Inicio de sesión sin contraseña

• Se aplica a:

  Windows 11

Las contraseñas son una parte fundamental de la seguridad digital, pero a menudo son inconvenientes y vulnerables a los ciberataques. Con Windows 11, los usuarios pueden disfrutar de la protección sin contraseña, lo que ofrece una alternativa más segura y fácil de usar. Después de un proceso de autorización seguro, las credenciales se protegen mediante varias capas de seguridad de hardware y software, lo que proporciona a los usuarios acceso sin contraseña a sus aplicaciones y servicios en la nube.

Windows Hello

Con demasiada frecuencia, las contraseñas son débiles, robadas u olvidadas. Las organizaciones avanzan hacia el inicio de sesión sin contraseña para reducir el riesgo de infracciones, reducir el costo de administrar contraseñas y mejorar la productividad y la satisfacción de sus usuarios y clientes. Microsoft se compromete a ayudar a las organizaciones a avanzar hacia un futuro seguro y sin contraseña con Windows Hello, una piedra angular de la seguridad de Windows y la protección de identidades.

Windows Hello puede habilitar el inicio de sesión sin contraseña mediante la verificación biométrica o de PIN y proporciona compatibilidad integrada con el estándar del sector sin contraseña FIDO2. Como resultado, las personas ya no necesitan llevar hardware externo como una clave de seguridad para la autenticación.

La experiencia de inicio de sesión segura y cómoda puede aumentar o reemplazar las contraseñas por un modelo de autenticación más seguro basado en un PIN o datos biométricos, como el reconocimiento facial o de huellas digitales protegido por el módulo de plataforma segura (TPM). La guía paso a paso facilita la configuración.

Con las claves asimétricas aprovisionadas en el TPM, Windows Hello protege la autenticación enlazando las credenciales de un usuario a su dispositivo. Windows Hello valida al usuario en función de un PIN o una coincidencia biométrica y solo entonces permite el uso de claves criptográficas enlazadas a ese usuario en el TPM.

El PIN y los datos biométricos permanecen en el dispositivo y no se pueden almacenar ni acceder externamente. Dado que nadie puede acceder a los datos sin acceso físico al dispositivo, las credenciales están protegidas contra ataques de reproducción, suplantación de identidad (phishing) y suplantación de identidad , así como la reutilización de contraseñas y las pérdidas.

Windows Hello puede autenticar a los usuarios en una cuenta Microsoft (MSA), servicios de proveedor de identidades o usuarios de confianza que también implementan los estándares FIDO2 o WebAuthn.

Aprende más

• Configuración de Windows Hello

PIN de Windows Hello

El PIN de Windows Hello, que solo puede escribir alguien con acceso físico al dispositivo, se puede usar para una autenticación multifactor segura. El PIN está protegido por el TPM y, al igual que los datos biométricos, nunca sale del dispositivo. Cuando un usuario escribe su PIN, se desbloquea una clave de autenticación y se usa para firmar una solicitud enviada al servidor de autenticación.

El TPM protege contra amenazas, incluidos los ataques por fuerza bruta de PIN en dispositivos perdidos o robados. Después de demasiadas estimaciones incorrectas, el dispositivo se bloquea. Los administradores de TI pueden establecer directivas de seguridad para los PIN, como los requisitos de complejidad, longitud y expiración.

Novedades de Windows 11, versión 24H2

Si el dispositivo no tiene biometría integrada, Windows Hello se ha mejorado para usar la seguridad basada en virtualización (VBS) de forma predeterminada para aislar las credenciales. Esta capa adicional de protección ayuda a protegerse frente a ataques de nivel de administrador. Incluso cuando inicia sesión con un PIN, sus credenciales se almacenan en un contenedor seguro, lo que garantiza la protección en dispositivos con o sin sensores biométricos integrados.

Windows Hello biométrica

Windows Hello inicio de sesión biométrico mejora la seguridad y la productividad con una experiencia de inicio de sesión rápida y cómoda. No es necesario introducir el PIN; simplemente use sus datos biométricos para un inicio de sesión fácil y encantador.

