PassKeys, el asesino de contraseñas de Microsoft, Apple y Google, finalmente está aquí

Durante años, Big Tech ha insistido en que la muerte de la contraseña está a la vuelta de la esquina. A lo largo de los años, esas promesas han sido poco más que promesas vacías. Las alternativas de contraseña, como los envíos, el inicio de sesión único de OAUTH y los módulos de plataforma confiable, han resuelto muchos problemas de usabilidad y seguridad. Pero ahora, finalmente estamos en la cima de un reemplazo de contraseña que realmente funcionará.

La nueva alternativa se llama claves de acceso. En general, las contraseñas se refieren a varios esquemas para almacenar información de autenticación en hardware, que existen desde hace más de una década. La diferencia ahora es que Microsoft, Apple, Google y un consorcio de otras empresas están unidas en un mismo lugar. estandarte vasco Pastoreado por la Alianza FIDO. Las contraseñas no solo son más fáciles de usar para la mayoría de las personas que las contraseñas; Son completamente inmunes al phishing de credenciales, al relleno de credenciales y a ataques de toma de cuentas similares.

lunes, PayPal dijo Los usuarios de EE. UU. pronto podrán iniciar sesión con contraseñas basadas en FIDO y unirse a Kayak, eBay, Best Buy, CardPointers y WordPress.com como servicios en línea que ofrecen alternativas de contraseña. En los últimos meses, Microsoft, Apple y Google han actualizado sus sistemas operativos y aplicaciones para admitir claves de paso. El apoyo vasco sigue vigente. Por ejemplo, las contraseñas guardadas en iOS o macOS funcionarán en Windows, pero la inversa aún no está disponible. En los próximos meses, todos estos deben ser eliminados.

qué exactamente Existen ¿Contraseñas?

Las contraseñas funcionan casi de manera idéntica a los autenticadores FIDO, lo que nos permite usar nuestros teléfonos, computadoras portátiles, computadoras y llaves de seguridad Yubico o Feitian para la autenticación de múltiples factores. Al igual que los autenticadores FIDO almacenados en estos dispositivos MFA, las claves de acceso son invisibles y se integran con Face ID, Windows Hello u otros lectores biométricos proporcionados por los fabricantes de dispositivos. No hay forma de recuperar los secretos criptográficos almacenados en los autenticadores, eliminando físicamente el dispositivo o sometiéndolo a un jailbreak o un ataque de enraizamiento.

Incluso si un adversario pudiera extraer el secreto criptográfico, necesitaría proporcionar una huella digital, un escaneo facial o, en ausencia de capacidades biométricas, el PIN asociado con el token. Además, los tokens de hardware utilizan el flujo de autenticación de dispositivos cruzados de FIDO, o CTAP, que garantiza que el dispositivo esté muy cerca del dispositivo en el que intenta iniciar sesión, confiando en Bluetooth de bajo consumo.

Hasta ahora, las claves de seguridad basadas en FIDO se usaban principalmente para proporcionar MFA, que significa Multi-Factor Authentication, que requiere que alguien proporcione un factor de autenticación por separado además de una contraseña válida. Los factores adicionales proporcionados por FIDO generalmente incluyen un token de hardware en un teléfono inteligente o computadora en poder del usuario, y vienen en forma de huella digital, escaneo facial u otra biometría del usuario que no sale del dispositivo.

Hasta ahora, los ataques contra la MFA compatible con FIDO han sido pocos y esporádicos. Una avanzada campaña de phishing de credenciales que recientemente violó a Twilio y otras importantes empresas de seguridad, por ejemplo, fracasó contra CloudFlare por una razón: a diferencia de otros objetivos, CloudFlare Fichas usadas de hardware compatible con FIDO Los atacantes son inmunes a la técnica de phishing utilizada. Todas las víctimas violadas se basaron en formas más débiles de MFA.

Pero mientras que los tokens de hardware pueden proporcionar uno o más factores de autenticación además de una contraseña, las claves de acceso no dependen de una contraseña. En cambio, los códigos de acceso incorporan múltiples factores de autenticación, generalmente un teléfono o computadora portátil y el escaneo facial o la huella digital del usuario, en un solo paquete. Las contraseñas son administradas por el sistema operativo del dispositivo. A opción del Usuario, se pueden sincronizar con otros dispositivos del Usuario mediante un servicio en la nube proporcionado por Apple, Microsoft, Google u otros proveedores a través del cifrado de extremo a extremo.

Las claves de acceso son «rastreables», lo que significa que un dispositivo inscrito envía automáticamente una a través de un túnel encriptado a otro dispositivo inscrito que intenta iniciar sesión en las cuentas del sitio o la aplicación de un usuario. Al iniciar sesión, el usuario se autentica con el mismo código biométrico, contraseña o PIN del dispositivo para desbloquearlo. Este mecanismo reemplaza por completo el nombre de usuario y la contraseña tradicionales y proporciona una experiencia de usuario mucho más sencilla.

«Los usuarios ya no tienen que registrar cada dispositivo para cada servicio, como ha sido el caso durante mucho tiempo para FIDO (y cualquier encriptación de clave pública)», dijo Andrew Shikiar, director general y director de marketing de FIDO. «Al habilitar una clave privada que se sincroniza de forma segura en la nube del sistema operativo, el usuario solo necesita registrarse una vez para un servicio y luego registrarse previamente para ese servicio en todos sus otros dispositivos. Esto brinda una mejor usabilidad para el usuario final y— en particular, las contraseñas para la recuperación de la cuenta y la reinscripción.Permite que el proveedor de servicios inicie la jubilación.

Ron Amadeo, editor de la revisión de Ars Bueno, pon las cosas juntas La semana pasada escribió: “Los vascos son sólo un oficio WebAuthn Claves criptográficas directamente con la web. No es necesario que un ser humano le diga a un administrador de contraseñas que cree, almacene y recupere un secreto; todo se hace automáticamente, con mejores secretos y unicidad que la que admitía el antiguo cuadro de texto».