Información general de Windows Hello para empresas

  • Artículo
  • Tiempo de lectura: 9 minutos

Se aplica a:

  • Windows10
  • Windows11

En Windows 10, Windows Hello para empresas reemplaza las contraseñas por la autenticación segura en dos fases, tanto en equipos como en dispositivos móviles. Esta autenticación consiste en un tipo nuevo de credenciales de usuario vinculadas a un dispositivo y usa un PIN o datos biométricos.

Nota

Cuando Windows10 se lanzó por primera vez, incluía Microsoft Passport y Windows Hello, que funcionaban conjuntamente para ofrecer autenticación multifactor. Para simplificar la implementación y mejorar la compatibilidad, Microsoft ha reunido estas tecnologías en sola solución llamada Windows Hello. Los clientes que ya hayan implementado estas tecnologías no sufrirán ningún cambio en la funcionalidad. A los clientes que todavía no hayan evaluado Windows Hello les resultará más fácil de implementar, gracias a la simplificación de las directivas, la documentación y la semántica.

Windows Hello soluciona estos problemas de las contraseñas:

  • Las contraseñas seguras resultan difíciles de recordar, por lo que los usuarios suelen reutilizarlas en varios sitios.
  • Las infracciones en el servidor pueden dejar expuestas las credenciales de red simétricas (contraseñas).
  • Las contraseñas están sujetas a ataques de reproducción.
  • Los usuarios pueden dejarlas, sin querer, expuestas a ataques de suplantación de identidad (phishing).

Windows Hello permite a los usuarios autenticarse en:

  • una cuenta de Microsoft.
  • una cuenta de Active Directory.
  • una cuenta de Microsoft Azure Active Directory (Azure AD).
  • servicios de proveedores de identidad o servicios de usuarios de confianza que admitan la autenticación mediante Fast ID Online (FIDO) v2.0 (en curso)

Después de una comprobación inicial en dos pasos del usuario durante la inscripción, Windows Hello se configura en el dispositivo del usuario y Windows pide al usuario configure un gesto, que puede ser biométrico (como una huella dactilar) o un PIN. El usuario proporciona el gesto para verificar su identidad. Windows, a continuación, usa Windows Hello para autenticar usuarios.

Como administrador de una empresa o una organización educativa, puedes crear directivas para administrar el uso de Windows Hello para empresas en los dispositivos Windows°10 que se conectan a tu organización.

Inicio de sesión biométrico

Windows Hello ofrece una confiable autenticación biométrica completamente integrada basada en el reconocimiento de rostros o la coincidencia de huella digital. Windows Hello usa una combinación de cámaras de infrarrojos (IR) y software especiales para aumentar la precisión y proteger contra la suplantación de identidad. Los proveedores principales de hardware están ofreciendo dispositivos con cámaras compatibles con Windows Hello integradas. El hardware del lector de huellas digitales se puede usar o agregar a dispositivos que no lo tienen actualmente. En los dispositivos que admiten Windows Hello, un gesto biométrico fácil desbloquea las credenciales de los usuarios.

  • Reconocimiento facial. Este tipo de reconocimiento biométrico usa cámaras especiales que admiten la iluminación de infrarrojos, lo que permite distinguir de manera confiable entre una foto o digitalización y una persona real. Varios proveedores están ofreciendo cámaras externas que incorporan esta tecnología y los fabricantes de portátiles más importantes también las están incorporando en sus dispositivos.
  • Reconocimiento de huellas digitales. Este tipo de reconocimiento biométrico usa un sensor de huella digital capacitivo para analizar tu huella digital. Hace años que hay lectores de huellas digitales disponibles para los PC Windows, pero la generación actual de sensores es mucho más confiable y menos propensa a errores. La mayoría de los lectores de huellas digitales existentes (ya sean externos o integrados en portátiles o teclados USB) funcionan con Windows 10 y Windows 11.

Windows almacena los datos biométricos que se usan para implementar Windows Hello de forma segura solo en el dispositivo local. Los datos biométricos no se recorren y nunca se envían a servidores o dispositivos externos. Dado Windows Hello solo almacena datos de identificación biométrica en el dispositivo, no hay ningún punto de recopilación que un atacante pueda comprometer para robar datos biométricos. Para obtener más información acerca de la autenticación biométrica con Windows Hello para empresas, vea Windows Hello biometría en la empresa.

La diferencia entre Windows Hello y Windows Hello para empresas

  • Las personas pueden crear un PIN o un gesto biométrico en sus dispositivos personales para iniciar sesión cómodamente. Este uso de Windows Hello es único para el dispositivo en el que está configurado, pero puede usar un hash de contraseña simple según el tipo de cuenta de una persona. Esta configuración se conoce como PIN Windows Hello comodidad y no está basada en la autenticación asimétrica (clave pública o privada) ni en la autenticación basada en certificados.

  • Windows Hello paraempresas, que se configura mediante la directiva de grupo o la directiva de administración de dispositivos móviles (MDM), siempre usa la autenticación basada en claves o en certificados. Esto hace que sea mucho más seguro que Windows Hello pin de conveniencia.

Ventajas de Windows Hello

Las noticias de robos de identidad y piratería a gran escala ocupan grandes titulares con frecuencia. Nadie quiere recibir la noticia de que su nombre de usuario y su contraseña han quedado expuestos.

Quizá te preguntes cómo vas a proteger mejor un dispositivo con un PIN que con una contraseña. Las contraseñas son secretos compartidos: se escriben en un dispositivo, pero se transmiten al servidor por la red. Cualquier persona, en cualquier lugar, puede usar un nombre de cuenta y una contraseña interceptados. Además, como se guardan en el servidor, una infracción del servidor puede revelar las credenciales almacenadas.

