Las cuentas Microsoft ahora soportan autenticación sin contraseña mediante dispositivos FIDO 2

Microsoft y Yubico anunciaron esta semana que los usuarios de cuentas Microsoft (aquellas con dominio terminado en msn.com, hotmail.com, outlook.com, etc.) podrán iniciar sesión sin necesidad de ingresar una contraseña. Simplemente deberán insertar un dispositivo compatible con el estándar FIDO2/WebAuthn, como la YubiKey 5. Los usuarios de Office 365 deberán esperar unos meses más. Hace ya algunos años que Microsoft viene trabajando en su estrategia de inicio de sesión sin contraseñas -passwordless-. La aprobación de inicio de sesión a través de las notificaciones push de su aplicación Microsoft Authenticator son un gran ejemplo. El usuario ingresa su dirección de e-mail, presiona Siguiente y aprueba el inicio de sesión desde su teléfono o wearable. Pero ahora le llegó la oportunidad a las llaves de autenticación. En este post hablaba sobre las diferentes formas de autenticación multifactor y mencionaba las dos llaves de autenticación más populares, la YubiKey y la Titan -de Google-. Estas llaves trabajan con el estandar U2F, entre otros. Cuando conectamos por primera vez una llave U2F -o Universal Second Factor, por sus siglas en inglés- para asociarla con un sitio, ésta genera una clave pública y una privada (encriptada). La clave pública es enviada al proveedor de autenticación …

Read moreLas cuentas Microsoft ahora soportan autenticación sin contraseña mediante dispositivos FIDO 2

Qué pasa cuando la autenticación multifactor falla

El lunes 19 de Noviembre, alrededor de las 04:39 UTC, usuarios de los servicios de Office 365 y Azure alrededor del mundo comenzaron a experimentar problemas para iniciar sesión en sus cuentas. Al intentarlo, luego de ingresar la dirección de e-mail de la organización y la contraseña, se podía observar la clásica página de inicio de sesión aguardando la aprobación multifactor o el ingreso del token de seis dígitos. Para el caso de la aprobación, el pedido nunca llegaba a la aplicación Microsoft Authenticator. Los tokens, por su parte, directamente no funcionaban, y los SMS no llegaban al usuario. La página de estado de Office 365 informó acerca de la situación mediante la notificación de servicio MO165510 -que llegó unas cuantas horas más tarde de lo esperado– en la que confirmaban que los usuarios con MFA (autenticación multifactor, por su nombre en inglés) habilitado podrían tener problemas para iniciar sesión. Y esto es lo que se veía en la página de estado de los servicios de Azure alrededor de las 10 AM hora Argentina. ¿Deshabilitar o no deshabilitar MFA? Es un tema complejo. Definitivamente los administradores de Office 365 y Azure AD debieron haberse visto presionados por los usuarios -especialmente por los high-profile– …

Read moreQué pasa cuando la autenticación multifactor falla

¿Cómo funciona la autenticación multifactor?

Esta es la tercera de una serie de entregas dedicadas a temas de seguridad en Internet y cómo incrementar nuestro escudo protector cuando estamos en línea. En la primera hablamos sobre los administradores de contraseñas y en la segunda sobre las -cada vez más populares- violaciones de datos. Hoy vamos a hablar sobre el doble factor de autenticación, también conocido como two factor authentication, 2FA, o MFA -multi factor authentication-, por sus siglas en inglés. El concepto de doble factor de autenticación (aunque algunos lo llaman autenticación de dos pasos, pero eso lo vamos a hablar más adelante) dice que el usuario debe ser “desafiado” a utilizar dos mecanismos de autenticación entre los siguientes tres: Algo que sabés Algo que tenés Algo que sos Algo que sabés suele ser tu contraseña, y este es el primer factor de autenticación que usamos en todos lados. Algo que sos podría ser tu huella digital, reconocimiento facial, de retina, entre otros. Pero vamos a hablar del segundo mecanismo de autenticación más utilizado en el mundo: algo que tenés. Algo que tenés puede ser una tarjeta inteligente –smart card-, una llave de autenticación (como las YubiKey) o un token (físico o virtual). Para que …

Read more¿Cómo funciona la autenticación multifactor?