Los dispositivos Windows que admiten hardware biométrico, como cámaras de reconocimiento facial o de huella digital, se integran directamente con Windows Hello, lo que permite el acceso a los recursos y servicios de cliente de Windows. Los lectores biométricos para cara y huella digital deben cumplir Windows Hello requisitos biométricos. Windows Hello reconocimiento facial está diseñado para autenticarse solo desde cámaras de confianza usadas en el momento de la inscripción.

Si una cámara periférica está conectada al dispositivo después de la inscripción, se puede usar para la autenticación facial una vez validada iniciando sesión con la cámara interna. Para mayor seguridad, las cámaras externas se pueden deshabilitar para su uso con Windows Hello reconocimiento facial.

Aprende más

• Windows Hello requisitos biométricos

Detección de presencia de Windows

La detección de presencia de Windows^[9] proporciona otra capa de protección de seguridad de datos para los trabajadores híbridos. Windows 11 dispositivos pueden adaptarse de forma inteligente a la presencia de un usuario para ayudarle a mantenerse seguros y productivos, ya sea que trabajen en casa, en la oficina o en un entorno público.

La detección de presencia de Windows combina sensores de detección de presencia con Windows Hello reconocimiento facial para firmar al usuario en manos libres y bloquea automáticamente el dispositivo cuando el usuario sale. Con atenuación adaptable, el equipo atenúa la pantalla cuando el usuario mira hacia otro lado en dispositivos compatibles con sensores de presencia. También es más fácil que nunca configurar sensores de presencia en los dispositivos, con fácil habilitación en la experiencia integrada y nuevos vínculos en Configuración para ayudar a encontrar características de detección de presencia. Los fabricantes de dispositivos pueden personalizar y compilar extensiones para el sensor de presencia.

La privacidad es lo más importante y más importante que nunca. Los clientes quieren tener mayor transparencia y control sobre el uso de su información. La nueva configuración de privacidad de la aplicación permite a los usuarios permitir o bloquear el acceso a la información del sensor de presencia. Los usuarios pueden decidir sobre esta configuración durante la configuración inicial de Windows 11.

Los usuarios también pueden aprovechar una configuración más granular para habilitar y deshabilitar fácilmente características de detección de presencia diferenciadas, como reactivación al enfoque, bloqueo al salir y atenuación adaptable. También estamos admitiendo a los desarrolladores con nuevas API para la detección de presencia para aplicaciones de terceros. Las aplicaciones de terceros ahora pueden acceder a la información de presencia del usuario en los dispositivos con sensores de presencia.

Aprende más

• Detección de presencia
• Administrar la configuración de detección de presencia en Windows 11

Windows Hello para empresas

Windows Hello para empresas amplía Windows Hello para trabajar con las cuentas de Active Directory y Microsoft Entra ID de una organización. Proporciona acceso de inicio de sesión único a recursos profesionales o educativos, como OneDrive, correo electrónico de trabajo y otras aplicaciones empresariales. Windows Hello para empresas también ofrece a los administradores de TI la capacidad de administrar el PIN y otros requisitos de inicio de sesión para los dispositivos que se conectan a recursos profesionales o educativos.

Después de aprovisionar Windows Hello para empresas, los usuarios pueden usar un PIN, una cara o una huella digital para desbloquear las credenciales e iniciar sesión en su dispositivo Windows.

Los métodos de aprovisionamiento incluyen:

• Passkeys (versión preliminar), que proporcionan una manera perfecta para que los usuarios se autentiquen para Microsoft Entra ID sin escribir un nombre de usuario o contraseña.
• Pase de acceso temporal (TAP), un código de acceso limitado por tiempo con requisitos de autenticación seguros emitidos a través de Microsoft Entra ID
• Autenticación multifactor existente con Microsoft Entra ID, incluida la aplicación Microsoft Authenticator

Windows Hello para empresas mejora la seguridad reemplazando los nombres de usuario y contraseñas tradicionales por una combinación de una clave de seguridad o certificado y un PIN o datos biométricos. Esta configuración asigna de forma segura las credenciales a una cuenta de usuario.

Hay varios modelos de implementación disponibles para Windows Hello para empresas, lo que proporciona flexibilidad para satisfacer las diversas necesidades de las distintas organizaciones. Entre ellas, se recomienda el modelo de confianza kerberos en la nube híbrida y se considera el más sencillo para las organizaciones que operan en entornos híbridos.

