Por qué un PIN es mejor que una contraseñaWhy a PIN is better than a password

Se aplica aApplies to

  • Windows 10Windows10

Windows Hello en Windows 10 permite a los usuarios iniciar sesión en su dispositivo con un PIN.Windows Hello in Windows10 enables users to sign in to their device using a PIN. ¿De qué manera difiere un PIN de una contraseña y por qué es mejor?How is a PIN different from (and better than) a password? En la superficie, un PIN se parece mucho a una contraseña.On the surface, a PIN looks much like a password. Un PIN puede ser un conjunto de números, pero la directiva de la empresa puede permitir PIN completos que incluyen caracteres especiales, así como letras mayúsculas y minúsculas.A PIN can be a set of numbers, but enterprise policy might allow complex PINs that include special characters and letters, both upper-case and lower-case. Algo como t758A!Something like t758A! podría ser una contraseña o un Hello PIN complejo.could be an account password or a complex Hello PIN. No es la estructura de un PIN (longitud, complejidad) que hace que sea mejor que una contraseña, es cómo funciona.It isn't the structure of a PIN (length, complexity) that makes it better than a password, it's how it works.

Vea a Suáez explicar por qué un PIN de Windows Hello para empresas es más seguro que una contraseña.Watch Dana Huang explain why a Windows Hello for Business PIN is more secure than a password.

El PIN está vinculado al dispositivoPIN is tied to the device

Una diferencia importante entre una contraseña y un Hello PIN es que el PIN está vinculado al dispositivo específico en el que se configuró.One important difference between a password and a Hello PIN is that the PIN is tied to the specific device on which it was set up. Ese PIN no sirve sin ese hardware específico.That PIN is useless to anyone without that specific hardware. Alguien que robe tu contraseña puede iniciar sesión en tu cuenta desde cualquier lugar, pero si roban el PIN, también tendrían robar el dispositivo físico.Someone who steals your password can sign in to your account from anywhere, but if they steal your PIN, they'd have to steal your physical device too!

Incluso tú no puedes usar ese PIN en cualquier lugar excepto en ese dispositivo específico.Even you can't use that PIN anywhere except on that specific device. Si quieres iniciar sesión en varios dispositivos, tienes que configurar Hello en cada uno de los dispositivos.If you want to sign in on multiple devices, you have to set up Hello on each device.

El PIN es local para el dispositivoPIN is local to the device

Una contraseña se transmite al servidor... se puede interceptar durante la transmisión o robado de un servidor.A password is transmitted to the server -- it can be intercepted in transmission or stolen from a server. Un PIN es local en el dispositivo... no se transmite a ningún lugar y no se almacenan en el servidor.A PIN is local to the device -- it isn't transmitted anywhere and it isn't stored on the server. Cuando se crea el PIN, se establece una relación de confianza con el proveedor de identidades y se crea un par de claves asimétricas que se usa para la autenticación.When the PIN is created, it establishes a trusted relationship with the identity provider and creates an asymmetric key pair that is used for authentication. Cuando especificas tu PIN, se desbloquea la clave de autenticación y se usa la clave para firmar la solicitud que se envía al servidor de autenticación.When you enter your PIN, it unlocks the authentication key and uses the key to sign the request that is sent to the authenticating server.

Nota

Para obtener más información sobre cómo Windows Hello usa pares de claves asimétricas para la autenticación, consulta Windows Hello para empresas.For details on how Hello uses asymetric key pairs for authentication, see Windows Hello for Business.  

El PIN está respaldado por el hardwarePIN is backed by hardware

El PIN de Windows Hello cuenta con el respaldo de un chip del Módulo de plataforma segura (TPM), que es un procesador de criptografía seguro diseñado para llevar a cabo operaciones criptográficas.The Hello PIN is backed by a Trusted Platform Module (TPM) chip, which is a secure crypto-processor that is designed to carry out cryptographic operations. El chip incluye varios mecanismos de seguridad física que hacen que sea resistente a las alteraciones y que las funciones de seguridad no permitan que el software malintencionado realice alteraciones.The chip includes multiple physical security mechanisms to make it tamper resistant, and malicious software is unable to tamper with the security functions of the TPM. Todos los teléfonos Windows10 Mobile y muchos portátiles modernos tienen TPM.All Windows10 Mobile phones and many modern laptops have TPM.

Se genera material de clave de usuario, disponible en el Módulo de plataforma segura (TPM) del dispositivo del usuario, que lo protege de los atacantes que deseen capturar el material de clave y reutilizarlo.User key material is generated and available within the Trusted Platform Module (TPM) of the user device, which protects it from attackers who want to capture the key material and reuse it. Dado que Hello usa pares de claves asimétricas, las credenciales de los usuarios no se pueden robar en los casos en los que el proveedor de identidades o los sitios web a los que accede el usuario se han visto comprometidos.Because Hello uses asymmetric key pairs, users credentials can't be stolen in cases where the identity provider or websites the user accesses have been compromised.