Microsoft reveló los requisitos mínimos de instalación para Windows 10

Photo by Markus Spiske on Unsplash

Falta cada vez menos para la salida de la versión final de Windows 10 y Microsoft ya anunció cuáles serán los requisitos mínimos de instalación de su nuevo sistema operativo. Como era de esperarse, no hay cambios respecto a los requisitos de su antecesor Windows 8. Tu equipo necesitará al menos 1 GB de memoria RAM para ejecutar la versión de 32 bits de Windows 10 y al menos 2 GB para ejecutar la versión de 64 bits. En cuanto a disco rígido necesitarás 16 GB y 20 GB de espacio disponible respectivamente y el procesador deberá correr a 1 Ghz o más. La versión para usuarios hogareños de Windows 10 (destinada a equipos de escritorio, portátiles y tablets) podrá ser utilizada en dispositivos con pantalla de 8 pulgadas o superior. Esto no significa que no veamos tablets de 7 pulgadas con el nuevo sistema operativo, en las que los fabricantes deberán instalar Windows 10 Professional. Todo dispositivo de menos de 8 pulgadas (7.99 a 3) entra en el terreno de Windows Phone, y necesitará como mínimo 512 MB de memoria RAM, al menos 4 GB de espacio en almacenamiento interno disponible y una pantalla con resolución nativa de 800 x 480 …

Read moreMicrosoft reveló los requisitos mínimos de instalación para Windows 10

¿Quiénes podrán actualizar a Windows 10 gratuitamente?

Photo by Markus Spiske on Unsplash

Días atrás les contaba acerca de la publicación de Windows 10 Technical Preview 2, la última versión en desarrollo del nuevo sistema operativo de Microsoft, que se espera tenga preparada su versión final para el verano de los Estados Unidos. Microsoft anunció que ofrecerá actualización gratuita a Windows 10 para los usuarios de Windows 7, Windows 8.1 y Windows Phone 8.1 durante el término de un año desde la fecha de salida de la versión final. Por otra parte, Terry Myerson, jefe de la división Sistemas Operativos de Microsoft, aseguró que quienes tengan una copia no-genuina de los sistemas operativos antes mencionados también podrán actualizar a Windows 10. Sin embargo, ésto no modificará su condición de no-genuino. ¡Hasta la próxima!

Windows 10 Technical Preview 2 ya está entre nosotros

Photo by Markus Spiske on Unsplash

Hace algunas horas, el equipo de desarrollo de Windows 10 liberó la última release -aun en fase de pruebas- del nuevo sistema operativo de Microsoft. Windows 10 build 10041 (también conocido como Technical Preview 2) incluye una serie de mejoras, principalmente en su interfaz gráfica. Para los ansiosos, en el último párrafo de esta nota podrán encontrar cómo descargar la nueva release. Menú inicio: El menú inicio renovado (introducido en la release 9926), ahora es transparente e incluye un nuevo botón All apps (Todas las aplicaciones) que beneficiará principalmente a los usuarios de dispositivos con pantalla táctil. Además, ahora podemos arrastrar y soltar aplicaciones desde All apps (Todas las aplicaciones) hacia la sección Most used apps (Aplicaciones más usadas). Escritorios virtuales: Demostrando una vez más que Microsoft escucha a los usuarios, ahora se pueden arrastrar ventanas a los escritorios virtuales (en versiones anteriores, era necesario utilizar el menú contextual del botón derecho del mouse). Además, arrastrando una venta al signo “+”, se puede crear un escritorio virtual y mover una ventana en una única acción. Cortana:  El asistente personal de Microsoft está ahora disponible para China, Inglaterra, Francia, Italia, Alemania y España (hasta ahora solo podían utilizarlo usuarios de los Estados Unidos). Cortana permite a los usuarios buscar aplicaciones, configuraciones y archivos, …