Aprende más

• introducción a Windows Hello para empresas
• Habilitación de claves de paso (FIDO2) para su organización

Restablecer PIN

El servicio de restablecimiento de PIN de Microsoft permite a los usuarios restablecer sus PIN de Windows Hello olvidados sin necesidad de volver a inscribirse. Después de registrar el servicio en el inquilino Microsoft Entra ID, la funcionalidad debe habilitarse en los dispositivos Windows mediante una directiva de grupo o una solución de administración de dispositivos como Microsoft Intune^[4].

Los usuarios pueden iniciar un restablecimiento de PIN desde la pantalla de bloqueo de Windows o desde las opciones de inicio de sesión en Configuración. El proceso implica autenticar y completar la autenticación multifactor para restablecer el PIN.

Aprende más

• Restablecimiento del PIN

Desbloqueo multifactor

Para las organizaciones que necesitan una capa adicional de seguridad de inicio de sesión, el desbloqueo multifactor permite a los administradores de TI configurar Windows para requerir una combinación de dos señales de confianza únicas para iniciar sesión. Los ejemplos de señal de confianza incluyen un PIN o datos biométricos (cara o huella digital) combinados con un PIN, Bluetooth, configuración ip o Wi-Fi.

El desbloqueo multifactor es útil para las organizaciones que necesitan impedir que los trabajadores de la información compartan credenciales o necesiten cumplir con los requisitos normativos de una directiva de autenticación en dos fases.

Aprende más

• Desbloqueo multifactor

Experiencia sin contraseña de Windows

Windows Hello para empresas ahora admiten una experiencia totalmente sin contraseña.

Los administradores de TI pueden configurar una directiva en Microsoft Entra ID máquinas unidas para que los usuarios ya no vean la opción de escribir una contraseña al acceder a los recursos de la empresa. Una vez configurada la directiva, las contraseñas se quitan de la experiencia del usuario de Windows, tanto para escenarios de desbloqueo de dispositivos como de autenticación en sesión. Sin embargo, las contraseñas aún no se eliminan del directorio de identidad. Se espera que los usuarios naveguen por sus escenarios de autenticación principales mediante credenciales seguras, resistentes a la phish y basadas en posesión, como las claves de seguridad Windows Hello para empresas y FIDO2. Si es necesario, los usuarios pueden usar mecanismos de recuperación sin contraseña, como el servicio de restablecimiento de PIN de Microsoft o el inicio de sesión web.

Los usuarios se autentican directamente con Microsoft Entra ID, lo que ayuda a acelerar el acceso a aplicaciones locales y otros recursos.

Aprende más

• Experiencia sin contraseña de Windows

Seguridad de inicio de sesión mejorada (ESS)

Windows Hello admite la seguridad de inicio de sesión mejorada, que usa componentes de hardware y software especializados para aumentar aún más la barra de seguridad para el inicio de sesión biométrico.

La biometría de seguridad de inicio de sesión mejorada usa la seguridad basada en virtualización (VBS) y el TPM para aislar los procesos y datos de autenticación de usuario y proteger la ruta por la que se comunica la información.

Estos componentes especializados protegen contra una clase de ataques que incluye la inyección de muestras biométricas, la reproducción y la manipulación. Por ejemplo, los lectores de huellas digitales deben implementar el Protocolo de conexión de dispositivo seguro, que usa la negociación de claves y un certificado emitido por Microsoft para proteger y almacenar de forma segura los datos de autenticación de usuario. Para el reconocimiento facial, componentes como la tabla Dispositivos seguros (SDEV) y el aislamiento de procesos con trustlets ayudan a evitar más clases de ataque.

La seguridad de inicio de sesión mejorada la configuran los fabricantes de dispositivos durante el proceso de fabricación y, por lo general, se admite en equipos de núcleo protegido. Para el reconocimiento facial, la seguridad de inicio de sesión mejorada es compatible con combinaciones específicas de silicio y cámara: consulte con el fabricante del dispositivo específico. La autenticación con huella digital está disponible en todos los tipos de procesador. Póngase en contacto con oemes específicos para obtener detalles de soporte técnico.

