Saltar al contenido principal
Microsoft 365
Suscríbete

Inicio de sesión seguro sin contraseña para tu cuenta de Microsoft con una clave de seguridad o Windows Hello

Nota del editor del 26/11/2018:
Esta publicación se actualizó para incluir información sobre la disponibilidad del inicio de sesión sin contraseña.

¡Hola!

Qué ganas de compartir las noticias de hoy. Acabamos de activar la capacidad de iniciar sesión de forma segura en tu cuenta de Microsoft con un dispositivo compatible con FIDO2 basado en estándares, sin necesidad de usar un nombre de usuario ni una contraseña. FIDO2 permite a los usuarios aprovechar los dispositivos basados en estándares para autenticarse fácilmente en servicios online, ya sea en entornos móviles o de escritorio. Ya está disponible en Estados Unidos y se implementará de forma global en las próximas semanas.

Este método que combina la facilidad de uso, la seguridad y la compatibilidad de un amplio sector va a implicar una transformación tanto en el hogar como en el área de trabajo moderna. Todos los meses, más de 800 millones de personas usan una cuenta de Microsoft para crear, conectarse y compartir desde cualquier lugar en Outlook, Office, OneDrive, Bing, Skype y Xbox Live, tanto para trabajar como para jugar. Ahora, todas ellas pueden beneficiarse de esta sencilla experiencia del usuario y la seguridad mejorada en gran medida.

A partir de hoy, puedes usar un dispositivo FIDO2 o Windows Hello para iniciar sesión en tu cuenta de Microsoft con el explorador Microsoft Edge.

Ve este vídeo rápido en el que se muestra cómo funciona:

Microsoft ha trabajado para eliminar las contraseñas y ayudar a las personas a proteger sus datos y cuentas de las amenazas. Como miembros de la Fast Identity Online (FIDO) Alliance y el World Wide Web Consortium (W3C), hemos estado trabajando con otros para desarrollar estándares abiertos para la autenticación de la siguiente generación. Me complace compartir que Microsoft es la primera empresa de Fortune 500 que admite la autenticación sin contraseña mediante las especificaciones WebAuthn y FIDO2, y que Microsoft Edge admite la más amplia variedad de autenticadores en comparación con otros de los principales exploradores.

Si quieres conocer más detalles sobre cómo funciona y cómo empezar a usarla, sigue leyendo.

Introducción

Para iniciar sesión con tu cuenta de Microsoft con una clave de seguridad FIDO2:

  1. Si aún no lo has hecho, asegúrate de que has instalado la actualización de octubre de 2018 de Windows 10.
  2. Ve a la página de la cuenta de Microsoft en Microsoft Edge e inicia sesión como siempre.
  3. Selecciona Seguridad > Más opciones de seguridad y, en Llaves de seguridad y Windows Hello, verás instrucciones para configurar una clave de seguridad. (Puedes comprar una clave de seguridad de uno de nuestros socios, incluidos Yubico y Feitian Technologies, que admita el estándar FIDO2).*
  4. La próxima vez que inicies sesión, puedes hacer clic en Más opciones > Usar una clave de seguridad o escribir tu nombre de usuario. En ese momento, se te pedirá que uses una clave de seguridad para iniciar sesión.

Te recordamos cómo iniciar sesión con tu cuenta de Microsoft mediante Windows Hello:

  1. Asegúrate de que has instalado la actualización de octubre de 2018 de Windows 10.
  2. Si aún no lo has hecho, tendrás que configurar Windows Hello. Si ya has configurado Windows Hello, puedes continuar.
  3. La próxima vez que inicies sesión en Microsoft Edge, puedes hacer clic en Más opciones > Usar Windows Hello o una clave de seguridad, o bien escribir tu nombre de usuario. En ese momento, se te pedirá que uses Windows Hello o una clave de seguridad para iniciar sesión.

Si necesitas más ayuda, consulta nuestro artículo de ayuda detallado sobre cómo configurarlo.

*Hay un par de características opcionales en la especificación de FIDO2 que creemos que son fundamentales para la seguridad, por lo que solo funcionarán las claves que las hayan implementado. Consulta ¿Qué es una clave de seguridad compatible con Microsoft? para obtener más información.

¿Cómo funciona?

En segundo plano, hemos implementado las especificaciones WebAuthn y FIDO2 CTAP2 en nuestros servicios para convertirla en una realidad.

A diferencia de las contraseñas, FIDO2 protege las credenciales de los usuarios mediante el cifrado de claves públicas y privadas. Al crear y registrar una credencial de FIDO2, el dispositivo (el equipo o dispositivo FIDO2) genera una clave privada o pública en este. La clave privada se almacena de forma segura en el dispositivo y solo se puede usar después de que se haya desbloqueado mediante un gesto local, ya sea biométrico o un PIN. Ten en cuenta que el gesto biométrico o el PIN nunca abandonan el dispositivo. Al mismo tiempo que se almacena la clave privada, la pública se envía al sistema de cuentas de Microsoft en la nube y se registra con tu cuenta de usuario.

Cuando inicias sesión más adelante, el sistema de cuentas de Microsoft proporciona un valor nonce al equipo o dispositivo FIDO2. El equipo o dispositivo usa entonces la clave privada para firmar el valor nonce. El valor nonce y los metadatos firmados se vuelven a enviar al sistema de cuentas de Microsoft, donde se verifican mediante la clave pública. Los metadatos firmados tal y como indican las especificaciones WebAuthn y FIDO2 proporcionan información (por ejemplo, si el usuario estaba presente) y verifican la autenticación por medio del gesto local. Estas propiedades hacen que el malware no pueda suplantar ni robar fácilmente la autenticación con Windows Hello y dispositivos FIDO2.

¿Cómo implementan esto Windows Hello y los dispositivos FIDO2? Dependiendo de las funcionalidades de tu dispositivo con Windows 10, tendrás un enclave seguro integrado, conocido como módulo de plataforma segura (TPM) de hardware o un TPM de software. EL TPM almacena la clave privada, que requiere tu cara, huella digital o PIN para desbloquearla. De forma similar, un dispositivo FIDO2 (por ejemplo, una clave de seguridad) es un pequeño dispositivo externo con su propio enclave seguro integrado que almacena la clave privada y requiere el gesto biométrico o el PIN para desbloquearla. Ambas opciones ofrecen la autenticación en dos fases en un solo paso, lo que requiere un dispositivo registrado y un gesto biométrico o un PIN para poder iniciar sesión correctamente.

Consulta este artículo en nuestro blog Identity Standards, en el que se describen todos los detalles técnicos sobre la implementación.

¿Qué depara el futuro?

Vamos a presentar muchas cosas geniales como parte de nuestro empeño por reducir e incluso eliminar el uso de contraseñas. Actualmente, estamos creando la misma experiencia de inicio de sesión desde un explorador con claves de seguridad para cuentas profesionales y educativas en Azure Active Directory. Los clientes empresariales podrán probar una versión preliminar de esto a principios del año que entra, en la que podrán permitir que sus empleados configuren las claves de seguridad de sus cuentas para iniciar sesión en Windows 10 y en la nube.

Además, conforme más exploradores y plataformas empiecen a admitir los estándares WebAuthn y FIDO2, contamos con que la experiencia sin contraseña, que está disponible en estos momentos en Microsoft Edge y Windows, esté disponible en todas partes.

Mantente al día para descubrir más detalles a principios del próximo año.

Un saludo,
Alex Simons (@Twitter: @Alex_A_Simons)
Vicepresidente de administración de programas
Departamento de Microsoft Identity