Read moreWindows 10 Technical Preview 2 ya está entre nosotros

Office 365 agrega soporte para DKIM y DMARC

Photo by Markus Spiske on Unsplash

Así lo anunciaron Terry Zink y Shobhit Sahay del equipo de producto de Office 365 en este artículo, en el cual aseguran que ambas funcionalidades obedecen a la necesidad que tienen las compañías que decidieron confiar sus correos electrónicos a Microsoft de mantener a sus usuarios seguros. Hasta hoy, Exchange Online ofrecía soporte para DKIM a los mensajes recibidos desde direcciones IPv6. Pero finalmente el equipo de Microsoft ha decidido extender la verificación a los mensajes recibidos desde direcciones IPv4 también. Este proceso, que se espera esté finalizado hacia mediados de 2015, garantizará a los usuarios de Office 365 que todos los correos electrónicos que reciban habrán pasado previamente por una verificación de DKIM. DKIM (o DomainKeys Identified Mail, por sus siglas en inglés) es un mecanismo de autenticación que permite a las organizaciones certificar que los correos electrónicos enviados desde sus dominios fueron procesados por servidores de correo en los que ellos confían. De alguna manera, DKIM protege contra la manipulación del correo electrónico, proporcionando integridad de extremo a extremo. De acuerdo a lo establecido en la RFC 6376, se inserta una firma DKIM en la cabecera del mensaje, y el módulo de comprobación (en los servidores de correo del receptor del mensaje) valida la firma obteniendo la clave pública del firmante …

Read moreOffice 365 agrega soporte para DKIM y DMARC

Office 365 users will get unlimited storage

Photo by Markus Spiske on Unsplash

Some months ago Microsoft announced some changes for its Office 365 subscribers, those who would gain 1 TB of OneDrive storage for Home, Personal and University plans. Today they announced that they would begin to roll out unlimited storage for these plans over the next weeks, but you can click here to get some preferential treatment. Chris Jones, vice-presidente for OneDrive & SharePoint, says that OneDrive for Business customers will receive the same upgrade during 2015.

Los suscriptores de Office 365 obtendrán espacio ilimitado

Photo by Markus Spiske on Unsplash

Hace algunos meses Microsoft anunciaba cambios para los suscriptores de Office 365, quienes obtendrían 1 TB de almacenamiento en OneDrive con sus planes Home, Personal y University. Hoy anunciaron que comenzarán a distribuir al mismo segmento de usuarios espacio de almacenamiento ilimitado. Si bien el impacto será progresivo, pueden postularse para recibir la actualización del espacio de manera anticipada aquí. Chris Jones, vice presidente del grupo OneDrive & SharePoint de Microsoft, explicó además en el comunicado que los usuarios de OneDrive for Business recibirán la actualización del espacio durante el año 2015. ¿Aun no sabés qué servicio de almacenamiento en la nube elegir? Te recomiendo ver la comparativa aquí.

Todo lo que necesitas saber acerca de POODLE

Photo by Markus Spiske on Unsplash

Hace algunos días fue confirmada una vulnerabilidad de la que se habían oído rumores tiempo atrás. Se trata de POODLE (Padding Oracle On Downgraded Legacy Encryption, por sus siglas en inglés), un fallo en el protocolo SSL 3.0 que podría permitir ataques del tipo MitM (Man in the Middle) en los que un atacante podría leer y modificar la información intercambiada entre dos equipos sin generar ninguna sospecha.

El fallo, registrado bajo el identificador CVE-2014-3566, fue descubierto por Bodo Möller, Thai Duong and Krzysztof Kotowicz del equipo de Seguridad de Google y publicado en el blog de la compañía.

Si bien la vulnerabilidad no es tan seria como sí lo fueron Heartbleed o Shellshock, debe ser tenida en cuenta y mitigada por los administradores de sistemas. SSL 3.0 ya cumplió 18 años, pero aún es utilizado por los navegadores para “escapar” de algunos errores que impedirían el correcto uso de protocolos más recientes. De esta manera, un atacante podría forzar el uso de SSL 3.0 para explotar sus deficiencias.

Usuarios hogareños

Para el caso de los usuarios hogareños u organizaciones que quieran proteger a sus usuarios de esta vulnerabilidad y evitar que un atacante intercepte la información intercambiada con un servidor que aún no ha mitigado el fallo, alcanza con deshabilitar el protocolo SSL 3.0 en los navegadores de internet.

Read moreTodo lo que necesitas saber acerca de POODLE