Aprende más

• Seguridad de inicio de sesión mejorada de Windows Hello para empresas

FIDO2

Fido Alliance, el organismo de estándares del sector Fast Identity Online, se estableció para promover tecnologías y estándares de autenticación que reducen la dependencia de las contraseñas. FIDO Alliance y World Wide Web Consortium (W3C) trabajaron conjuntamente para definir las especificaciones del protocolo cliente a autenticador (CTAP2) y la autenticación web (WebAuthn). Estas especificaciones son el estándar del sector para proporcionar autenticación sólida, resistente a la suplantación de identidad, fácil de usar y preservación de la privacidad en la web y las aplicaciones. Los estándares y certificaciones de FIDO se están convirtiendo en el estándar líder para crear soluciones de autenticación seguras en empresas, gobiernos y mercados de consumidores.

Windows 11 también puede usar claves de seguridad FIDO2 externas para la autenticación junto con o además de Windows Hello y Windows Hello para empresas, que también es una solución sin contraseña certificada por FIDO2. Como resultado, Windows 11 se puede usar como autenticador FIDO para muchos servicios de administración de identidades populares.

Passkeys

Windows 11 hace que sea mucho más difícil para los piratas informáticos que aprovechan las contraseñas robadas a través de ataques de suplantación de identidad al permitir a los usuarios reemplazar contraseñas por claves de acceso. Las claves de acceso son el futuro multiplataforma del inicio de sesión seguro. Microsoft y otros líderes tecnológicos admiten claves de paso en sus plataformas y servicios.

Una clave de paso es un secreto criptográfico único e indeseable que se almacena de forma segura en el dispositivo. En lugar de usar un nombre de usuario y una contraseña para iniciar sesión en un sitio web o aplicación, Windows 11 los usuarios pueden crear y usar una clave de acceso con Windows Hello, un proveedor de claves de acceso de terceros, una clave de seguridad FIDO2 externa o su dispositivo móvil. Las claves de paso en Windows funcionan en cualquier explorador o aplicación que los admita para el inicio de sesión.

Las claves de acceso creadas y guardadas con Windows Hello están protegidas por Windows Hello o Windows Hello para empresas. Los usuarios pueden iniciar sesión en el sitio o la aplicación mediante su cara, huella digital o PIN de dispositivo. Los usuarios pueden administrar sus passkeys desdelas claves de acceso de cuentas>deconfiguración>.

Próximamente^[7]

El modelo de complemento para proveedores de claves de paso de terceros permite a los usuarios administrar sus passkeys con administradores de claves de paso de terceros. Este modelo garantiza una experiencia de plataforma sin problemas, independientemente de si windows o un autenticador de terceros administran directamente las claves de acceso. Cuando se usa un proveedor de claves de paso de terceros, el proveedor de terceros protege y administra de forma segura las claves de paso.

Aprende más

• Compatibilidad con passkeys en Windows
• Habilitación de claves de paso (FIDO2) para su organización

Microsoft Authenticator

La aplicación Microsoft Authenticator, que se ejecuta en dispositivos iOS y Android, ayuda a mantener Windows 11 usuarios seguros y productivos. Microsoft Authenticator con Microsoft Entra passkeys se puede usar como un método resistente a la phish para arrancar Windows Hello para empresas.

Microsoft Authenticator también permite un inicio de sesión fácil y seguro para todas las cuentas en línea mediante la autenticación multifactor, el inicio de sesión sin contraseña del teléfono, la autenticación resistente a la suplantación de identidad (passkeys) o el autorrellenamiento de contraseñas. Las cuentas de la aplicación Authenticator se protegen con un par de claves pública y privada en el almacenamiento respaldado por hardware, como keychain en iOS y almacén de claves en Android. Los administradores de TI pueden usar diferentes herramientas para empujar a sus usuarios para configurar la aplicación Authenticator, proporcionarles contexto adicional sobre de dónde procede la autenticación y asegurarse de que la usan activamente.

Los usuarios individuales pueden realizar copias de seguridad de sus credenciales en la nube habilitando la opción de copia de seguridad cifrada en la configuración. También pueden ver su historial de inicio de sesión y la configuración de seguridad de las cuentas personales, profesionales o educativas de Microsoft.

El uso de esta aplicación segura para la autenticación y autorización permite a los usuarios controlar cómo, dónde y cuándo se usan sus credenciales. Para mantenerse al día con un panorama de seguridad cambiante, la aplicación se actualiza constantemente y se agregan nuevas funcionalidades para mantenerse por delante de los vectores de amenazas emergentes.

