Cuando crea y registra una credencial FIDO2, el dispositivo
FIDO2 genera una clave pública y una clave privada en el dispositivo. La clave
privada se almacena de forma segura en el dispositivo y solo se puede usar
después de que se haya desbloqueado mediante un gesto local como la lectura de
huella o el PIN. Tenga en cuenta que la
plantilla biometríca de su huella o su PIN
nunca salen del dispositivo. Al mismo tiempo que se almacena la clave privada
en la llave , la clave pública se envía a Azure AD y se registra con su cuenta
de usuario.
Cuando inicie sesión más tarde, Azure AD envía un número
aleatorio de un solo uso ( denominado nonce) a su dispositivo FIDO2.
A continuación, su llave FIDO2 usa la clave privada para
firmar(cifrar) el nonce.
El nonce y los
metadatos firmados se devuelven a Azure AD, donde se descifran mediante la
clave pública. Si el nonce enviado y el recibido descifrado coinciden se
permite el acceso.
No, Active Directory no admite la autenticación FIDO2.
El impacto de la pérdida de una única clave de seguridad
FIDO2 se puede reducir en gran medida cuando hay múltiples alternativas de
contraseña disponibles para el usuario. La mejor práctica recomendada es
multiplicar las llaves de seguridad y contraseñas alternativas de FIDO2 en la
cuenta de usuario.
Microsoft requiere que los usuarios configuren más de un
método de verificación, como la aplicación Microsoft Authenticator, para que
los usuarios tengan una opción de respaldo en caso de perder su clave de seguridad
FIDO2.
Azure AD admite las siguientes alternativas a las contraseñas, como la aplicación Microsoft Authenticator, Windows Hello y las llaves de seguridad FIDO2.
La aplicación Microsoft Authenticator, lanzada en abril de 2017, ayuda a los usuarios a demostrar su identidad sin tener que escribir una contraseña. La aplicación Microsoft Authenticator está disponible gratuitamente para Android, iOS y Apple Watch. De manera similar al principio de autenticación FIDO2, la aplicación Microsoft Authenticator utiliza autenticación basada en claves para habilitar una credencial de usuario que está vinculada a un dispositivo y utiliza una verificación biométrica o PIN.
No, Azure AD requiere la validación del usuario para
registrar una llave de seguridad FIDO2 o para autenticarse. Se requiere un
gesto del usuario (PIN o biométrico) verificado por la llave de seguridad FIDO2
al interactuar con Azure AD.
FIDO U2F y UAF no son compatibles con Azure AD.
Sí, un usuario final puede revocar una clave de seguridad
FIDO2 a través del portal de Azure AD.
Una llave de seguridad es un dispositivo físico que puede
usar en lugar de su nombre de usuario y contraseña para iniciar sesión.
Dado que se usa además un PIN o una huella digital, incluso
si alguien tiene su llave de seguridad, no podrá iniciar sesión. sin el PIN ó
la huella que registraste en la llave.
Un PIN es diferente a una contraseña. El propósito del PIN
es desbloquear la llave de seguridad para que pueda desempeñar su función.
Un PIN se almacena localmente en el dispositivo y nunca se
envía a través de la red. Por el contrario, se envía una contraseña a través de
una red al servicio para su validación.
Recuerde que un PIN es sólo uno de los dos factores. Un PIN
está vinculado al dispositivo de hardware específico en el que se configuró.
Sin el dispositivo, el PIN es inútil. Si alguien robó su PIN y quiso iniciar
sesión en su cuenta, también necesitaría su dispositivo físico.
Un PIN es una alternativa para verificar al usuario antes de responder a una solicitud de registro o autenticación. Si la validación biométrica falla, se le pedirá al usuario que ingrese un PIN. El PIN se utiliza como método de respaldo.
La autenticación sin contraseña es cualquier método para
verificar la identidad de un usuario sin exigirle que proporcione una
contraseña. Por ejemplo, el principio detrás de FIDO2 es reemplazar los
secretos compartidos, como las contraseñas, con criptografía de clave pública.
FIDO2 se basa en criptografía de clave pública y está
destinado a resolver múltiples escenarios de usuario, incluido un primer factor
seguro (sin contraseña), un segundo factor seguro y una autenticación
multifactor sin contraseña.
La autenticación de dos factores (2FA) también se conoce
como verificación de dos pasos o autenticación multifactor.
La autenticación de dos factores ofrece una autenticación robusta
y proporciona un paso de seguridad adicional al requerir una segunda forma de
autenticación.
