Windows Hello para empresas
Introducción
Windows Hello es una tecnología de autenticación que permite a los usuarios iniciar sesión en sus dispositivos Windows mediante datos biométricos, o un PIN, en lugar de una contraseña tradicional. Proporciona seguridad mejorada a través de la autenticación en dos fases resistente a la phish y la protección integrada de la fuerza bruta. Con FIDO/WebAuthn, Windows Hello también se puede usar para iniciar sesión en sitios web compatibles, lo que reduce la necesidad de recordar varias contraseñas complejas.
Windows Hello para empresas es una extensión de Windows Hello que proporciona funcionalidades de administración y seguridad de nivel empresarial, incluida la atestación de dispositivos, la autenticación basada en certificados y las directivas de acceso condicional. La configuración de directivas se puede implementar en los dispositivos para asegurarse de que son seguras y cumplen los requisitos de la organización.
En la tabla siguiente se enumeran las principales diferencias de autenticación y seguridad entre Windows Hello y Windows Hello para empresas:
Windows Hello para empresas | Windows Hello | |
---|---|---|
Authentication | Los usuarios pueden autenticarse en: - Una cuenta de Microsoft Entra ID - Una cuenta de Active Directory - Proveedor de identidades (IdP) o servicios de usuario de confianza (RP) que admiten la autenticación fast ID Online (FIDO) v2.0 . |
Los usuarios pueden autenticarse en: - Una cuenta de Microsoft - Proveedor de identidades (IdP) o servicios de usuario de confianza (RP) que admiten la autenticación fast ID Online (FIDO) v2.0 . |
Seguridad | Usa la autenticación basada en claves o basada en certificados . No hay ningún secreto simétrico (contraseña) que se pueda robar de un servidor o suplantar a un usuario y usarse de forma remota. La seguridad mejorada está disponible en dispositivos con un módulo de plataforma segura (TPM). |
Los usuarios pueden crear un PIN o un gesto biométrico en sus dispositivos personales para un inicio de sesión conveniente. Este uso de Windows Hello es único para el dispositivo en el que está configurado, pero puede usar un hash de contraseña en función del tipo de cuenta. Esta configuración se conoce como Windows Hello PIN de conveniencia y no está respaldada por la autenticación asimétrica (clave pública/privada) ni la autenticación basada en certificados. |
Nota
La autenticación FIDO2 (Fast Identity Online) es un estándar abierto para la autenticación sin contraseña. Permite a los usuarios iniciar sesión en sus dispositivos y aplicaciones mediante la autenticación biométrica o una clave de seguridad física, sin necesidad de una contraseña tradicional. La compatibilidad con FIDO2 en Windows Hello para empresas proporciona un nivel adicional de seguridad y comodidad para los usuarios, a la vez que reduce el riesgo de ataques relacionados con contraseñas.
Ventajas
Windows Hello para empresas proporciona muchas ventajas, entre las que se incluyen:
- Ayuda a reforzar las protecciones contra el robo de credenciales. Un atacante debe tener tanto el dispositivo como la biométrica o el PIN, lo que dificulta mucho más el acceso sin el conocimiento del usuario.
- Puesto que no se usan contraseñas, evita los ataques de suplantación de identidad y fuerza bruta. Lo más importante es que evita las infracciones del servidor y los ataques de reproducción porque las credenciales son asimétricas y se generan en entornos aislados de LOS TPM.
- Los usuarios obtienen un método de autenticación sencillo y práctico (copia de seguridad con un PIN) que siempre está con ellos, por lo que no hay nada que perder. El uso de un PIN no pone en peligro la seguridad, ya que Windows Hello tiene protección de fuerza bruta integrada y el PIN nunca sale del dispositivo.
- Puede agregar dispositivos biométricos como parte de un lanzamiento coordinado o a usuarios específicos, según sea necesario.
En el vídeo siguiente se muestra una demostración de Windows Hello para empresas en acción, donde un usuario inicia sesión con una huella digital:
Windows Hello y autenticación en dos fases
Windows Hello para empresas usa un método de autenticación en dos fases que combina una credencial específica del dispositivo con un gesto de PIN o biométrico. Esta credencial está asociada a su proveedor de identidades, como Microsoft Entra ID o Active Directory, y se puede usar para acceder a aplicaciones, sitios web y servicios de la organización.
Después de una comprobación inicial en dos pasos del usuario durante el aprovisionamiento, Windows Hello se configura en el dispositivo del usuario y Windows pide al usuario que establezca un gesto, que puede ser biométrico y un PIN. El usuario proporciona el gesto para verificar su identidad. Windows, a continuación, usa Windows Hello para autenticar usuarios.
Windows Hello para empresas se considera autenticación en dos fases en función de los factores de autenticación observados de: algo que tiene, algo que sabe y algo que forma parte de usted. Windows Hello para empresas incorpora dos de estos factores: algo que tienes (la clave privada del usuario protegida por el módulo de seguridad del dispositivo) y algo que sabes (el PIN). Con el hardware adecuado, puedes mejorar la experiencia del usuario mediante la introducción de la biométrica. Mediante el uso de la biometría, puede reemplazar el factor de autenticación algo que conoce por el elemento que forma parte de su factor, con las garantías de que los usuarios pueden revertir al factor que conoce.
