Google habilita el uso de passkeys en todas sus plataformas principales
El 4 de mayo se celebró el Día Mundial de las Contraseñas, pero el día anterior marcó un punto de inflexión que podría obligar a cambiar el nombre del evento del próximo año, tal vez llamándolo "Día Mundial sin Contraseñas" o "Día Memorial de las Contraseñas". Google, que insinuó su transición a las passkeys en la conferencia RSA 2023 —donde lanzó una actualización de Google Authenticator—, cumplió el 3 de mayo con el anuncio de que habilitará las passkeys en todas sus principales plataformas.
- El cambio hacia las passkeys en todos los dispositivos
- ¡Aquí FIDO2!
- Los administradores de contraseñas y los proveedores IAM están preparados
- Tu dispositivo es tu huella dactilar
- De los administradores de contraseñas a los administradores de passkeys
- La imperativa de las passkeys: los humanos son el nuevo perímetro
El cambio hacia las passkeys en todos los dispositivos
Aquí hay algunas estadísticas reveladoras de Tech Jury: el 52% de los estadounidenses utilizan la misma contraseña para varias cuentas y el 13% utiliza una única contraseña para todo.
El anuncio de Google llega un año después de que la compañía, junto con Microsoft, Apple y otros, dijeran que comenzarían la transición a las passkeys con un mayor soporte para un estándar común de inicio de sesión sin contraseña creado por la Alianza FIDO (Fast Identity Online) y el Consorcio World Wide Web.
VER: Apple destaca Passkey (Newsmatic)
"Desde entonces, Apple y Google han preparado sus sistemas operativos para que los proveedores de servicios habiliten los inicios de sesión con passkeys que se sincronizan en todos los dispositivos: Windows 10 y 11 han admitido passkeys vinculados a dispositivos en Windows Hello durante mucho tiempo, y las passkeys de dispositivos iOS o Android también se pueden usar para iniciar sesión en sitios web en Chrome o Edge en Windows", escribió Andrew Shikiar, director ejecutivo de la Alianza FIDO, y director de marketing.
¡Aquí FIDO2!
La Alianza FIDO colaboró con la industria en el desarrollo del proyecto passkey FIDO2, una plataforma de autenticación multifactorial. Utiliza autenticadores, originalmente llaves similares a unidades flash que se conectan a un puerto USB, pero también pueden ser, por ejemplo, un teléfono inteligente.
Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivelHay tres especificaciones de la industria para la autenticación con passkey basada en criptografía de clave asimétrica o claves públicas, que constituyen el proyecto FIDO2:
- Un protocolo de criptografía de clave pública resistente al phishing que incluye estándares FIDO para la autenticación de dos factores.
- El Universal Authentication Framework de FIDO es un estándar abierto que admite la autenticación sin contraseña con dispositivos de usuario final.
- El Protocolo Cliente a Autenticador complementa la especificación de Autenticación Web (WebAuthn) del W3C.
Las passkeys ofrecen una forma de liberar las claves privadas del dispositivo que las contiene. En lugar de una contraseña en un servidor y el secreto en la cabeza del usuario, la criptografía de clave pública almacena una clave única en el dispositivo del usuario. Una clave pública, como una huella dactilar, cifra los datos. La clave privada nunca abandona el dispositivo, explicó Shikiar.
"Antes de las passkeys, supongamos que me registré en 'ecommerceProvider.com' en mi iPhone y luego voy al mismo sitio en mi iPad. Tendría que registrarme en mi iPad también, y en mi PC y en todo lo demás", dijo Shikiar.
"Tendría que recordar esa contraseña y mantenerla a la vista. Es incómodo y va en contra de la dirección general que están tomando las personas. Las passkeys permiten la sincronización de la clave privada, que luego está en su dispositivo pero también se sincroniza en la nube. Esto significa que si visito ese sitio web desde mi teléfono o mi iPad, automáticamente me reconoce por mi ID de usuario", agregó.
Los administradores de contraseñas y los proveedores IAM están preparados
Las empresas de gestión de identidad y acceso como Duo de Cisco, así como Okta y 1Password, se están moviendo rápidamente hacia un futuro basado en biometría y passkeys. FIDO señaló que PayPal, Yahoo! Japan, NTT DOCOMO, CVS Health, Shopify, Mercari, Kayak y SK Telecom son algunos de los muchos otros que están haciendo lo mismo.
A partir de este verano, 1Password, que lanzó el inicio de sesión universal a principios de este año, permitirá a los clientes almacenar, gestionar y utilizar passkeys para acceder a sus cuentas en línea a través de 1Password en el navegador. Uno de los objetivos de la compañía es liberar las passkeys de dispositivos específicos (en caso de que intentes iniciar sesión en una cuenta desde un nuevo dispositivo) con un autenticador móvil de 2FA para passkeys.
Cómo proteger tu computadora de los virus: métodos y consejosEn la conferencia RSA, el CEO de 1Password, Jeff Shiner, dijo a Newsmatic que el cambio de la sociedad a passkeys no ocurrirá de la noche a la mañana debido a que las contraseñas, a pesar de todas sus limitaciones, son familiares.
"Convencer a las personas de que pasen a algo nuevo requiere generar confianza en la seguridad de las nuevas tecnologías", dijo.
"Por ejemplo, con los datos biométricos, es importante que las personas entiendan que los datos de su huella dactilar, por ejemplo, permanecen en el dispositivo. No se envían a 1Password. Tenemos que educarlos de que los datos biométricos son más seguros", agregó.
