lunes, enero 09, 2012

Autenticación con cuentas Windows Live en Windows 8

En la ya más que cercana Gira Up To Secure 2012 voy a estar hablando de Windows 8, donde uno de los topics más de moda es la integración con Windows Live, hasta tal punto, que se podría autenticar un usuario en local en Windows 8 con los servidores de WindowsLive.

Para ello, el administrador del sistema, cuando da de alta una cuenta dentro del equipo puede elegir la opción de autenticarse con un Windows Live ID. Esta integración está pensada para los futuros tablets o dispositivos móviles con Microsoft Windows 8, donde se puedan, de igual forma que hace Apple con iCloud, acercar los servicios de Windows Live a la plataforma escritorio. Así, un usuario podría guardar directamente en su SkyDrive, o enviar por correo con su cuenta de Hotmail, compartir estados en Windows Live Messenger y demás cosas que gustan tanto a los más sociales.

Sin embargo, cuando esta características fue anunciada, rápidamente se levantó la polémica. Ayer, ya con la gira en ciernes, he estado haciendo alguna prueba para ver cómo funciona bien y aquí va.

Cuando te creas una cuenta con Windows Live ID en tu Windows 8 - de momento la Developer Preview Edition - sólo hay que indicar la cuenta de correo electrónico asociada al Windows Live ID y listo. Nada más.

Figura 1: Dar de alta un usuario con WIndows Live ID en Windows 8

Una vez creada la cuenta se puede seleccionar en la lista de usuarios para iniciar sesión y, poniendo la contraseña de Windows Live ID acceder al equipo local. Automáticamente se carga la foto de perfil y se configuran detalles en Windows 8 provenientes desde Windows Live. Eso sí, al mismo tiempo en la cuenta de Windows Live se recibe un e-mail con información de este hecho, y hasta un SMS informativo si se tiene asociado el número de teléfono.

La pregunta es... ¿cacheará la contraseña? La respuesta es SÍ.

Cuando se inicia sesión con una cuenta Windows Live, esta contraseña se almacena en el equipo, por lo que basta con desconectar el cable, intentar conectarse con una contraseña erronea y Windows 8 lo deja bien claro: "No hay conexión, conéctate con la última password con la que iniciaste sesión".

Eso deja varios frentes de seguridad abiertos, el primero en el equipo local, pues si alguien averigua una contraseña antigua solo necesitaría desconectar el equipo de la red y usarla para autenticarse en la máquina local. 

La segunda en la cuenta del usuario, ya que alguien podría hacerse con la caché de almacenamiento de contraseñas y crackear la password por medio de algún ataque de fuerza fruta en local, algo impensable en la web de Microsoft Widnows Live hoy en día, donde las cuentas son robadas por phishing, RATs o recuperación de passwords con preguntas.

La última curiosidad es que al darse de alta un usuario en Windows 8 como cuenta de Windows Live, este automaticamente hace una solicitud de convertirse en un equipo de confianza de Windows Live, lo que le permite, si se aprueba esta concesión, en alguien capaz de cambiar la contraseña sin conocer la password anterior.

Figura 2: equipo de confianza en Windows Live. Proceso de alta manual

¿Se puede eliminar esta conexión entre Windows 8 y la cuenta de Windows Live ID?

Pues sí, en cualquier momento, desde Windows Live se puede revocar el equipo de confianza una vez se desee cortar el nexo entre ambos.

Figura 3: Mail que se recibe cuando se crea un usuario en Windows 8 autenticado por Windows Live ID. En él se encuentran los links de confirmación como equipo de confianza y el de revocación de confianza.

Además, se pueden borrar las credenciales en el Windows 8 eliminando la cuenta del usuario o eliminar simplemente la información de Windows Live. Para ello, basta con ir a Windows Credential Manager de Windows 8, y en la parte de Credenciales de Windows utilizar las opciones de Remove para quitar la información de la cuenta.

Figura 4: Visualización de datos de cuenta Windows Live en Windows Credential Manager

Como se puede ver, hay dos credenciales de Windows Live ID, una es la de la sesión activa, por lo que tiene asociado un token, y la otra es la contraseña y la cuenta con la que Windows 8 va a hacer login en los servidores de Windows Live. Así que, si la paranoia es tu lema, ya sabes donde borrarlas.

Este tipo de soluciones de usabilidad y movilidad a través de la nube pueden ser un problema cuando se pierden o son robados los dispositivos, así que evita hacer uso de estas cosas si no has acompañado esto con una política de seguridad asociada de acceso local, como borrado seguro remoto, cifrado de disco completo, bloqueo de sesiones y una política de contraseñas, para todas las cuentas, robusta.

Saludos Malignos!

7 comentarios:

Anónimo dijo...

¿Y lo de la fuerza fruta cómo va? ¿Le tiras una sandía o qué? xDDDD

PD: Perdón por el chiste malo. Me ha gustado mucho el artículo pero tenía que hacer ese comentario xD

Un troll al dia dijo...

Revisando los artículos wikitécnicos del fin de semana... deberías revisar como funciona base64.

http://www.elladodelmal.com/2012/01/averiguar-el-nombre-interno-del.html
DgBvAGMAdABvAHAAdQBzAAAAAAA= (octopus)

Buen nombre para un servidor interno, ¿tenéis también un servidor trucha?

Maligno dijo...

@Un Troll al día }XD Cabr"·$"·$!

Anónimo dijo...

Mejor aún, deberías buscarte una novia... ya te esta pasando el tren de la vida

tayoken dijo...

Jajaja, Chema, sabes perfectamente que toda captura de pantalla que publiques va a ser sujeto de auditoría, desde metadatos hasta estaganografía.

tayoken dijo...

*esteganografía

Anónimo dijo...

*culografia

Entradas populares