Descripción de los métodos de autenticación de Azure

  • 6 minutos

La autenticación establece la identidad de una persona, servicio o dispositivo al requerir credenciales. En Azure, los métodos comunes incluyen contraseñas, inicio de sesión único (SSO), autenticación multifactor (MFA) y inicio de sesión sin contraseña. Los enfoques modernos están diseñados para mejorar la seguridad y la comodidad del usuario.

En el diagrama siguiente se muestra el nivel de seguridad en comparación con la comodidad. Observe que la autenticación sin contraseña es alta seguridad y alta comodidad, mientras que las contraseñas por sí mismas son de baja seguridad pero alta comodidad.

Diagrama que compara los métodos Solo contraseña, Autenticación multifactor y Sin contraseña entre seguridad y comodidad. Puntuaciones sin contraseña más altas en ambas escalas.

¿Qué es el inicio de sesión único?

El inicio de sesión único (SSO) permite al usuario iniciar sesión una vez y acceder a varias aplicaciones de confianza. El inicio de sesión único reduce la proliferación de contraseñas, lo que disminuye el riesgo de incidentes relacionados con credenciales y disminuye el bloqueo de cuentas y la carga de restablecimientos.

Desde la perspectiva de las operaciones, el inicio de sesión único (SSO) también simplifica la administración del ciclo de vida. El acceso está vinculado a una identidad, lo que facilita la actualización o eliminación del acceso cuando cambian los roles.

Importante

El inicio de sesión único solo es tan seguro como el autenticador inicial, ya que todas las conexiones posteriores se basan en la seguridad del autenticador inicial.

¿Qué es la autenticación multifactor?

La autenticación multifactor (MFA) solicita a un usuario un factor adicional durante el inicio de sesión, por lo que una contraseña en peligro no es suficiente para el acceso. Estos factores se dividen en tres categorías:

  • Algo que el usuario sabe : una contraseña o una pregunta de desafío.
  • Algo que el usuario tiene : un código enviado a un teléfono móvil.
  • Algo que el usuario es : una señal biométrica, como una huella digital o un examen facial.

Con MFA habilitado, un atacante que obtiene una contraseña todavía necesita el segundo factor (como un aviso telefónico o una señal biométrica) para completar el inicio de sesión.

¿Qué es la autenticación multifactor de Microsoft Entra?

La autenticación multifactor de Microsoft Entra es un servicio de Microsoft que proporciona funcionalidades de autenticación multifactor. La autenticación multifactor de Microsoft Entra permite a los usuarios elegir una forma adicional de autenticación durante el inicio de sesión, como una llamada telefónica o una notificación de aplicación móvil.

¿Qué es la autenticación sin contraseña?

Aunque MFA agrega seguridad, las propias contraseñas siguen siendo un desafío de facilidad de uso y riesgo. Los métodos sin contraseña eliminan la contraseña por completo y la reemplazan por un dispositivo de confianza más una señal biométrica o un PIN.

Después del registro inicial, el usuario inicia sesión con un factor que sabe o es , como un PIN o una huella digital, en lugar de escribir una contraseña.

Microsoft Entra ID admite tres opciones sin contraseña:

  • Windows Hello para empresas
  • Aplicación Microsoft Authenticator
  • Claves de seguridad FIDO2

Comparación de tres tarjetas de Windows Hello para empresas, Microsoft Authenticator y Claves de seguridad FIDO2 que muestran el tipo de autenticación, el factor de forma y el escenario más adecuado para cada uno.

Windows Hello para empresas

Windows Hello para empresas resulta muy conveniente para los trabajadores de la información que tienen su propio equipo con Windows designado. La información biométrica y las credenciales de PIN están vinculadas directamente al equipo del usuario, lo que impide el acceso de cualquier persona que no sea el propietario. Con la integración de la infraestructura de clave pública (PKI) y la compatibilidad integrada con el inicio de sesión único (SSO), Windows Hello para empresas proporciona un método práctico para acceder sin problemas a los recursos de trabajo locales y en la nube.

Aplicación Microsoft Authenticator

La aplicación Microsoft Authenticator también puede servir como credencial sin contraseña, convirtiendo cualquier teléfono iOS o Android en un factor de inicio de sesión seguro.

Para iniciar sesión, el usuario recibe una notificación en su teléfono, coincide con un número mostrado en la pantalla y confirma con una señal biométrica (entrada táctil o cara) o PIN. No se necesita ninguna contraseña.

Claves de seguridad FIDO2

FIDO2 es un estándar abierto para la autenticación sin contraseña basada en la especificación de autenticación web (WebAuthn). Las claves de seguridad FIDO2 son dispositivos de hardware inphishable ( normalmente USB, pero también disponibles con Bluetooth o NFC) que controlan la autenticación sin un nombre de usuario o una contraseña.

Los usuarios registran una clave FIDO2 y, a continuación, la seleccionan en la pantalla de inicio de sesión como método de autenticación principal. Dado que el dispositivo de hardware controla la autenticación, no hay ninguna contraseña que se pueda exponer o adivinar.