"Tomará tiempo hacer la transición completa lejos de las contraseñas, dependiendo de cada empresa y sus clientes. Por cada encuesta que ves sobre contraseñas, tiende a haber alrededor del 20% de personas tercas que las prefieren. Y debido a eso, llevará tiempo alejarse completamente de ellas", concordó Shikiar.
La función Watchtower de 1Password permite a los usuarios saber cuándo se han comprometido las contraseñas almacenadas en el cofre de 1Password, y les avisa cuando los sitios web comiencen a admitir passkeys.
La compañía también lanzó Passkey.directory, que realiza un seguimiento de los sitios web que tienen passkeys y permite a los usuarios votar por los sitios que deben tener acceso a passkeys.
¡Defiéndete! Protege tu seguridad en línea contra amenazas críticasVER: Más información aquí sobre el futuro sin contraseñas de 1Password
Desde el punto de vista de Shiner, la adopción de passkeys por parte del comercio electrónico es inminente debido a los beneficios en seguridad y marketing.
“Home Depot, por ejemplo, tiene millones de clientes y debe almacenar y proteger todas esas contraseñas, lo que representa un gran riesgo para el CISO”, dijo.
“Desde el lado del CMO, también es una preocupación importante porque ¿cuántas personas abandonan la compra mientras están en proceso de pago debido a problemas con su contraseña y se convierte en un punto de fricción? Las passkeys son más seguras, brindan una experiencia mucho mejor y son mejores desde un punto de vista de seguridad, costo y riesgo, y estoy protegido por la propiedad del dispositivo, por lo que estoy reduciendo la superficie de ataque”, agregó.
Tu dispositivo es tu huella dactilar
Fleming Shi, director de tecnología de Barracuda Networks, una empresa de tecnología de seguridad, redes y almacenamiento, dijo que la autenticación sin contraseña es ideal porque tu dispositivo se convierte en una extensión de tu identidad.
“Es un TPM: módulo de plataforma confiable. Lo bueno es que tu dispositivo es tu punto de confianza, en lugar de depender de un token o MFA, el dispositivo en sí es la clave, una extensión de lo que eres. Y generalmente, esa confianza entre tú y el dispositivo está muy controlada”, dijo.
Protege tus contraseñas con PAM: Tu aliado para la seguridadBarracuda trabaja con TruU, una empresa de gestión de identidad laboral sin contraseña. TruU utiliza datos adicionales y telemetría para determinar la identidad del usuario basándose en puntos de datos como la hora de inicio de sesión y la ubicación.
“Se convierte en una forma más refinada de identificarte”, dijo Barracuda.
De los administradores de contraseñas a los administradores de passkeys
Shikiar dijo que los administradores de contraseñas, o administradores de claves, se convertirán en una parte fundamental del ecosistema de gestión de identidades.
“Muchos consumidores utilizan administradores de contraseñas porque viven en un mundo multiplataforma. Los administradores de contraseñas te brindan una implementación independiente y multiplataforma. Si utilizas administradores de contraseñas hoy para tus contraseñas, harás lo mismo con tus passkeys. Estamos trabajando en formas de formalizar ese proceso”, dijo.
La imperativa de las passkeys: los humanos son el nuevo perímetro
En la Conferencia RSA, Cisco anunció que su aplicación de autenticación de identidad Duo ampliaría la tecnología de puntos finales confiables a todos los usuarios con un dispositivo registrado o administrado, lo que incluye el inicio de sesión sin contraseña.
Iva Blazina Vukelja, vicepresidenta de producto de confianza cero en Cisco, dijo que el problema de las passkeys no es solo que se compartan entre dispositivos, sino que se compartan entre personas. FIDO2 aborda esto con un protocolo de autenticación de roaming o cliente a autenticador, encarnado por dispositivos como YubiKey o a través de capacidades de teléfonos inteligentes.
Cómo configurar un servidor VPN para hacer conexiones a través de firewalls“Te permite tener tu teléfono como un autenticador de roaming de manera similar a una passkey y te permite compartir entre dispositivos, sin compartir entre diferentes personas que no deben tener acceso a esos dispositivos”, explicó.
Señaló que, después de la pandemia de COVID, con la explosión del trabajo remoto y híbrido, los imperativos de seguridad en torno a la necesidad de pasar a passkeys tienen que ver con los seres humanos como nuevo foco de amenazas.
“En los últimos 12 a 18 meses, hemos visto una cantidad sin precedentes de ataques a protocolos de autenticación multifactor. ¿Qué lo causó? El acceso remoto está en primer lugar”, dijo, y agregó que una combinación de factores hace que las personas sean la quinta rueda perfecta en el carro de la seguridad.
“El 40% de las aplicaciones corporativas son de software como servicio y el 80% de nuestros clientes corporativos permiten dispositivos no gestionados en sus redes. La confluencia de esto establece la identidad personal, el usuario, la persona, como un nuevo perímetro. Un atacante a 4000 millas de distancia puede engañar a tu usuario final para que revele su nombre de usuario, contraseña y token MFA y acceder a una aplicación de software como servicio, y tú en el SOC no lo verás porque el atacante ha hecho todo esto sin cruzar tu red, y tú no lo viste porque tu punto de enlace tampoco fue vulnerado. Fue la persona la que fue vulnerada. Y ese perímetro está mal gestionado y es inobservado”.
¡Alerta! Un nuevo gusano de Linux está propagándoseEn Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Google habilita el uso de passkeys en todas sus plataformas principales , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados