Passkeys: la evolución de las contraseñas hacia una experiencia de inicio de sesión sin fricciones

Cuando la Alianza FIDO (Fast Identity Online) realiza su evento virtual Authenticate Virtual Summit sobre passkeys esta semana, el enfoque estará en cómo las empresas están dejando atrás las contraseñas y adoptando los nuevos estándares de passkey y las innovaciones técnicas, que constituyen el último avance en criptografía de clave pública.

Passkeys: la evolución de las contraseñas hacia una experiencia de inicio de sesión sin fricciones - Seguridad | Imagen 1 Newsmatic

Y bien que deberían hacerlo. Según un estudio de NordPass, las personas manejan en promedio alrededor de 100 contraseñas y tienden a utilizar las mismas contraseñas en varias cuentas, lo cual es una invitación abierta a ataques de fuerza bruta.

Los passkeys cambian el juego al reducir las superficies de amenazas de las organizaciones y facilitar infinitamente las tareas de inicio de sesión en dispositivos gracias a la combinación de la autenticación biométrica y la criptografía asimétrica. FIDO, que es similar al emparejamiento de dispositivos Bluetooth, lo hace posible mediante un conjunto de estándares abiertos ampliamente adoptados.

La Alianza FIDO ha estado trabajando en la reducción de la dependencia de las contraseñas durante más de una década.

Andrew Shikiar, director ejecutivo de la Alianza FIDO, explicó que una de las principales ambiciones detrás de esta iniciativa era abordar el problema fundamental de las violaciones de datos: la mayoría de las violaciones de datos involucran contraseñas robadas. De hecho, según el Informe Verizon 2023 sobre Investigaciones de Violaciones de Datos, el 74% de todas las violaciones incluyen el elemento humano y credenciales robadas.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Passkeys: la evolución de las contraseñas hacia una experiencia de inicio de sesión sin fricciones - Seguridad | Imagen 2 Newsmatic

Cuando se aborda el tema de las contraseñas, se abordan las violaciones de datos, según Shikiar. Newsmatic habló con él sobre el cambio de contraseñas a passkeys y cómo el nuevo estándar FIDO2, el tercero desarrollado por la Alianza FIDO, permite una experiencia de usuario segura y sin fricciones en computadoras de escritorio y dispositivos móviles, diseñada para eliminar los inicios de sesión manuales.

TR: El cambio a passkeys ha sido una evolución, ¿verdad? Ha sido un proceso.

Shikiar: Hemos tenido varias especificaciones técnicas que se han publicado a lo largo de los años, la primera fue el caso de uso de reautenticación biométrica: es decir, usando aplicaciones nativas te registras una vez y luego usas únicamente la autenticación biométrica mediante ID facial o huella dactilar. Otras incluyen protocolos para autenticación de segundo factor, como el uso de una llave de seguridad más una contraseña, por ejemplo.

TR: ¿Cuál es la "Guía para tontos" sobre lo que hace FIDO2?

Shikiar: FIDO2 permite capacidades sin contraseña incorporadas directamente en los sistemas operativos y las plataformas. Representa una evolución, un nuevo paso en la escalera, llevando esas capacidades a las propias plataformas, permitiendo inicios de sesión verdaderamente sin contraseña. Escribo mi nombre de usuario y toco mi llave de seguridad, y ya estoy registrado. También implica protocolos: uno enfocado en el dispositivo, que fue desarrollado por la Alianza FIDO, y otro enfocado en el servidor web o sitio web, que es WebAuthn; y se oirá mucho sobre eso, lo desarrollamos conjuntamente con el Grupo de Trabajo de Autenticación Web del W3C (World Wide Web Consortium).

Cómo proteger tu computadora de los virus: métodos y consejos

TR: ¿Qué es WebAuthn, en la práctica?

Shikiar: Es un componente central de FIDO2, básicamente es la API que cualquier desarrollador web puede utilizar para permitir inicio de sesión sin contraseña mediante el desbloqueo del dispositivo. Así que cualquier cosa que uses para desbloquear tu dispositivo, también la puedes usar para iniciar sesión en sitios web, a través de WebAuthn. Para hacer eso, debes estar en posesión del dispositivo, y el proceso es frecuentemente biométrico, pero también puede ser un código PIN. Y por supuesto, FIDO2 utiliza criptografía asimétrica de clave pública, una vez que me verifico en mi dispositivo. La clave pública, que es el secreto del servidor, no tiene valor. La clave privada se encuentra de manera segura en el dispositivo y la clave privada y pública "hablan" entre sí, y el proceso por el cual la clave privada se comunica con la clave pública evita el phishing y los ataques remotos.

