Así puedes iniciar sesión sin contraseñas en servicios de Microsoft

Microsoft da el salto definitivo a la experiencia «passwordless», que permitirá iniciar sesión en sus servicios más conocidos sin necesidad de credenciales, simplemente utilizando su aplicación de generación de códigos Microsoft Authenticator.

Aunque no es la única empresa que se ha metido de lleno en esta aventura de ofrecer experiencias sin contraseñas, Microsoft ha sido la empresa que ha liderado las pruebas de implementación, en parte por ser la pionera en su utilización, que ya contaba con un piloto desde 2018, para su aplicación de anotaciones.

Esta tecnología estará disponible desde ya para acceder a Outlook, Xbox y todas las cuentas Microsoft usadas por ejemplo en Windows.

Esta característica ha estado en fase de pruebas desde Marzo, siendo testeada por estudiantes y profesionales. Respecto a Windows 10, ya se ha venido ofreciendo la opción desde hace más tiempo, través de Windows Hello para individuos o empresas.

Adiós a las contraseñas tradicionales

Como usuarios, esto es algo del todo deseable por la comodidad que nos brinda, evitando tener que recordar o custodiar credenciales (y posiblemente repetirlas o perderlas en algún momento). Es bastante preferible usar la huella o el rostro, por ejemplo.

Para los profesionales de seguridad, a medida que se popularicen estos sistemas, el grado de exposición de la información sensible se irá reduciendo, pues estaremos descendiendo el error humano a su mínima expresión.

Según reportan desde sitios como The Verge, ya se puede iniciar sesión sin necesidad de utilizar contraseñas, simplemente pasando a utilizar su aplicación de autenticación (descarga via QR) o alguna de las alternativas soportadas para transmitir los códigos.

La aplicación Microsoft Authenticator puede utilizarse para iniciar sesión con cualquier cuenta de Azure AD sin usar contraseña. Microsoft utiliza autenticación basada en secretos para activar una credencial de usuario emparejada con un dispositivo, donde el dispositivo usa PIN o biometría. Windows Hello for Business utiliza una tecnología similar.

Microsoft

La forma más sencilla de activar el passwordless, es abrir la aplicación Authenticator de Microsoft, confirmar la eliminación de tus credenciales de acceso de cuenta Microsoft y luego aprobarlo desde la app.

Aprobaremos la solicitud en nuestra aplicación Authenticator.

¿Existen incovenientes?

La respuesta es depende. Desde el punto de vista de la privacidad es posible que no te haga mucha gracia tener que dejar de usar una cuenta de usuario local en Windows 10 para tener que usar una cuenta Microsoft para iniciar sesión, por ejemplo.

Por otro lado, a modo de «pega» resulta curioso (o no, siendo Microsoft) que otras aplicaciones de generación de códigos como Authy o Google Authenticator sean incompatibles con el formato de los códigos numéricos utilizados por Microsoft.

Palabras finales

Estés de acuerdo con la forma en que Microsoft ha implementado la característica, lo que no podemos negar es que es mucho más difícil para un atacante robar un código generado bajo demanda o una huella, que atacar una contraseña que podría estar filtrada o ser débil. Cualquier mejora en este punto es bienvenida.

Además, aunque tengamos la cuenta protegida con segundo factor de autenticación, un atacante podría usar nuestras credenciales robadas y probarlas en otros servicios (password spraying).

Ahora solo queda por ver que otros actores importantes, como Google, Apple y similares se unan y publiquen sistemas similares en el futuro.