Es posible que su teléfono reemplace pronto muchas de sus contraseñas: Krebs sobre seguridad

Apple, Google y Microsoft anunciaron esta semana que pronto admitirán una enfoque de autenticación que evita las contraseñas por completo y, en cambio, requiere que los usuarios simplemente desbloqueen sus teléfonos inteligentes para iniciar sesión en sitios web o servicios en línea. Los expertos dicen que los cambios deberían ayudar a derrotar muchos tipos de ataques de phishing y aliviar la carga general de las contraseñas en los usuarios de Internet, pero advierten que un verdadero futuro sin contraseña aún puede estar a años de distancia para la mayoría de los sitios web.

Imagen: Blog.google

Los gigantes de la tecnología son parte de un esfuerzo liderado por la industria para reemplazar las contraseñas, que se olvidan fácilmente, con frecuencia robadas por malware y esquemas de phishing, o filtrado y vendido en línea a raíz de violaciones de datos corporativos.

Apple, Google y Microsoft son algunos de los contribuyentes más activos a un estándar de inicio de sesión sin contraseña elaborado por FIDO («Fast Identity Online”) Alliance y el World Wide Web Consortium (W3C), grupos que han estado trabajando con cientos de empresas de tecnología durante la última década para desarrollar un nuevo estándar de inicio de sesión que funciona de la misma manera en múltiples navegadores y sistemas operativos.

Según la Alianza FIDO, los usuarios podrán iniciar sesión en sitios web a través de la misma acción que realizan varias veces al día para desbloquear sus dispositivos, incluido un PIN del dispositivo o una biométrica como una huella digital o un escaneo facial.

«Este nuevo enfoque protege contra el phishing y el inicio de sesión será radicalmente más seguro en comparación con las contraseñas y las tecnologías heredadas de múltiples factores, como los códigos de acceso de un solo uso enviados por SMS», escribió la alianza el 5 de mayo.

Sampath Srinivas, director de autenticación de seguridad en Google y presidente de FIDO Alliance, dijo que bajo el nuevo sistema su teléfono almacenará una credencial FIDO llamada » passkey” que se utiliza para desbloquear su cuenta en línea.

“La contraseña hace que iniciar sesión sea mucho más seguro, ya que se basa en criptografía de clave pública y solo se muestra en su cuenta en línea cuando desbloquea tu teléfono”, escribió Srinivas. “Para iniciar sesión en un sitio web en su computadora, solo necesitará su teléfono cerca y simplemente se le pedirá que lo desbloquee para acceder. Una vez que haya hecho esto, no necesitará su teléfono nuevamente y podrá iniciar sesión simplemente desbloqueando su computadora.”

Como ZDNet notas, Apple, Google y Microsoft ya admiten estos estándares sin contraseña (p. ej., «Iniciar sesión con Google»), pero los usuarios deben iniciar sesión en todos los sitios web para utilizar la funcionalidad sin contraseña. Con este nuevo sistema, los usuarios podrán acceder automáticamente a su clave de acceso en muchos de sus dispositivos, sin tener que volver a registrar cada cuenta, y usar su dispositivo móvil para iniciar sesión en una aplicación o sitio web en un dispositivo cercano.

Johannes Ullrich, decano de investigación del SANS Technology Institute, calificó el anuncio como «por mucho, el esfuerzo más prometedor para resolver el desafío de autenticación».

«La parte más importante de este estándar es que no requerirá que los usuarios compren un nuevo dispositivo, sino que pueden usar dispositivos que ya poseen y saben cómo usar como autenticadores”, dijo Ullrich.

Steve Bellovin , profesor de ciencias de la computación en la Universidad de Columbia y uno de los primeros investigadores y pioneros de Internet , calificó el esfuerzo sin contraseña como un «gran avance» en la autenticación, pero dijo que tomará mucho tiempo para que muchos sitios web se pongan al día.

Bellovin y otros digamos que un escenario potencialmente complicado en este nuevo esquema de autenticación sin contraseña es lo que sucede cuando alguien pierde su dispositivo móvil, o su teléfono se rompe y no puede recordar su contraseña de iCloud.

“Me preocupa personas que no pueden pagar un dispositivo adicional o que no pueden reemplazar fácilmente un dispositivo roto o robado”, dijo Bellovin. “Me preocupa la recuperación de contraseñas olvidadas para cuentas en la nube.”

Google dice

que, incluso si pierde su teléfono, «sus claves de acceso se sincronizarán de forma segura con su nuevo teléfono desde la copia de seguridad en la nube, lo que le permitirá continuar justo donde lo dejó su antiguo dispositivo».

Apple y Microsoft también tienen soluciones de respaldo en la nube que los clientes que usan esas plataformas podrían usar para recuperarse de un dispositivo móvil perdido. Pero Bellovin dijo que mucho depende de la seguridad con la que se administren dichos sistemas en la nube.

«¿Qué tan fácil es agregar la clave pública de otro dispositivo a una cuenta, sin autorización?» Bellovin se preguntó. “Creo que sus protocolos lo hacen imposible, pero otros no están de acuerdo”.

Nicholas Weaver, profesor del departamento de informática de La Universidad de California, Berkeley, dijo que los sitios web aún deben tener algún mecanismo de recuperación para el escenario «perdió su teléfono y su contraseña», que describió como «un problema realmente difícil de resolver de manera segura y ya». una de las mayores debilidades de nuestro sistema actual”.

“Si olvida la contraseña y pierde su teléfono y puede recuperarlo, ahora este es un gran objetivo para los atacantes”, dijo Weaver en un correo electrónico. “Si olvida la contraseña y pierde su teléfono y NO PUEDE, bueno, ahora ha perdido su token de autorización que se usa para iniciar sesión. Tendrá que ser lo último. Apple tiene la infraestructura para admitirlo (llavero de iCloud), pero no está claro si Google la tiene”.

Aun así, dijo, el enfoque general de FIDO ha sido una gran herramienta para mejorando tanto la seguridad como la facilidad de uso.

“Es un muy, muy buen paso adelante, y estoy encantado de ver esto”, dijo Weaver. “Aprovechar la sólida autenticación del propietario del teléfono (si tiene un código de acceso decente) es muy bueno. Y al menos para el iPhone, puede hacer que esto sea sólido incluso para comprometer el teléfono, ya que es el enclave seguro el que se encargaría de esto y el enclave seguro no confía en el sistema operativo host”.

Los gigantes tecnológicos dijeron que las nuevas capacidades sin contraseña se habilitarán en las plataformas de Apple, Google y Microsoft «en el transcurso del próximo año». Pero los expertos dijeron que probablemente tomará varios años más para que los destinos web más pequeños adopten la tecnología y eliminen las contraseñas por completo.

Investigaciones recientes muestran que demasiadas personas aún reutilizan o reciclan contraseñas (modificando contraseña levemente), lo que presenta un riesgo de apropiación de la cuenta cuando esas credenciales eventualmente quedan expuestas en una violación de datos. Un
informe en marzo de la firma de seguridad cibernética SpyCloud descubrió que el 64 % de los usuarios reutilizan las contraseñas para varias cuentas y que el 70 % de las credenciales comprometidas en infracciones anteriores todavía están en uso.

Un libro blanco de marzo de 2022 sobre el El enfoque FIDO está disponible aquí (PDF). Una pregunta frecuente sobre esto está aquí .

Lee mas

Deja un comentario

Tu dirección de correo electrónico no será publicada.