TR: Explica la evolución más reciente, que permite a una persona aplicar la clave privada en su dispositivo en todos sus dispositivos verificados, y ¿por qué se hizo esto?

Shikiar: Al analizar el estándar anterior de FIDO para claves privadas en dispositivos, que es una postura de alta seguridad, encontramos que debido a que esta clave privada debe permanecer en el dispositivo, en realidad estaba frenando la adopción por parte de los usuarios.

Si tengo la clave privada de un sitio que utilizo alojada en mi MacBook, tendré que volver a registrarme en todos los demás dispositivos porque, nuevamente, la clave privada solo está en mi MacBook. Esto no brinda una buena experiencia para el usuario y obliga al sitio web a guardar una contraseña diferente para cada dispositivo. Por lo tanto, la implementación de FIDO2 te permite sincronizar tu clave privada en todos los dispositivos.

TR: ¿Esto elimina por completo la necesidad de claves privadas vinculadas al dispositivo?

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Shikiar: Todavía puedes tener passkeys vinculadas al dispositivo, como una YubiKey, que obviamente es importante para ciertos casos de uso empresariales que requieren mayor garantía y seguridad. Sin embargo, para la mayoría de los casos de uso, donde el enfoque está en la facilidad de uso y el acceso sencillo, al mismo tiempo que se proporciona un mecanismo a prueba de phishing, los nuevos protocolos son efectivos y seguros.

TR: Mientras tanto, las empresas de administración de contraseñas e identidades se están adaptando y fomentando la adopción de passkeys por parte de los usuarios. ¿Qué roles desempeñan los servicios de administración de identidad y acceso y los administradores de contraseñas?

Shikiar: Ahora estamos viendo que empresas como 1Password, Okta y Dashlane se están moviendo hacia la gestión de passkeys.

TR: Pero si la passkey está incorporada en el sistema operativo para permitir el acceso en varios dispositivos, ¿por qué necesitaría un administrador de contraseñas de terceros?

Shikiar: Porque va más allá de simplemente guardar passkeys. Personalmente, tengo un administrador de contraseñas porque uso un iPhone y una PC, tengo iCloud y Chrome; así que tengo un administrador de contraseñas en todos los dispositivos como una única fuente de verdad para todas mis cuentas. Me permiten sincronizar contraseñas y passkeys de manera más fácil en diferentes sistemas operativos que si dependiera únicamente del propio sistema operativo. Va más allá de la gestión de contraseñas. Es más como la gestión de credenciales digitales; estas empresas agregan valor a la forma en que las personas gestionan de manera segura su vida en línea.

TR: El objetivo final, imagino, es que el inicio de sesión sea invisible y sin fricciones.

Protege tus contraseñas con PAM: Tu aliado para la seguridad

Shikiar: Antes de lanzar nuestras pautas para usuarios recientemente y realizar muchas pruebas... descubrimos que el mensaje que resonó más con los usuarios para que se interesaran fue la conveniencia: tener una experiencia de inicio de sesión más fácil. Las personas están cansadas de restablecer contraseñas. ¿Dime que no tengo que recordar una contraseña de nuevo? Sí, ¡me apunto para eso! Así que creo que en general el factor de conveniencia es algo que será bien recibido por los consumidores.

TR: Cuando Google anunció la adopción de passkeys, ese fue un momento crucial para las passkeys.

Shikiar: Sí, cuando habilitaron las passkeys para las cuentas de Google y para Workplace, fueron momentos masivos para la adopción y autenticación de FIDO. Hay primeros adoptantes que ya están implementándolo —más sitios de los que podemos rastrear ya admiten passkeys— pero que Google lo esté haciendo es enorme. Obviamente, son una parte interesada de la Alianza FIDO pero el hecho de que la tecnología sea lo suficientemente madura para que Google la implemente a gran escala y la active para miles de millones de usuarios, no puedo pensar en una declaración más poderosa de que ellos creen en esta tecnología, la presentan a los consumidores y realmente la necesitan.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Passkeys: la evolución de las contraseñas hacia una experiencia de inicio de sesión sin fricciones , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.