Microsoft implementa cuentas sin contraseña por defecto para reforzar la seguridad
Microsoft ha anunciado un cambio significativo en su política de seguridad: todas las nuevas cuentas de Microsoft se crearán de forma predeterminada sin contraseña (“passwordless by default”). Esta medida busca mitigar los riesgos asociados a los ataques basados en contraseñas, como phishing, fuerza bruta y relleno de credenciales (credential stuffing). Fuente original.
El problema de las contraseñas tradicionales
Las contraseñas han sido durante décadas el método predominante de autenticación, pero presentan vulnerabilidades inherentes:
- Phishing: Los usuarios pueden ser engañados para revelar sus credenciales en sitios fraudulentos.
- Ataques de fuerza bruta: Técnicas automatizadas prueban combinaciones hasta encontrar la contraseña correcta.
- Reutilización de contraseñas: Los usuarios suelen repetir contraseñas en múltiples servicios, ampliando el impacto de una filtración.
- Credential stuffing: Uso de credenciales filtradas en otros servicios para acceder a cuentas.
¿Cómo funciona la autenticación sin contraseña?
Microsoft reemplazará las contraseñas con métodos más seguros de autenticación:
- Microsoft Authenticator: Aplicación que genera notificaciones push para aprobar el acceso.
- Llaves de seguridad FIDO2: Dispositivos físicos (como YubiKey) que usan criptografía para autenticar al usuario.
- Códigos de verificación vía SMS o correo: Como método secundario en caso de no disponer de otras opciones.
- Windows Hello: Para dispositivos Windows, permite autenticación mediante reconocimiento facial, huella digital o PIN.
Beneficios técnicos de eliminar las contraseñas
Esta transición ofrece ventajas significativas en seguridad y experiencia de usuario:
- Reducción de superficies de ataque: Al eliminar las contraseñas, se remueve un vector de ataque crítico.
- Mayor resistencia al phishing: Los métodos alternativos son inmunes a técnicas tradicionales de robo de credenciales.
- Mejor experiencia de usuario: No es necesario recordar o administrar contraseñas complejas.
- Cumplimiento normativo: Alinea con estándares como NIST SP 800-63B, que recomienda reducir la dependencia de contraseñas.
Implicaciones para usuarios y administradores
Este cambio requiere adaptación por parte de diferentes grupos:
- Usuarios finales: Deberán configurar métodos alternativos de autenticación durante el registro.
- Administradores IT: Necesitarán actualizar políticas y sistemas para soportar autenticación sin contraseña.
- Desarrolladores: Las aplicaciones que integran con cuentas Microsoft deberán soportar los nuevos flujos de autenticación.
Transición gradual y compatibilidad
Microsoft mantendrá soporte para contraseñas en cuentas existentes, permitiendo una migración gradual:
- Los usuarios pueden optar por deshabilitar completamente las contraseñas en su configuración de seguridad.
- Se mantiene compatibilidad con aplicaciones heredadas que requieran contraseñas mediante tokens de aplicación.
- Las organizaciones pueden configurar políticas específicas a través de Azure Active Directory.
El futuro de la autenticación
Este movimiento de Microsoft refleja una tendencia creciente en la industria hacia la eliminación de contraseñas. Otras empresas como Apple (con Passkeys) y Google también están adoptando enfoques similares. La combinación de factores biométricos, dispositivos físicos y autenticación multifactor parece destinada a convertirse en el nuevo estándar de seguridad.
La implementación de Microsoft marca un hito importante en la adopción generalizada de autenticación sin contraseña, estableciendo un precedente que probablemente seguirán otros proveedores de servicios en línea.
