Cómo habilitar el inicio de sesión sin contraseñas en Azure AD

La autenticación sin contraseñas –passwordless authentication– llegó para quedarse.

Que es imposible recordar decenas cientos de contraseñas no es algo nuevo. Por eso es que desde hace ya varios años, sugerimos que todos utilicen un administrador de contraseñas. Usuarios hogareños, empresas, organismos de gobierno, etc.

Estos servicios nos permiten reducir el riesgo de la reutilización de contraseñas -una práctica en la que terminan cayendo los usuarios al verse abrumados por tantas y tantas contraseñas-, y por consiguiente de ser víctimas del vector de ataque conocido como credential stuffing, como el que sufrieron usuarios de la plataforma de videoconferencias Zoom hace algunas semanas.

Claro que la autenticación multifactor es otro de los mecanismos de seguridad que ayuda tanto a individuos como a organizaciones a minimizar la cantidad de accesos no-autorizados, pero los usuarios muchas veces se sienten frustrados de tener que utilizar un token o una llave de autenticación además de la contraseña.

La autenticación sin contraseñas parece ser la respuesta a este desafío. Permite al usuario dejar de lado por completo sus contraseñas mediante la utilización de un dispositivo FIDO2 -como las YubiKey- (algo que tiene), al mismo tiempo que respeta el paradigma de autenticación multifactor al requerir el ingreso de un PIN (algo que sabe) o la validación de identidad mediante biometría (algo que es).

Esta modalidad de inicio de sesión está disponible desde hace ya algún tiempo en distintas formas, siendo una de las más comunes la aprobación de inicio de sesión desde una aplicación.

El usuario, luego de ingresar su dirección de e-mail (en el navegador o en las apps compatibles), debe aprobar el inicio de sesión desde su teléfono o reloj inteligente, sin necesidad de ingresar una contraseña.

Gracias al estándar FIDO2/CTAP2, los usuarios pueden ahora utilizar un dispositivo FIDO2 en reemplazo de su nombre de usuario y contraseña.

Cómo funciona el inicio de sesión sin contraseña con un dispositivo FIDO2

  1. Cuando el usuario registra su llave de seguridad por primera vez, el dispositivo FIDO2 genera una clave privada y una pública. La clave privada es almacenada en el secure enclave, y solo puede ser accedida luego que el usuario desbloquea el dispositivo con un PIN o factor biométrico. Por su parte, la clave pública es enviada al proveedor de autenticación (en este caso Microsoft) y asociada a la cuenta del usuario.
  2. Más tarde, cuando el usuario intente iniciar sesión, el proveedor de autenticación enviará una secuencia numérica aleatoria –nonce- al dispositivo FIDO2.
  3. Una vez que el dispositivo FIDO2 es desbloqueado con un PIN o factor biométrico -recordemos que esto le permitirá tener acceso a la clave privada almacenada en el secure enclave-, el nonce es firmado y enviado junto con otros metadatos de regreso a Microsoft.
  4. Microsoft verifica el nonce usando la clave pública de la llave de seguridad.
  5. Si la operación es exitosa, se permite el inicio de sesión del usuario.

En el siguiente video podemos observar el flujo de inicio de sesión en una cuenta Microsoft (Outlook.com) utilizando una YubiKey 5C NFC + PIN.

Azure AD

Para las cuentas Microsoft, la posibilidad de utilizar una llave de seguridad para iniciar sesión ya se encuentra habilitada para todos los usuarios. En el caso de Azure AD, como la funcionalidad aun se encuentra en preview, vamos a tener que realizar algunas configuraciones adicionales.

Qué necesito

Antes de comenzar vamos a necesitar un dispositivo FIDO2 compatible, como la recientemente lanzada YubiKey 5C NFC, ya a la venta desde la página oficial de Yubico.

Un listado completo de los fabricantes de dispositivos FIDO2 compatibles con autenticación sin contraseñas se encuentra disponible aquí.

Registro combinado

Este es un paso adicional que debemos realizar si nuestro tenant fue creado antes del 15 de agosto de 2020. Si fue creado después, la funcionalidad de registro combinado está habilitada por defecto.

El registro combinado permite a los usuarios utilizar sus mecanismos de autenticación multifactor y SSPR (restablecimiento de contraseña autoservicio) indistintamente.

Para habilitar la funcionalidad de registro combinado:

  1. Ingresamos a https://portal.azure.com/.
  2. Seleccionamos Azure Active Directory y luego Configuración de usuario.
  3. Hacemos clic en el enlace Administrar la configuración de la versión preliminar de características del usuario dentro de la sección Versiones preliminares de características de usuarios.

4. Una vez allí, cambiamos la configuración de Los usuarios pueden utilizar la experiencia combinada de registro de información de seguridad a Todo y le damos Guardar.

Habilitar el uso de llaves de seguridad FIDO2

Para habilitar el uso de llaves de seguridad FIDO2, vamos a realizar los siguientes pasos:

  1. Ingresamos a https://portal.azure.com/.
  2. Seleccionamos Azure Active Directory y luego Seguridad.
  3. Una vez allí seleccionamos Métodos de autenticación. Por defecto, Llave de seguridad FIDO2 estará deshabilitado.

4. Seleccionamos Llave de seguridad FIDO2 y, en el panel de configuración, cambiamos Habilitar a y destino a Todos los usuarios (o Seleccionar usuarios en caso de querer restringir el acceso a esta funcionalidad a un grupo selecto de usuarios). Por último hacemos clic en Guardar.

Registrar y probar

A continuación vamos a registrar nuestro dispositivo FIDO2.

  1. Ingresamos a https://mysignins.microsoft.com/.
  2. Seleccionamos Información de seguridad (Security info) del panel de navegación izquierdo. Allí vamos a poder visualizar los métodos de validación de identidad actualmente cargados en nuestra cuenta.

3. Hacemos clic en Agregar método (Add method), elegimos Llave de seguridad (Security key) del menú de opciones, seleccionamos Agregar (Add), y seguimos las instrucciones en pantalla.

4. Una vez configurado nuestro primer dispositivo FIDO2, podemos repetir la operación para los de respaldo.

5. ¡Todo listo! En el siguiente video podemos observar el flujo de inicio de sesión en una cuenta de Azure AD utilizando una YubiKey 5C NFC + PIN.

¡Hasta la próxima!

Comentarios

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.