¿Un sistema sin contraseña daría demasiado poder a las grandes empresas tecnológicas? FIDO Alliance intenta desactualizar las contraseñas

La protección con contraseña ha sido la columna vertebral de la ciberseguridad en línea durante décadas, pero el rápido desarrollo de las tecnologías de piratería y malware ha requerido una nueva forma de hacer las cosas: la autenticación. Varios factores. Muchas empresas se han pasado a este modo de autenticación debido al hecho de que es el tipo que puede terminar creando una capa adicional de defensa, y el corolario de este progreso parece ser un mundo sin palabras y obsoleto.

FIDO (para Fast IDentity Online), una alianza de varias empresas (incluidas Google, Apple, Meta y Microsoft) que existe desde 2013 tratando de acelerar el envejecimiento de las contraseñas. FIDO, junto con el Consorcio World Wide Web, crea e implementa estándares para una Internet mayormente libre de contraseñas. Según el blog de Alliance, estos estándares ya son compatibles con miles de millones de dispositivos y todos los navegadores web modernos.

Específicamente, se planea implementar soporte para los criterios de inicio de sesión sin contraseña de FIDO en todas las plataformas. Menciona Google Chrome, ChromeOS y Android. Se espera que se implemente nuevamente este año. En lugar de la contraseña, el permiso FIDO, llamado clave de paso, se puede guardar en el teléfono inteligente del usuario. Este código confirma el registro en un servicio en línea. La autorización de pago con tarjeta de crédito funciona de manera similar con 3D-Secure 2.0.

En un esfuerzo conjunto para hacer que la Web sea más segura y utilizable para todos, Apple, Google y Microsoft anunciaron hoy planes para expandir el soporte para el estándar de inicio de sesión sin contraseña de suscriptor creado por FIDO y World Wide Web Consortium. La nueva característica permitirá que los sitios web y las aplicaciones ofrezcan a los consumidores inicios de sesión sin contraseña consistentes, seguros y fáciles en todos los dispositivos y plataformas.

La autenticación de solo contraseña es uno de los mayores problemas de seguridad en la web, y administrar muchas contraseñas es engorroso para los consumidores, lo que a menudo resulta en la reutilización de las mismas palabras en todos los servicios. Esta práctica puede conducir a adquisiciones de cuentas costosas, filtraciones de datos e incluso identidades robadas. Si bien los administradores de contraseñas y las formas más antiguas de autenticación de dos factores ofrecen mejoras incrementales, ha habido una colaboración en toda la industria para crear una tecnología de inicio de sesión más conveniente y segura.

Las capacidades integrales basadas en estándares darán a los sitios web y aplicaciones la capacidad de ofrecer una opción sin contraseña de extremo a extremo. Los usuarios iniciarán sesión con la misma acción que realizan varias veces al día para desbloquear su dispositivo, como una simple verificación de huella digital o facial, o un PIN del dispositivo. Este nuevo enfoque protege contra el phishing y el inicio de sesión será radicalmente más seguro en comparación con las antiguas contraseñas multifactor y tecnologías como los códigos de acceso de un solo uso enviados por SMS.

Cientos de empresas de tecnología y proveedores de servicios de todo el mundo han trabajado a través de FIDO Alliance y W3C para crear estándares de inicio de sesión sin contraseña que ya son compatibles con miles de millones de dispositivos y todos los navegadores web modernos. Apple, Google y Microsoft lideraron el desarrollo de este conjunto ampliado de funciones y ahora están incorporando soporte en sus respectivas plataformas.

Las plataformas de estas empresas ya son compatibles con los estándares de la Alianza FIDO para permitir el inicio de sesión sin contraseña en miles de millones de dispositivos de gama alta, pero las aplicaciones anteriores requerían que los usuarios iniciaran sesión en cada sitio web o aplicación con cada dispositivo antes de poder usar la función sin contraseña. El anuncio de FIDO amplía estas aplicaciones de plataforma para proporcionar a los usuarios dos nuevas funciones para inicios de sesión sin contraseña más transparentes y seguros:

• Permita que los usuarios accedan automáticamente a sus credenciales de inicio de sesión de FIDO (algunos las llaman clave de acceso) en muchos de sus dispositivos, incluso en los nuevos, sin tener que volver a registrar cada cuenta.
• Permita que los usuarios usen la autenticación FIDO en sus dispositivos móviles para iniciar sesión en una aplicación o sitio web en un dispositivo cercano, independientemente de la plataforma del sistema operativo o el navegador que estén ejecutando.
• Además de facilitar una mejor experiencia de usuario, la amplia compatibilidad con este enfoque basado en estándares permitirá a los proveedores de servicios proporcionar credenciales FIDO sin necesidad de contraseñas como método alternativo para iniciar sesión o recuperar cuentas.

Estas nuevas funciones deberían estar disponibles en las plataformas de Apple, Google y Microsoft el próximo año.