Aprende más

• Métodos de autenticación en Microsoft Entra ID: aplicación Microsoft Authenticator

Inicio de sesión web

Con la compatibilidad con el inicio de sesión web, los usuarios pueden iniciar sesión sin una contraseña mediante la aplicación Microsoft Authenticator o un pase de acceso temporal (TAP). El inicio de sesión web también permite el inicio de sesión federado con un proveedor de identidades SAML-P.

Aprende más

• Inicio de sesión web para Windows

Inicio de sesión federado

Windows 11 admite el inicio de sesión federado con servicios de administración de identidades de educación externa. Para los alumnos que no pueden escribir fácilmente o recordar contraseñas complejas, esta funcionalidad permite el inicio de sesión seguro a través de métodos como códigos QR o imágenes.

Aprende más

• Configurar el inicio de sesión federado para dispositivos Windows

Tarjetas inteligentes

Las organizaciones también pueden optar por tarjetas inteligentes, un método de autenticación que existía antes de la autenticación biométrica. Estos dispositivos de almacenamiento portátiles resistentes a alteraciones mejoran la seguridad de Windows mediante la autenticación de usuarios, la firma de código, la protección de correos electrónicos y el inicio de sesión con cuentas de dominio de Windows.

Las tarjetas inteligentes proporcionan:

• Facilidad de uso en escenarios como el sanitario, donde los usuarios deben iniciar y cerrar sesión rápidamente sin usar sus manos o al compartir una estación de trabajo
• Aislamiento de cálculos críticos para la seguridad que implican autenticación, firmas digitales e intercambio de claves de otras partes del equipo. Estos cálculos se realizan en la tarjeta inteligente
• Portabilidad de credenciales y otra información privada entre equipos en el trabajo, en casa o en el camino

Las tarjetas inteligentes solo se pueden usar para iniciar sesión en cuentas de dominio o cuentas de Microsoft Entra ID.

Cuando se usa una contraseña para iniciar sesión en una cuenta de dominio, Windows usa el protocolo Kerberos versión 5 (V5) para la autenticación. Si usa una tarjeta inteligente, el sistema operativo usa la autenticación Kerberos V5 con certificados X.509 V3. En Microsoft Entra ID dispositivos unidos, se puede usar una tarjeta inteligente con Microsoft Entra ID autenticación basada en certificados. Las tarjetas inteligentes no se pueden usar con cuentas locales.

Windows Hello para empresas y las claves de seguridad FIDO2 son métodos modernos de autenticación en dos fases para Windows. Se recomienda a los clientes que usan tarjetas inteligentes virtuales que pasen a Windows Hello para empresas o FIDO2. En el caso de las nuevas instalaciones de Windows, se recomienda Windows Hello para empresas o las claves de seguridad FIDO2.

Aprende más

• Referencia técnica de tarjeta inteligente

Protección contra suplantación de identidad mejorada en Microsoft Defender SmartScreen

A medida que evolucionan la protección contra malware y otras medidas de seguridad, los cibercriminales buscan nuevas formas de eludir las medidas de seguridad. El phishing es una amenaza principal, con aplicaciones y sitios web diseñados para robar credenciales engañando a las personas para que escriban voluntariamente contraseñas. Como resultado, muchas organizaciones están realizando la transición a la facilidad y seguridad del inicio de sesión sin contraseña con Windows Hello o Windows Hello para empresas.

Sabemos que las personas están en diferentes partes de su viaje sin contraseña. Para ayudar en ese recorrido para las personas que siguen usando contraseñas, Windows 11 ofrece una protección eficaz de credenciales. Microsoft Defender SmartScreen ahora incluye protección de suplantación de identidad mejorada para detectar automáticamente cuándo se escribe la contraseña de Microsoft de un usuario en cualquier aplicación o sitio web. A continuación, Windows identifica si la aplicación o el sitio se autentican de forma segura en Microsoft y advierte si las credenciales están en riesgo. Dado que se alerta al usuario en el momento de un posible robo de credenciales, puede tomar medidas preventivas antes de que la contraseña se use en ella o en su organización.

Aprende más

• Protección contra suplantación de identidad mejorada en Microsoft Defender SmartScreen