Protegiendo el acceso a Windows con doble factor

Hola, esta vez vamos a mirar cómo podemos mejorar la seguridad de nuestro acceso a Windows. Ya hemos tratado el uso del segundo factor en nuestras cuentas y sabemos que nos da mayor seguridad al acceso a los servicios que usamos en Internet, pero ¿que ocurre con nuestros dispositivos de escritorio, Windows, Linux o Mac?.

La solución que hoy vamos a usar, es gratuita para usuarios domésticos y es de pago en el caso de empresas.

Dicho esto, nos vamos a centrar en Windows. Tenemos dos formas de usar el segundo factor:

  1. Con aplicación
  2. Sincronizando usuario local con el usuario de microsoft y habilitamos el doble factor en la cuenta de Microsoft
  3. ...la tercera opción es en empresas, mediante políticas de seguridad en el directorio activo.

Aplicación

Hay unas cuantas, pero que sean gratuitas para uso domésticos ya no lo son tantas, en este caso vamos a usar la aplicación SAASPASS


Esta solución es muy interesante porque no solo nos permite proteger el acceso a windows, sino que tiene otras múltiples opciones de interés como la integración con los navegadores de Internet.

El proceso de uso, es muy simple:

  • Descargamos la aplicación en el movil y protegemos el acceso a la aplicación ya sea con código o huella digital.
  • Activamos la aplicación del móvil usando el número del teléfono, que mediante un SMS se activa y de esta forma tenemos el método de recuperación activado.
  • Descargamos e instalamos la aplicación en el ordenador y lo vinculamos usando la aplicación del movil, asi se queda todo enlazado.

Descargamos la aplicación movil y del ordenador




Configuramos


Probamos



El proceso es bastante simple y el resultado es que la próxima vez que entremos a windows tendremos que dar un número que cambia dinámicamente, es decir si alguien ya conoce nuestra clave de windows no podrá entrar o bien usamos la aplicación con el código bidi de la esquina superior derecha.



¿Que ocurre cuando usamos el código Bidi?

Durante el proceso de instalación, hemos dado la contraseña para inicio de sesión de windows y cuando nuestra aplicación móvil escanea el bidi, envía por internet el aviso a la aplicación instalada en el ordenador, de forma que se realiza el login en windows. 



Cuando NO tenemos internet o los servidores de SAASPASS estuvieran caidos la forma de entrare en windows es usando los números que nos da la aplicación.


¿Y si queremos quitar SAASPASS?

En este caso el proceso correcto es desvincularlo y esto sólo lo podemos hacer desde la aplicación del ordenador, que se esta ejecutando en segundo plano, encontramos el icono en la barra del reloj.


Una vez eliminado y desvinculado, podremos desinstalar la aplicación, pero lo importante es dar antes a REMOVE PROTECTION  y después de unos minutos desaparecerá el registro del ordenador en la aplicación movil.



¿Como vinculo mi cuenta local con la de Microsoft?

Otra alternativa es vincular la cuenta de Microsoft con la de nuestro windows y activar el segundo factor en la cuenta de Microsoft. Estos son dos pasos:

Vinculación de la cuenta:


Si no tenemos una cuanta de Microsoft, la podemos crear fácilmente usando cualquier cuenta de correo.

Activamos el segundo factor en la cuente de Microsoft
 


¿Y si queremos volver atrás y no queremos usar la cuenta de Microsoft?


Pues el proceso es igual de simple...


Otros métodos de autenticación en Windows o de Multifactor:



En general siempre debemos intentar mejorar la seguridad de acceso a windows y en especial cuando nuestro ordenador puede ser usado por otros usuarios, ya que las passwords no siempre son tan seguras.

Para empresas que usan controladores de dominio, lo mejor es usar las políticas del propio directorio activo o incluso combinarlo con la seguridad de Azure, la cloud de Microsoft.

Conclusión, siempre que podamos usar la autenticación en dos pasos....Activarla!!!


Saludos

Pedro