Las cuentas Microsoft ahora soportan autenticación sin contraseña mediante dispositivos FIDO 2

Las cuentas Microsoft ahora soportan autenticación sin contraseña mediante dispositivos FIDO 2

Microsoft y Yubico anunciaron esta semana que los usuarios de cuentas Microsoft (aquellas con dominio terminado en msn.com, hotmail.com, outlook.com, etc.) podrán iniciar sesión sin necesidad de ingresar una contraseña. Simplemente deberán insertar un dispositivo compatible con el estándar FIDO2/WebAuthn, como la YubiKey 5. Los usuarios de Office 365 deberán esperar unos meses más.

Hace ya algunos años que Microsoft viene trabajando en su estrategia de inicio de sesión sin contraseñas -passwordless-. La aprobación de inicio de sesión a través de las notificaciones push de su aplicación Microsoft Authenticator son un gran ejemplo. El usuario ingresa su dirección de e-mail, presiona Siguiente y aprueba el inicio de sesión desde su teléfono o wearable.

Pero ahora le llegó la oportunidad a las llaves de autenticación. En este post hablaba sobre las diferentes formas de autenticación multi-factor y mencionaba las dos llaves de autenticación más populares, la YubiKey y la Titan -de Google-. Estas llaves trabajan con el estandar U2F, entre otros.

Cuando conectamos por primera vez una llave U2F -o Universal Second Factor, por sus siglas en inglés- para asociarla con un sitio, ésta genera una clave pública y una privada (encriptada). La clave pública es enviada al proveedor de autenticación (el sitio), quien la asocia con la cuenta del usuario.

Cada vez que el usuario inicie sesión -luego de ingresar usuario y contraseña-, el proveedor de autenticación utilizará esa clave pública para confirmar que la información –nonce– enviada por la llave conectada al puerto USB (o via NFC/bluetooth) haya sido generada por la llave asociada a la cuenta y no por otra.

A diferencia del estándar U2F, FIDO2/WebAuthn no requiere que el usuario ingrese ni su nombre de usuario (dirección de e-mail para el caso de este post) ni su contraseña.

Al momento de publicar este post, solo se pueden configurar llaves de autenticación navegando el sitio de Microsoft en idioma inglés.
  1. Para configurar la autenticación passwordless con una YubiKey en nuestra cuenta Microsoft necesitamos tener instalado Windows 10 v.1809 o superior y haber iniciado sesión en la página de cuentas desde Microsoft Edge.
  2. Luego hacemos click en Security > More security options > Set up a security key.
  3. Elegimos el tipo de llave a utilizar (USB device / NFC device) y presionamos Next.
  4. El sitio nos va a redireccionar a la página de configuración. Allí debemos elegir un PIN, que será almacenado solo en la llave de autenticación -no en la cuenta Microsoft-.
  5. Y luego insertar la llave de autenticación (si tiene un botón, lo presionamos).
  6. Elegimos un nombre para la llave, que nos va a permitir identificarla si configuramos múltiples y presionamos Next.
  7. Todo listo!
La próxima vez que iniciemos sesión tenemos que elegir Sign in with Windows Hello or a security key en la pantalla de inicio de sesión, colocar nuestra llave de autenticación (tocar su botón, si lo tuviera) e ingresar el PIN.

Pese a que el inicio de sesión no requiere el uso de una contraseña, se puede decir que la autenticación passwordless sigue siendo una autenticación multi-factor ya que utilizamos la llave (algo que tenés) y el PIN (algo que sabés).

Hasta la próxima!