Es posible que su teléfono reemplace pronto muchas de sus contraseñas

Los expertos dijeron que los cambios deberían ayudar a derrotar muchos tipos de ataques de phishing y aliviar la carga general de contraseñas para los usuarios de Internet, pero advirtieron que un verdadero futuro sin contraseña podría llevar años para la mayoría de los sitios web.

Sin embargo, algunos sienten que esto puede atrapar a los usuarios en un ecosistema particular. Tomando el caso de la autenticación Face ID en el iPhone, un experto se pregunta: si solo se pudiera acceder a todo, desde su cuenta bancaria hasta su cuenta de Twitter, mediante el reconocimiento facial, su iPhone se volvería más importante y esto podría disuadirlo de mantenerse alejado de esto. ecosistema. Google, Amazon y la mayoría de las demás empresas tecnológicas importantes apoyan esta iniciativa, pero este posible efecto secundario no deseado siempre debe tenerse en cuenta. Los usuarios ya están luchando por cambiar de iOS a Android y viceversa, y esta nueva iniciativa podría dejar las cosas mucho más claras.

Algunos proponen una solución basada en blockchain en la que su identificación facial se almacena de forma segura en forma de NFT, ya que esto eliminará el control de las manos de las principales empresas tecnológicas. Sin embargo, queda por ver si alguna de estas soluciones es sostenible, de lo contrario, podemos seguir confiando en las contraseñas para bloquear nuestras cuentas.

Según el nuevo sistema, su teléfono almacenará un identificador FIDO llamado clave de acceso que se utiliza para abrir su cuenta en línea, dijo Sampath Srinivas, director de autenticación de seguridad en Google y presidente de FIDO Alliance.

La contraseña hace que el inicio de sesión sea más seguro, ya que se basa en el cifrado de clave pública y solo se muestra en su cuenta en línea cuando desbloquea su teléfono”, escribió Srinivas. Ya no necesita su teléfono y puede iniciar sesión simplemente desbloqueando su computadora.

Comme l’alliance FIDO le rappelle, Apple, Google et Microsoft prennent dj en charge ces normes sans mot de passe (par exemple, «Se connecter avec Google»), mais les utilisateurs doivent se connecter sur chaque site Web pour utiliser la fonctionnalit sans contraseña. Con este nuevo sistema, los usuarios podrán acceder automáticamente a sus contraseñas en muchos de sus dispositivos, sin tener que volver a registrar cada cuenta, y usar su dispositivo móvil para iniciar sesión en una aplicación o sitio web en un dispositivo cercano.

Johannes Ulrich, decano de investigación del SANS Institute of Technology, cree que esta declaración es, con mucho, el esfuerzo más prometedor para resolver el desafío de la autenticación: la parte más importante de este estándar es que no requerirá que «los usuarios no compren un producto nuevo, pero en su lugar podrán usar dispositivos que ya poseen y saben cómo usarlos como validadores”.

Steve Bellovin, profesor de informática en la Universidad de Columbia y uno de los primeros investigadores y pioneros de Internet, cree que esta iniciativa de eliminación de contraseñas es un estándar avanzado en la autenticación, pero dijo que muchos sitios web tardarán mucho en ponerse al día.

Un escenario potencialmente desafiante en el nuevo sistema de autenticación sin contraseña es lo que sucede cuando alguien pierde su dispositivo móvil o su teléfono funciona mal y no puede recordar su contraseña de iCloud, dicen Belovin y otros.

«Me preocupan las personas que no pueden comprar un dispositivo adicional o que no pueden reemplazar fácilmente un dispositivo roto o robado», dijo Belovin. Me preocupa recuperar la contraseña olvidada de las cuentas en la nube.

Google dice que incluso si pierde su teléfono, sus claves de acceso se sincronizarán de forma segura con su nuevo teléfono desde su copia de seguridad en la nube, lo que le permitirá continuar donde lo dejó su dispositivo anterior.

Apple y Microsoft también tienen soluciones de respaldo en la nube que los clientes que usan estas plataformas pueden usar para recuperarse de un dispositivo móvil perdido. Pero Belovin dijo que mucho depende de la seguridad de administrar estos sistemas en la nube: ¿es fácil agregar la clave pública de otro dispositivo a una cuenta, sin permiso? preguntó Belovin. Creo que sus protocolos lo hacen imposible, pero otros no están de acuerdo.

fuente : Alianza de videos

¿Y usted?

¿Alguna vez ha utilizado un autenticador diferente a su contraseña en su teléfono (por ejemplo, su huella digital) al iniciar sesión en una aplicación compatible (WhatsApp, algunas aplicaciones bancarias y otros tipos de aplicaciones)?
¿Alguna vez ha tenido que usar su teléfono para conectarse a un servicio (por ejemplo, los servicios de Google cuando quiere usar su cuenta de YouTube en la TV o su cuenta de Gmail en su computadora)?
¿Qué piensas en términos absolutos? ¿Preferiría utilizar otra herramienta de autenticación que se ofrezca de forma predeterminada o debería ser activada por el usuario si así lo desea?
¿Un sistema sin contraseña daría demasiado poder a las grandes empresas tecnológicas?