El TPM protege contra una variedad de ataques conocidos y posibles, incluidos los ataques de fuerza bruta contra los PIN.The TPM protects against a variety of known and potential attacks, including PIN brute-force attacks. Después de demasiados intentos incorrectos, el dispositivo se bloquea.After too many incorrect guesses, the device is locked.

El PIN puede ser complejoPIN can be complex

El PIN de Windows Hello para empresas está sujeto al mismo conjunto de directivas de administración de TI que una contraseña, como la complejidad, la longitud, la expiración y el historial.The Windows Hello for Business PIN is subject to the same set of IT management policies as a password, such as complexity, length, expiration, and history. Aunque generalmente consideramos que un PIN es un simple código de cuatro dígitos, los administradores pueden establecer directivas para dispositivos administrados de modo que requieran un nivel de complejidad de PIN similar al de una contraseña.Although we generally think of a PIN as a simple four-digit code, administrators can set policies for managed devices to require a PIN complexity similar to a password. Puedes requerir o bloquear lo siguiente: caracteres especiales, caracteres en mayúsculas, caracteres en minúsculas y dígitos.You can require or block: special characters, uppercase characters, lowercase characters, and digits.

¿Qué sucede si alguien roba el equipo portátil o el teléfono?What if someone steals the laptop or phone?

Para poner en peligro una credencial de Windows Hello que tpm protege, un atacante debe tener acceso al dispositivo físico y, a continuación, debe encontrar una manera de suplantar la biometría del usuario o adivinar su PIN, y todo esto debe hacerse antes de que la protección contra ataques de martillo del TPM bloquee el dispositivo.To compromise a Windows Hello credential that TPM protects, an attacker must have access to the physical device, and then must find a way to spoof the user's biometrics or guess his or her PIN—and all of this must be done before TPM anti-hammering protection locks the device. Puedes proporcionar protección adicional para equipos portátiles que no tienen TPM al habilitar BitLocker y establecer una directiva para limitar los inicios de sesión con error.You can provide additional protection for laptops that don't have TPM by enabling BitLocker and setting a policy to limit failed sign-ins.

Configurar BitLocker sin TPMConfigure BitLocker without TPM

  1. Usa el Editor de directivas de grupo Local (gpedit.msc) para habilitar la siguiente directiva:Use the Local Group Policy Editor (gpedit.msc) to enable the following policy:

    Configuración del equipo > Plantillas administrativas > Componentes de Windows > Cifrado de unidad BitLocker > Unidades de sistema operativo > Requerir autenticación adicional al inicioComputer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives > Require additional authentication at startup

  2. En la opción de directiva, selecciona Permitir BitLocker sin un TPM compatible y haz clic en Aceptar.In the policy option, select Allow BitLocker without a compatible TPM, and then click OK.

  3. Ve al Panel de control > Sistema y seguridad > Cifrado de unidad BitLocker y selecciona la unidad del sistema operativo que quieres proteger.Go to Control Panel > System and Security > BitLocker Drive Encryption and select the operating system drive to protect. Establecer el umbral de bloqueo de cuentaSet account lockout threshold

  4. Usa el Editor de directivas de grupo Local (gpedit.msc) para habilitar la siguiente directiva:Use the Local Group Policy Editor (gpedit.msc) to enable the following policy:

    Configuración del equipo > Configuración de Windows > Configuración de seguridad >Directivas de cuenta > Directiva de bloqueo de cuenta > Umbral de bloqueo de cuentaComputer Configuration > Windows Settings > Security Settings > Account Policies > Account Lockout Policy > Account lockout threshold

  5. Establece el número de intentos de inicio de sesión no válido que se deben permitir y haz clic en Aceptar.Set the number of invalid logon attempts to allow, and then click OK.

¿Por qué necesitas un PIN para usar biometría?Why do you need a PIN to use biometrics?

Windows Hello permite el inicio de sesión biométrico para Windows 10: huella digital, iris o reconocimiento facial.Windows Hello enables biometric sign-in for Windows10: fingerprint, iris, or facial recognition. Al configurar Windows Hello, se te pedirá que crees un PIN en primer lugar.When you set up Windows Hello, you're asked to create a PIN first. Este PIN te permite iniciar sesión con el PIN cuando no puedes usar la biométrica preferida debido a unas daños o porque el sensor no está disponible o no funciona correctamente.This PIN enables you to sign in using the PIN when you can't use your preferred biometric because of an injury or because the sensor is unavailable or not working properly.

Si solo tuvieras configurado el inicio de sesión con datos biométricos y, por algún motivo, no pudieras usar ese método para iniciar sesión, tendrías que iniciar sesión con tu nombre de usuario y contraseña, lo que no proporciona el mismo nivel de protección que Windows Hello.If you only had a biometric sign-in configured and, for any reason, were unable to use that method to sign in, you would have to sign in using your account and password, which doesn't provide you the same level of protection as Hello.

Temas relacionadosRelated topics