Inicio de sesión biométrico
Windows Hello ofrece una confiable autenticación biométrica completamente integrada basada en el reconocimiento de rostros o la coincidencia de huella digital. Windows Hello usa una combinación de cámaras de infrarrojos (IR) y software especiales para aumentar la precisión y proteger contra la suplantación de identidad. Los principales proveedores de hardware son los dispositivos de envío que han integrado cámaras compatibles con Windows Hello y lectores de huellas digitales.
En los dispositivos que admiten Windows Hello, un gesto biométrico sencillo desbloquea las credenciales de los usuarios:
- Reconocimiento facial: este tipo de reconocimiento biométrico utiliza cámaras especiales que ven en la luz IR, lo que les permite distinguir de forma confiable la diferencia entre una fotografía o escaneo y una persona viva. Varios proveedores ofrecen cámaras externas que incorporan esta tecnología, y muchos fabricantes de equipos portátiles la incorporan en sus dispositivos
- Reconocimiento de huellas digitales: este tipo de reconocimiento biométrico usa un sensor de huella digital capacitiva para escanear la huella digital. La mayoría de los lectores de huellas digitales existentes funcionan con Windows, ya sean externos o integrados en portátiles o teclados USB.
- Reconocimiento de iris: este tipo de reconocimiento biométrico usa cámaras para realizar el examen del iris. HoloLens 2 es el primer dispositivo de Microsoft en presentar un escáner Iris
Windows almacena los datos biométricos que se usan para implementar Windows Hello de forma segura solo en el dispositivo local. Los datos biométricos no se mueven y nunca se envían a dispositivos o servidores externos. Dado que Windows Hello solo almacena datos de identificación biométrica en el dispositivo, no hay un único punto de recopilación que un atacante pueda poner en peligro para robar datos biométricos.
Requisitos de licencia y de la edición de Windows
En la tabla siguiente se enumeran las ediciones de Windows que admiten Windows Hello para empresas:
Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
---|---|---|---|
Sí | Sí | Sí | Sí |
Windows Hello para empresas derechos de licencia se conceden mediante las siguientes licencias:
Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
---|---|---|---|---|
Sí | Sí | Sí | Sí | Sí |
Se puede obtener más información sobre las licencias de Windows en Información general sobre las licencias de Windows.
Nota
Windows Hello para empresas no funciona con Servicios de dominio de Microsoft Entra.
Requisitos de hardware
Microsoft colabora con los fabricantes para ayudar a garantizar que cada sensor y dispositivo cumpla un alto nivel de rendimiento y protección, en función de los siguientes requisitos:
- Tasa de aceptación falsa (FAR): representa la instancia de que una solución de identificación biométrica comprueba a una persona no autorizada. Normalmente, esto se representa como una proporción de número de instancias de un tamaño de población determinado, por ejemplo, 1 en 100 000. Esto también se puede representar como un porcentaje de instancia, por ejemplo, 0,001 %. Esta medición se considera en gran medida la más importante con respecto a la seguridad del algoritmo biométrico
- Tasa de rechazo falso (FRR): representa las instancias en las que una solución de identificación biométrica no puede comprobar correctamente a una persona autorizada. Representada como un porcentaje, la suma de la tasa de aceptación verdadera y la tasa de rechazo falso es 1. Puede ser con o sin detección de anti-suplantación o de vida
Requisitos del sensor de huellas digitales
Para permitir la coincidencia de huellas digitales, los dispositivos deben tener sensores de huellas digitales y software. Los sensores de huellas digitales pueden ser sensores táctiles (área grande o área pequeña) o sensores de deslizamiento. Cada tipo de sensor tiene su propio conjunto de requisitos detallados que debe implementar el fabricante, pero todos los sensores deben incluir medidas contra la suplantación de identidad.
Rango de rendimiento aceptable para sensores táctiles de tamaño pequeño a grande:
- Tasa de aceptación falsa (FAR): <0,001 - 0,002%
- FRR real eficaz con detección de vitalidad o anti-spoofing: <10 %
Rango de rendimiento aceptable para los sensores de deslizamiento:
- Tasa de aceptación falsa (FAR): <0,002 %
- FRR real eficaz con detección de anti-spoofing o vitalidad: <10 %
Sensores de reconocimiento de rostros
Para permitir el reconocimiento de rostros, debes disponer de dispositivos con software y sensores infrarrojos (IR) especiales integrados. Los sensores de reconocimiento facial usan cámaras especiales que ven en la luz IR, lo que les permite distinguir la diferencia entre una foto y una persona viva mientras examinan las características faciales de un empleado. Estos sensores, como los sensores de huellas digitales, también deben incluir medidas anti-spoofing (obligatorio) y una manera de configurarlas (opcional).
- Tasa de aceptación falsa (FAR): <0,001%
- Tasa de rechazo falso (FRR) sin detección de anti-spoofing o vitalidad: <5 %
- FRR real eficaz con detección de vitalidad o anti-spoofing: <10 %
Nota
Windows Hello autenticación facial no admite el uso de una máscara durante la inscripción o autenticación. Si el entorno de trabajo no le permite quitar una máscara temporalmente, considere la posibilidad de usar el PIN o la huella digital.
Requisitos del sensor de reconocimiento iris
Para usar la autenticación de Iris, necesita un dispositivo HoloLens 2. Todas las ediciones HoloLens 2 están equipadas con los mismos sensores. Iris se implementa de la misma manera que otras tecnologías de Windows Hello y logra una seguridad biométrica de 1/100 000.
Para obtener más información sobre los requisitos de hardware para Windows Hello, consulte Windows Hello requisitos biométricos.