas'?", preguntó el blog W3C sobre la API Web propuesta. "Las especificaciones FIDO 2.0, que definen un mecanismo unificado para utilizar credenciales criptográficas para la autenticación inmune al phishing en la Web", es una respuesta.

Pero la forma en que podría ver por primera vez a FIDO 2.0 aparecer en su negocio es a través de Windows 10. La tecnología Hello de Microsoft en Windows 10, utiliza la biometría como el reconocimiento facial, huellas dactilares y -con los teléfonos Windows Mobile- escaneo del iris para acceder a su cuenta. Y la autenticación de dos factores de Microsoft Passport integrada en Windows 10 puede usar esa verificación biométrica (que no deambula entre los dispositivos y nunca se envía a un servicio) en lugar de un PIN para desbloquear tokens criptográficos (también se almacena en hardware seguro en el dispositivo) que lo hacen ingresar a los servicios -reemplazando a las contraseñas y a las tarjetas inteligentes físicas.

La combinación significa que no hay credenciales para robar o que se puedan fugar. Y a diferencia de las tarjetas inteligentes, no es necesario una PKI para desplegar credenciales hacia los dispositivos; porque Passport está integrado en Windows 10, solo la creación de una cuenta de Microsoft en Windows habilita a Passport.

Si esto suena familiar, es porque esos son los principios de FIDO. Y debido a que -junto con Google, PayPal y Nok Nok-abs- Microsoft está detrás de las especificaciones clave presentados para FIDO 2.0.

"Estamos en una misión para reemplazar las contraseñas por autenticación fuerte, fácil de usar para los consumidores y empresas por igual, para todos los dispositivos que la gente usa todos los días frente a todos los servicios que la gente usa todos los días", señala Chris Hallum de Microsoft. "Diseñamos Microsoft Passport para este propósito, pero queríamos resolver el desafío más allá de solo los dispositivos de Microsoft. Participar en FIDO y contribuir todas las especificaciones Microsoft Passport al grupo de trabajo FIDO 2.0 ayudará a alcanzar nuestro objetivo común de autenticación fuerte en todas partes".

Passport en el trabajo

Con Windows 10 Pro y Enterprise, se obtiene Passport para el trabajo, una versión "mejorada" que le permite elegir la intensidad del PIN y reforzar la biometría en la que confía.

Para los usuarios, esto significa que pueden sentarse en su computadora o recoger su teléfono y estar conectados a la red, a los servicios de la empresa a los que se supone tienen acceso, e incluso a su cuenta bancaria, sin tener que escribir una contraseña que podrían olvidar o tener que acordarse de llevar una mochila de hardware que pueden perder o dejar en casa.

Las especificaciones FIDO 2.0 aún no se han terminado. Microsoft llama a Windows 10 como "una implementación referencial de los conceptos" y planea asegurarse de que cumple con FIDO 2.0 una vez que esté completa (que Hallum sugiere será "en los próximos años"). Microsoft también planea agregar la función de dispositivo a dispositivo, que se llama de desbloqueo a distancia, y que tiene que funcionar con todos los dispositivos FIDO. "Microsoft Passport fue diseñado para darle opciones a los usuarios y a los ecosistemas de hardware", anota Hallum. "En el futuro, con los usuarios pudiendo utilizar un dispositivo compatible con FIDO (un teléfono, un llavero o un wereable) para desbloquear a la perfección su PC con Windows y autenticarse a los servicios Web, podrán pagar sus compras o cualquier número de otras actividades de autenticación".

La construcción de algunos de estos escenarios para su propio negocio significará utilizar Windows Server 2016 como un controlador de dominio para Active Directory y la configuración de administración de dispositivos móviles utilizando Intune o System Center Configuration Manager, pero no tiene que esperar hasta que llegue. He aquí por qué:

Hello y Passport ya pueden iniciar sesión en los servicios clave de consumo de Microsoft como Outlook.com y OneDrive. Y, Hallum señala, "las organizaciones que desean utilizar Microsoft Passport para la autenticación fuerte, pueden utilizarlo en dispositivos donde Azure Active Directory está proporcionando servicios de autenticación, para obtener acceso a miles de aplicaciones SaaS como Office 365 y Salesforce. A partir de la actualización de noviembre del 2015, las organizaciones que utilizan Azure Active Directory y Active Directory en sus instalaciones pueden utilizar sus credenciales de Microsoft Passport para tener acceso a todos sus recursos de la red de negocios en el sitio, así como los recursos basados en la nube, con un inicio de sesión único y nunca se les pedirá credenciales corporativas".

Así que, ¿qué tan cerca está la idea de sentarse en su PC y hacer que Windows Hello y Passport inicien sesión en su aplicación, su sistema de CRM y su cuenta bancaria? "Las organizaciones que quieren ofrecer servicios de software de negocios tienen varias opciones", comenta Hallum. "Por ejemplo, un banco podría optar por basarse en Azure Active Directory o la cuenta de Microsoft para autenticar al usuario de negocio o consumidor. O el banco podría optar por realizar su propia autenticación utilizando la tecnología Microsoft Passport".

Los servicios de consumo basados en FIDO pueden estar lejanos, anota Boroditsky de Twilio. "No hay nadie que crea que las contraseñas deban continuar; no hay defensor de la perpetuación de este sistema roto". Pero añade que podría tomar tiempo "hasta que haya suficientes dispositivos FIDO para que esto tenga sentido". Él señala que una compañía de tarjetas de crédito que trabaja con Authy (y que firmó por su cuenta con la FIDO Alliance) "estimaciones que podrían pasar tres años hasta que haya una masa crítica en su base de usuarios que les permita utilizar el dispositivo FIDO", y no ofender a los clientes que no tienen un dispositivo FIDO. "Para las empresas que sirven a los consumidores, tener una solución que sirva a todo el espectro del mercado es necesario".

Pero para su propio negocio, puede eliminar las contraseñas más rápido mediante el despliegue de Windows 10, especialmente una vez que la característica de desbloqueo a distancia significa que puede hacer eso con móviles y otros dispositivos secundarios. Dados los riesgos de la violación de contraseñas y el robo de credenciales, esto es algo que necesita para empezar a planificar lo antes posible.

María Branscombe, CIO (EE.UU.)