Manzana, Google Y microsoft Anunció esta semana que pronto admitirá un enfoque de autenticación que elimina las contraseñas por completo, en lugar de requerir que los usuarios abran sus teléfonos inteligentes para iniciar sesión en sitios web o servicios en línea. Los expertos dicen que estos cambios ayudarán a derrotar muchos tipos de ataques de phishing y aliviarán la carga general de contraseñas para los usuarios de Internet, pero advierten que el futuro sin contraseñas reales será de muchos años más para la mayoría de los sitios web.
Imagen: Blog.google
Los gigantes de la tecnología son parte de un esfuerzo liderado por la industria para cambiar las contraseñas que se olvidan fácilmente, que se roban con frecuencia por malware y estafas de phishing, o que se filtran en línea a raíz de filtraciones de datos corporativos.
Apple, Google y Microsoft se han asociado con FIDO («Fast Identity Online») y The Federación Mundial de la Red (W3C), equipos que trabajaron con cientos de empresas de tecnología durante la última década para desarrollar un nuevo estándar de inicio de sesión que funcione uniformemente en múltiples navegadores y sistemas operativos.
Según FIDO Alliance, los usuarios pueden iniciar sesión en sitios web a través del mismo proceso que toma varias veces al día para desbloquear sus dispositivos, incluido el PIN del dispositivo o datos biométricos, como huellas dactilares o escaneo facial.
«Este nuevo enfoque protege contra el phishing y hace que el inicio de sesión sea más seguro en comparación con las tecnologías tradicionales de múltiples factores, como las contraseñas y las contraseñas de un solo uso enviadas por SMS», escribió Coalition el 5 de mayo.
Sampath SrinivasEl Director de Autorización de Seguridad de Google y Jefe de FIDO Alliance dijo que bajo el nuevo sistema, su teléfono almacenará las credenciales de FIDO conocidas como la «clave de acceso» que se usa para abrir su cuenta en línea.
«Basado en el cifrado de clave pública, hace que sea muy seguro iniciar sesión con una contraseña, ya que solo se mostrará en su cuenta en línea cuando abra su teléfono móvil», escribió Srinivas. “Necesitará su teléfono cerca para iniciar sesión en el sitio web en su computadora. Se le pedirá que lo abra para acceder. Una vez que haya hecho esto, ya no necesitará reiniciar su teléfono y podrá iniciar sesión desbloqueando su computadora.
Como ZDNet notas, Apple, Google y Microsoft ya admiten estos estándares sin contraseña (por ejemplo, «Iniciar sesión con Google»), pero los usuarios deben iniciar sesión en todos los sitios web para usar la función sin contraseña. Con el nuevo sistema, los usuarios podrán acceder automáticamente a sus contraseñas en múltiples dispositivos, sin tener que volver a registrar cada cuenta, e iniciar sesión en una aplicación o sitio web en un dispositivo cercano usando su dispositivo móvil.
johannes ulrichInvestigar adolescente para Empresa de tecnología SANSEl anuncio se denominó «el intento más prometedor de resolver el desafío de la acreditación».
«La parte más importante de este estándar es que los usuarios no tienen que comprar un nuevo dispositivo, sino usar dispositivos que ya tienen y saben cómo usarlos como autenticadores», dijo Ulrich.
De Steve BellowProfesor de Informática y Early Internet en la Universidad de Columbia Investigador y pioneroLlamó la «mayor mejora» en el reconocimiento de la iniciativa sin contraseña, pero dijo que muchos sitios web tardarían demasiado en ponerse al día.
Bellows y otros afirman que en una situación complicada con este nuevo programa de autenticación sin contraseña, si alguien pierde su dispositivo móvil o su teléfono se rompe, no podrá recuperar la contraseña de iCloud.
“Me preocupan las personas que no pueden pagar un dispositivo adicional o que pueden reemplazar fácilmente un dispositivo roto o robado”, dijo Bellowin. «Me preocupa la recuperación de contraseñas para cuentas en la nube».
Google Dice Incluso si pierde su teléfono móvil, «sus contraseñas se sincronizarán de forma segura con su nuevo móvil desde la copia de seguridad en la nube, lo que le permitirá recuperar su antiguo dispositivo del estacionamiento».
Apple y Microsoft tienen soluciones de respaldo en la nube que los clientes que usan esos sitios pueden usar para recuperarse de un dispositivo móvil perdido. Pero según Bellow, depende de la seguridad con la que se gestionen dichos sistemas en la nube.
«¿Qué tan fácil es agregar una clave pública a otro dispositivo sin autenticación?» Bello se sorprendió. “Creo que su ética lo hace imposible, pero otros no están de acuerdo”.
Nicolás TejedorDocente en el campo de la informática. Universidad de California, BerkeleyDijo que los sitios web deberían tener más pasos de recuperación para la situación de «perdiste tu teléfono y contraseña», que describió como «un problema muy difícil de hacer de forma segura y que ya es una de las mayores debilidades de nuestro sistema actual».
«Si puede olvidar su contraseña, perder su teléfono y recuperarlo, ahora este es un gran objetivo para los atacantes», dijo Weaver en un correo electrónico. «Si olvida su contraseña y pierde su teléfono móvil, ahora perderá su token de autenticación que usó para iniciar sesión. Tiene que ser esto último. Apple tiene la infraestructura para admitirlo (llavero de iCloud), pero no está claro si Google lo hará.
No obstante, dijo que el enfoque general de FIDO es una excelente herramienta para mejorar la seguridad y la facilidad de uso.
«Es un buen paso y me alegra ver esto», dijo Weaver. “Es muy bueno usar la autenticación fuerte del propietario del teléfono (si tiene un código de acceso decente). Y al menos para el iPhone, incluso los compromisos telefónicos pueden fortalecer esto, porque es un enclave seguro que lo maneja y no confía en un sistema operativo host de enclave seguro.
Las leyendas de la tecnología dicen que las nuevas capacidades sin contraseña se implementarán «en el próximo año» en los sistemas operativos de Apple, Google y Microsoft. Pero los expertos dicen que aún llevará muchos años que los sitios pequeños de Internet adopten la tecnología y eliminen las contraseñas por completo.
Investigaciones recientes muestran que muchas personas reutilizan o reciclan contraseñas (modificando ligeramente la misma contraseña), lo que representa un riesgo de adquisición de cuenta cuando esas credenciales quedan expuestas en una violación de datos. UN Reporte Marcha desde la Ciberseguridad SpyCloud El 64 % de los usuarios encuentran que reutilizan contraseñas para varias cuentas, y el 70 % de las credenciales comprometidas en infracciones anteriores todavía están en uso.
El libro blanco de marzo de 2022 sobre el enfoque FIDO está disponible Aquí (PDF). Hay una pregunta frecuente en él Aquí.
«Simpático adicto a la cultura pop. Explorador. Especialista en cerveza independiente. Introvertido devoto. Amante profesional del alcohol».