La verificación en dos pasos no es necesariamente lo mismo que
la autenticación sin contraseña, especialmente si el primer paso implica
escribir una contraseña.
No es necesario instalar software ni controladores para que
las llaves FIDO2 funcionen, ya que depende del proveedor de servicios
implementar el soporte para FIDO2.
Por lo tanto, las
instrucciones de configuración difieren de un servicio a otro. En las
instrucciones paso a paso a continuación, cubrimos los conceptos básicos para
registrar su FIDO2 en un servicio que admita los protocolos OTP y
WebAuthn/FIDO2.
Tenga en cuenta que la configuración inicial suele
realizarse más fácilmente a través de un ordenador.
También le
recomendamos configurar su llave FIDO2 principal y su llave de repuesto al
mismo tiempo.
1. Inicialización de las llaves. Tenga preparadas
su FIDO2 y su llave de repuesto.
Antes de su primer uso debe inicializar las llaves y asignarles un PIN.
Para
ello use el programa y manual de usuario SK Manager que puede descargar de esta
web en Manuales y Drivers.
2. Registro de la llave en un servicio.
Inicie sesión en el
servicio (es decir, sitios web y aplicaciones) al que donde desea registrar sus
llaves FIDO2.
3. Asegúrese de que el servicio sea compatible con
llaves de seguridad FIDO2
Busque la configuración de la cuenta del
servicio y luego busque Seguridad.
Allí debería poder encontrar una
opción para 2FA/MFA o agregar llaves de seguridad. Como se indicó
anteriormente, este proceso puede diferir entre los distintos servicios.
4. Siga las instrucciones dadas por el proveedor
del servicio.
5. Registre
su Llave FIDO2 principal y su llave de repuesto.
Sí,desde 2020 la
compatibilidad con la autenticación sin contraseña FIDO2 en Azure Active
Directory ( hoy Entra ID) es una característica de la versión preliminar
pública. Azure AD admite la autenticación sin contraseña para usuarios
federados, sincronizados y solo en la nube.
Los administradores de Azure AD pueden activar y configurar
FIDO2 para su inquilino de Azure AD y permitir que sus empleados configuren sus
propias llaves de seguridad para su cuenta. Además, los administradores pueden
controlar la implementación y activar el registro de llaves de seguridad FIDO2
para usuarios y grupos de usuarios.
Azure Active Directory viene en cuatro ediciones: gratuita, aplicaciones de Office 365, Premium P1 y Premium P2. La edición gratuita de Azure AD es suficiente para registrar una llave de seguridad FIDO2.
Sí, puede registrar varias llaves de seguridad FIDO2 con su cuenta de Azure AD y es una práctica recomendada hacerlo. Por ejemplo, puede comenzar registrando al menos dos llaves en el momento de la configuración, de modo que tenga una principal y otra de respaldo.
No, Azure AD solo admite la autenticación sin contraseña FIDO2 y no admite FIDO U2F.
ChipNet ofrece muchos
factores de forma diferentes para las llaves FIDO2.
Para elegir su Llave
FIDO2, hágase las siguientes preguntas:
¿Qué opciones de comunicación tienen
los dispositivos que desea proteger? : USB A , USB C, NFC ?.
¿Con qué servicios le gustaría utilizar la llave? :
Servicios que utilizan protocolo Web Authn , OTP ?
Quiere usar su llave FIDO2 como un token criptográfico para
almacenar certificados digitales y acceder a la Administración Electrónica,
firma digital de documentos y cifrar email ?
Puede hacerlo con las llaves FIDO2 NFC Plus y FIDO” BioPass
Plus.
Necesita que cumpla el nivel de seguridad FIPS 140-2 ?
ChipNet recomienda tener siempre tener siempre una llave de
repuesto, en caso de que pierdas tu llave principal.
Para facilitar está decisión ChipNet ofrece kit de 2 llaves
a un precio muy atractivo sensiblemente más bajo que si compra las llaves por
separado, que pueden ser de 2 llaves iguales o diferentes (por ejemplo una
llave FIDO2 NFC Plus para uso en el ordenador por USB y en el móvil por NFC y
una llave FIDO2 BioPass con lector de huella digital).
Para una mayor versatilidad y economía de uso todas las
llaves FIDO2 ChipNet incluyen un adaptador USB A a USB C.
Para obtener más información sobre las diferencias entre las
llaves, consulte nuestra tabla comparativa aquí.