Basta de teclear – Cómo usar un token de seguridad con Windows para el desbloqueo de sesión sin contraseña

M.R 08/08/2018

En el artículo "Contraseñas seguras: ce087bb1b7c6ddedf860ae03d0ef3571" os contábamos sobre la seguridad de contraseñas, y lo que podemos hacer para mejorarla. Este artículo, explicará, a modo de tutorial, cómo se puede usar autenticación multifactorial empleando un token. Un token de seguridad es un dispositivo físico utilizado para obtener acceso a un recurso restringido electrónicamente. El token se usa como complemento a una contraseña, o en lugar de ella. Actúa como una llave electrónica para acceder a algo.

La semana pasada salió la noticia de que Google, empresa con más de 85,000 empleados se ha librado de sufrir un phishing de empleados gracias a tokens de hardware U2F. Compramos un token Yubikey NEO para probar la capacidad de este tipo de dispositivos. Y el día de ayer Microsoft anunció el reconocimiento biométrico para iniciar sesión en páginas web sin contraseñas.

La YubiKey es un dispositivo de autenticación de hardware fabricado por Yubico que admite contraseñas de un solo uso, cifrado y autenticación por clave pública y el protocolo Universal 2nd Factor (U2F) desarrollado por la Alianza FIDO (FIDO U2F). 

De este modo, permite a los usuarios iniciar sesión de forma segura en sus cuentas al emitir contraseñas de un solo uso o al usar un par de claves públicas/privadas basadas en FIDO generadas por el dispositivo. También permite almacenar contraseñas estáticas para usar en sitios que no admiten contraseñas de un solo uso. Facebook usa YubiKey para las credenciales de los empleados y Google lo admite tanto para empleados como para usuarios. También algunos administradores de contraseñas, como Keypass, el gestor presentado en el anterior artículo, admiten YubiKey. 

El token puede ser usado con una gran cantidad de servicios y aplicaciones como, por ejemplo, Salesforce, Dropbox, Github, OpenPGP, Docker y muchos más. También está soportado por casi todos sistemas operativos (Windows, macOS y la mayoría de las distribuciones Linux). En este tutorial os explicamos como usarlo con Windows. 

Hello for Business es una forma más de iniciar sesión en un dispositivo Windows 10 tanto con biometría, como con tokens.  Hello reemplaza el inicio de sesión de usuario y contraseña en Windows con una sólida autenticación de usuario basada en un par de claves asimétricas. Junto con los Multifactor Authentication Services (MFA), puede mejorar significativamente la seguridad de nuestros entornos on-premise, híbridos y cloud.

 

 

A nivel de endpoint, podemos configurar en pocos pasos el uso del token para el desbloqueo de sesión. Empezamos entrando en la página de Yubico: https://www.yubico.com/setup y elegimos nuestro modelo:

En el segundo paso decidimos que servicio queremos usar:

Eligiendo el icono de Windows nos proporcionan un enlace al Microsoft Store donde obtenemos la aplicación necesaria:
 

Antes de ejecutar entramos en Configuración y buscamos PIN y agregamos el servicio:

Creamos un PIN que cumple con todos los requisitos de una contraseña segura.

Nos saldrá un aviso de Windows Hello y nos manda un código de verificación por SMS:

Ahora podemos abrir la aplicación YubiKey for Windows Hello para registrar nuestro token:

Cliqueamos el botón Register y enchufamos el YubiKey en el puerto USB. Después clic en "Continue". Si el sistema reconoce el YubiKey correctamente, podemos ponerle un nombre:

Tardará unos segundos en salir un mensaje de éxito y Windows nos volverá a preguntar por el PIN que hemos definido en los pasos anteriores.

Una vez comprobado el dispositivo, está listo para su uso: