manzanaY El Google Y microsoft Anunciaron esta semana que pronto admitirán un enfoque de autenticación que evita las contraseñas por completo y, en cambio, requiere que los usuarios simplemente desbloqueen sus teléfonos inteligentes para iniciar sesión en sitios web o servicios en línea. Los expertos dicen que los cambios deberían ayudar a derrotar muchos tipos de ataques de phishing y aliviar la carga general de contraseñas para los usuarios de Internet, pero advierten que el verdadero futuro sin contraseña aún puede estar lejos de la mayoría de los sitios web.
Los gigantes tecnológicos son parte de un esfuerzo liderado por la industria para reemplazar las contraseñas, que se olvidan fácilmente, con frecuencia son robadas por malware y esquemas de phishing, o se filtran y venden en línea a raíz de filtraciones de datos corporativos.
Apple, Google y Microsoft son algunos de los contribuyentes más activos al estándar de inicio de sesión sin contraseña establecido por la alianza FIDO («Fast Identity Online») y Consorcio Mundial de la red (W3C), los grupos que han trabajado con cientos de empresas de tecnología durante la última década para desarrollar un nuevo estándar de inicio de sesión que funcione igual en varios navegadores y sistemas operativos.
Según FIDO Alliance, los usuarios podrán iniciar sesión en sitios web a través del mismo procedimiento que realizan varias veces al día para desbloquear su dispositivo, incluido un PIN del dispositivo o datos biométricos como una huella digital o un escaneo facial.
“Este nuevo enfoque protege contra el phishing y hará que el inicio de sesión sea radicalmente más seguro en comparación con las contraseñas y tecnologías multifactor heredadas, como los códigos de acceso de un solo uso enviados por SMS”, escribió la coalición el 5 de mayo.
Sampath SrinivasSegún el nuevo sistema, su teléfono almacenará una credencial FIDO llamada «clave de acceso» que se utiliza para abrir su cuenta en línea, dijo el director de autenticación de seguridad de Google y jefe de FIDO Alliance.
“La clave de acceso hace que el inicio de sesión sea más seguro, porque se basa en criptografía de clave pública y solo es visible para su cuenta en línea cuando desbloquea su teléfono”, escribió Srinivas. «Para iniciar sesión en un sitio web en su PC, solo necesitará su teléfono cerca de usted y simplemente se le pedirá que lo desbloquee para acceder a él. Una vez que lo haga, no necesitará su teléfono nuevamente y podrá iniciar sesión una vez que lo desbloquee». tu computador.»
Me gusta ZDNet notasApple, Google y Microsoft ya admiten estos estándares sin contraseña (como «Iniciar sesión con Google»), pero los usuarios deben iniciar sesión en cada sitio web para usar la funcionalidad sin contraseña. Con este nuevo sistema, los usuarios podrán acceder automáticamente a sus claves de acceso en muchos de sus dispositivos, sin tener que volver a registrar cada cuenta, y usar su dispositivo móvil para iniciar sesión en una aplicación o sitio web en un dispositivo cercano.
johannes ulrichbúsqueda de decano Instituto Tecnológico SansEl anuncio llamó «con mucho el esfuerzo más prometedor para resolver el desafío de autenticación».
“La parte más importante de este estándar es que no requerirá que los usuarios compren un nuevo dispositivo, sino que pueden usar dispositivos que ya poseen y saben cómo usar como autenticadores”, dijo Ulrich.
Steve BellovinProfesor de Ciencias de la Computación en la Universidad de Columbia y la Internet Temprana Investigador y pionerodescribió el esfuerzo sin contraseña como un «tremendo avance» en la autenticación, pero dijo que muchos sitios web tardarían demasiado en ponerse al día.
Un escenario potencialmente complicado en el nuevo sistema de autenticación sin contraseña es lo que sucede cuando alguien pierde su dispositivo móvil, o su teléfono se rompe y no puede recordar su contraseña de iCloud, dicen Belovin y otros.
«Me preocupan las personas que no pueden comprar un dispositivo adicional o que no pueden reemplazar fácilmente un dispositivo roto o robado», dijo Belovin. «Me preocupa recuperar la contraseña olvidada de las cuentas en la nube».
El Google Dice Que incluso si pierde su teléfono, «sus claves de acceso se sincronizarán de forma segura con su nuevo teléfono desde su copia de seguridad en la nube, lo que le permitirá continuar donde lo dejó su dispositivo anterior».
Apple y Microsoft también tienen soluciones de respaldo en la nube que los clientes que usan estas plataformas pueden usar para recuperarse de un dispositivo móvil perdido. Pero Belovin dijo que mucho depende de qué tan seguros se administren estos sistemas en la nube.
«¿Qué tan fácil es agregar la clave pública de otro dispositivo a una cuenta sin permiso?» preguntó Belovin. «Creo que sus protocolos lo hacen imposible, pero otros no están de acuerdo».
Nicolás TejedorProfesor en el Departamento de Ciencias de la Computación en Universidad de California, BerkeleyDijo que los sitios web aún deberían tener algunos mecanismos de recuperación para el escenario «Perdió su teléfono y su contraseña», que describió como «un problema realmente difícil de hacer de manera segura y es realmente una de las mayores debilidades en nuestro sistema actual».
“Si olvida su contraseña y pierde su teléfono y logra recuperarlo, ese es un gran objetivo para los atacantes”, dijo Weaver en un correo electrónico. «Si olvida su contraseña y pierde su teléfono y no puede, bueno, ahora ha perdido el código de autorización utilizado para iniciar sesión. Debería ser el último. Apple tiene la infraestructura para admitirlo (llavero de iCloud), pero es no está claro si Google lo hace”.
Sin embargo, dijo, el enfoque general de FIDO fue una gran herramienta para mejorar tanto la seguridad como la facilidad de uso.
«Es realmente un buen paso adelante, y me alegra ver eso», dijo Weaver. «Aprovechar la autenticación sólida del teléfono del propietario del teléfono (si tiene un código de acceso decente) es genial. Y al menos para el iPhone, puede hacer que esto sea sólido incluso para un teléfono comprometido, ya que es la caja fuerte de bolsillo la que manejará esto y la seguridad Pocket no confía en el sistema operativo del host».
Los gigantes tecnológicos dijeron que las nuevas capacidades sin contraseña se habilitarán en las plataformas de Apple, Google y Microsoft «en el transcurso del próximo año». Pero los expertos dijeron que probablemente tomará varios años más para que los destinos web más pequeños adopten la tecnología y renuncien por completo a las contraseñas.
Investigaciones recientes muestran que demasiadas personas todavía están reutilizando o reutilizando contraseñas (modificando ligeramente la misma contraseña), lo que presenta un riesgo de apropiación de la cuenta cuando esas credenciales finalmente quedan expuestas en una violación de datos. un Reporte En marzo de una empresa de ciberseguridad SpyCloud Encontró que el 64 por ciento de los usuarios reutilizan contraseñas para varias cuentas, y el 70 por ciento de las credenciales que se vieron comprometidas en violaciones anteriores todavía están en uso.
Un documento blanco disponible en marzo de 2022 sobre el enfoque FIDO aquí (PDF). Hay preguntas y respuestas. aquí.
«Gurú del alcohol. Analista. Defensor de la comida. Aficionado extremo al tocino. Experto total en Internet. Adicto a la cultura pop. Pionero de viajes sutilmente encantador».