Uno de los retos más importantes (y de difícil solución) a los que nos enfrentamos los administradores de sistemas, es la gestión de las contraseñas de los usuarios para la autenticación. Tenemos que buscar el compromiso que facilite el inicio de sesión a nuestros usuarios, por un lado, mientras mantenemos alejada la amenaza de ataques de diccionario o de fuerza bruta al hash de la contraseña. 

Nuestra responsabilidad es tan importante que, a menudo, hacemos que pese más el plato de la balanza que impone el uso de una contraseña fuerte en nuestra organización. Casi de inmediato, y de forma directamente proporcional al número de caracteres de esta contraseña, empiezan a proliferar notas, chuletas y similares (a las que llamaré post-it) cuya misión es la de ayudar a recordar estas contraseñas a usuarios poco comprometidos con la seguridad o que, simplemente, no tienen memoria. 

Como podemos entender, una política de contraseñas fuerte no implica una mayor seguridad en los inicios de sesión corporativos, ya que la fuga de ésta puede producirse de una forma tan simple como un vistazo a un papel. Microsoft en Windows Server 2016 y su cliente nativo Windows 10, proponen una solución radical: sustituir la contraseña por un PIN. 

Es el único esfuerzo que pediremos al usuario: recordar un pin de 4 dígitos. Si bien esta exigencia es mínima, aún podemos aligerarla más todavía con el hardware apropiado, ya que nuestro usuario sólo requerirá su presencia para iniciar sesión en la organización. Veamos cómo funciona:

Microsoft presentó en Windows 10 una nueva tecnología para facilitar los inicios de sesión locales llamada Windows Hello. 

Hello permite sustituir la autenticación basada en contraseña mediante otro mecanismo alternativo: el reconocimiento biométrico o el uso de un PIN. 

Para el primero, el dispositivo debe disponer de una cámara web, pero en ningún caso se trata de reconocer la forma del rostro, sino que la tecnología biométrica reconoce el iris de ojo y, por lo tanto, necesita que la webcam sea especial. De hecho, deber ser de 4K y tener reconocimiento de infrarrojos. Muy pocos dispositivos ofrecen este hardware y deberíamos comprobarlo antes de su adquisición. También Hello puede reconocer la huella digital, si se dispone del soporte de hardware apropiado en el dispositivo. 

Como tercera alternativa, podemos usar un PIN de 4 dígitos, que es algo que siempre se podrá hacer. 

Cualquiera de las posibilidades descritas no es otra cosa que un factor de autenticación adicional. La contraseña sigue existiendo, y debe ser lo más robusta posible, por lo que ahora el inicio de sesión tendrá una autenticación de dos factores. 

La contraseña se almacenará en un componente del dispositivo denominado Trusted Platform Module o TPM (si no se tiene, el sistema operativo puede emularlo por software). Usaremos el reconocimiento biométrico de Windows Hello o en PIN para desbloquear el acceso al TPM, de forma que el sistema operativo pueda acceder a la contraseña allí almacenada y se realice entonces la autenticación tradicional. 

Nos preguntaremos que dónde está la magia de esto. Bien, aquí es donde entra Active Directory y la extensión de la tecnología de Windows Hello para la autenticación Kerberos. Microsoft la llama Hello for Business, y sí, requiere controladores de dominio de Windows Server 2016, por lo que es un gran argumento técnico para actualizar nuestros controladores de dominio. 

¿Cómo funciona?  Partimos de que el módulo TPM tiene almacenada la contraseña de Active Directory del usuario. Ahora, para iniciar sesión, nuestro usuario, escribe el PIN o utiliza el reconocimiento biométrico (según esté configurado). Windows 10 accede al TPM para obtener la contraseña de Active directory.

Esta contraseña es encriptada por el equipo del usuario haciendo uso de una clave privada (para protegerla mientras está en tránsito) y enviada al controlador de dominio. El DC, usando la clave pública correspondiente, accede a la contraseña y realiza la autenticación Kerberos. Si todo ha ido bien, al usuario se le entrega su TGT de la forma tradicional. 

Cuando la Directiva de contraseña de Active Directory obliga al usuario a escribir una nueva contraseña, éste simplemente elige una nueva, la escribe dos veces y Windows 10 la vuelve a almacenar en el TPM. Nuestro usuario siempre usará el mismo PIN, aunque la contraseña se actualice con frecuencia. 

Para nosotros, los administradores, todo este proceso de configuración del servidor y los clientes se realiza por medio de Objetos de Directiva de Grupo o mediante software MDM como Intune. 

Así que actualicemos a Windows Server 2016 y, en cierto modo, digamos por fin adiós a los post-it amarillos.