En Windows°10, Windows Hello reemplaza las contraseñas. Cuando el proveedor de identidades admite claves, el proceso de aprovisionamiento de Windows Hello crea un par de claves criptográficas enlazado al Módulo de plataforma de confianza (TPM), si un dispositivo tiene un TPM 2.0 o en software. Solo se permite acceder a estas claves y obtener una firma para validar la posesión del usuario de la clave privada con el PIN o con el gesto biométrico. La verificación en dos pasos que tiene lugar durante la inscripción en Windows Hello crea una relación de confianza entre el proveedor de identidad y el usuario cuando la parte pública del par de claves pública y privada se envía a un proveedor de identidad y se asocia a una cuenta de usuario. Cuando el usuario introduce el gesto en el dispositivo, el proveedor de identidad sabe, por la combinación de las teclas y el gesto de Windows Hello, que se trata de una identidad verificada y proporciona un token de autenticación que permite a Windows°10 acceder a recursos y servicios.

Nota

Windows Hello, como inicio de sesión directo, usa la autenticación de nombre de usuario y contraseña normal, sin que el usuario escriba la contraseña.

Cómo funciona la autenticación en Windows Hello.

Imagina que, mientras sacas dinero de un cajero, alguien mira por encima del hombro para ver el PIN que escribes. Aunque sepa el PIN, no puede acceder a tu cuenta porque no tiene la tarjeta. Del mismo modo, aunque un atacante se entere del PIN de tu dispositivo, no puede obtener acceso a tu cuenta porque el PIN es local y específico de ese dispositivo, así que no permite la autenticación de ningún tipo desde otro dispositivo.

Windows Hello protege las identidades y las credenciales de los usuarios. Dado que el usuario no escribe una contraseña (excepto durante el aprovisionamiento), se evitan ataques de fuerza bruta y de suplantación de identidad. También evita infracciones en el servidor porque las credenciales de Windows Hello son un par de claves asimétricas, lo que impide ataques de reproducción cuando estas claves están protegidas mediante TPM.

Cómo funciona Windows Hello para empresas: puntos clave

  • Las credenciales de Windows Hello se basan en un certificado o un par de claves asimétricas. Las credenciales de Windows Hello se pueden enlazar con el dispositivo y el token que se obtiene con la credencial también se enlaza al dispositivo.

  • El proveedor de identidad (por ejemplo, la cuenta Active Directory, Azure AD o Microsoft) valida la identidad del usuario y asigna la clave pública de Windows Hello a la cuenta del usuario durante el paso de registro.

  • Las claves se pueden generar en el hardware (TPM 1.2 o 2.0 para empresas y TPM 2.0 para consumidores) o en el software, en función de la directiva.

  • La autenticación es la autenticación en dos fases con la combinación de una clave o certificado vinculado a un dispositivo y algo que la persona conoce (un PIN) o algo que la persona es (biometría). El Windows Hello no se recorre entre dispositivos y no se comparte con el servidor. Las plantillas de biometría se almacenan localmente en un dispositivo. El PIN nunca se almacena ni se comparte.

  • La clave privada nunca sale de un dispositivo cuando se usa TPM. El servidor de autenticación tiene una clave pública que se asigna a la cuenta de usuario durante el proceso de registro.

  • La entrada de PIN y el gesto biométrico provocan que Windows 10 use la clave privada para firmar criptográficamente los datos que se envían al proveedor de identidad. El proveedor de identidad comprueba la identidad del usuario y lo autentica.

  • Las cuentas personales (cuenta Microsoft) y las corporativas (Active Directory o Azure AD) usan un solo contenedor para las claves. Todas las claves están separadas por dominios de proveedores de identidad para garantizar la privacidad del usuario.

  • Las claves privadas de certificados pueden estar protegidas por el contenedor y el gesto de Windows Hello.

Para obtener más información, consulta Cómo funciona Windows Hello para empresas.

Comparación de la autenticación basada en claves y la basada en certificados

Windows Hello para empresas puede usar tanto claves (de hardware o de software) como certificados de hardware o de software. Las empresas que tienen una infraestructura de clave pública (PKI) para emitir y administrar certificados de usuario final pueden seguir usando PKI en combinación con Windows Hello. Las empresas que no usan PKI o desean reducir el esfuerzo asociado con la administración de certificados de usuario pueden confiar en credenciales basadas en claves para Windows Hello pero siguen utilizando certificados en sus controladores de dominio como raíz de confianza.

Windows Hello para empresas con una clave no admite las credenciales proporcionadas para RDP. RDP no admite la autenticación con una clave o un certificado autofirmado. RDP con Windows Hello para empresas se admite con implementaciones basadas en certificados como una credencial suministrada. Windows Hello confianza clave para empresas se puede usar con Windows Defender Remote Credential Guard.

Nota

Windows Hello para empresas está presentando un nuevo modelo de confianza denominado confianza en la nube a principios de 2022. Este modelo de confianza habilitará la implementación de Windows Hello para empresas mediante la infraestructura introducida para admitir el inicio de sesión de clave de seguridad en dispositivos híbridos unidos Azure ADy acceso a recursos locales en dispositivos unidos Azure AD. Habrá más información disponible en Windows Hello confianza en la nube para empresas una vez que esté disponible en general.

Obtén más información

Implementar una autenticación de usuario segura con Windows Hello para empresas

Implementación de Windows Hello para empresas de Microsoft

Introduction to Windows Hello (Introducción a Windows Hello), presentación de vídeo de Microsoft Virtual Academy

Autenticación facial de Windows Hello

Windows 10: Interrumpir la revolución de amenazas de Internet con seguridad revolucionaria

Windows°10: ¿se acabó el juego para los ladrones de contraseñas y credenciales?

Temas relacionados