Apple, Google y Microsoft quieren matar la contraseña con el estándar «passkey»
El primer jueves de mayo es aparentemente el “Día Mundial de la Contraseña” y para celebrarlo, Apple , Google y Microsoft están haciendo un “ esfuerzo conjunto ” para acabar con la contraseña. Los principales proveedores de sistemas operativos quieren «ampliar el soporte para el estándar común de inicio de sesión sin contraseña creado por FIDO Alliance y World Wide Web Consortium».
El estándar se conoce como «credenciales FIDO multidispositivo» o simplemente «clave de acceso». En lugar de una larga cadena de caracteres, este nuevo esquema hará que la aplicación o el sitio web en el que inicie sesión envíe una solicitud de autenticación a su teléfono. A partir de ahí, deberá desbloquear su teléfono, autenticarse con algún tipo de pin o biométrico, y luego estará en camino. Suena como un sistema familiar para cualquier persona con configuración de autenticación de dos factores basada en teléfono, pero es un reemplazo de contraseña, no un factor adicional.
Se han proporcionado gráficos para la interacción del usuario:
Algunos sistemas push 2FA funcionan a través de Internet, pero este nuevo esquema FIDO funciona a través de Bluetooth. Como explica el libro blanco, «Bluetooth requiere proximidad física, lo que significa que ahora tenemos una forma resistente al phishing de usar el teléfono del usuario durante la autenticación». Bluetooth tiene una reputación terrible por su compatibilidad y no estoy seguro de que la «seguridad» haya sido alguna vez una preocupación real, pero la alianza FIDO señala que Bluetooth es solo para «comprobación de proximidad física» y que el proceso de inicio de sesión real «no se ve afectado por las propiedades de seguridad». Bluetooth». Por supuesto, esto significa que ambos dispositivos necesitarán Bluetooth a bordo, lo cual es un hecho para la mayoría de los teléfonos inteligentes y las computadoras portátiles, pero puede ser una tarea abrumadora para las PC de escritorio más antiguas.
Así como un administrador de contraseñas puede consolidar sus inicios de sesión bajo una sola contraseña, sus contraseñas pueden ser copiadas por algún titular de plataforma grande como Apple o Google. Esto le permitirá transferir fácilmente sus credenciales a un nuevo dispositivo, evitar que se pierdan y facilitar la sincronización de contraseñas entre dispositivos. Si pierde su dispositivo, aún puede recuperar sus cuentas iniciando sesión (bueno, ¿con una contraseña?) en su cuenta de propietario de plataforma más grande. También puede ser una buena idea configurar más de un dispositivo como autenticador.
Las empresas llevan años intentando eliminar las contraseñas, pero no ha sido fácil de conseguir. Google tiene una línea de tiempo completa en su blog que data de 2008. Las contraseñas funcionan bien si son largas, aleatorias, secretas y únicas, pero el factor humano en las contraseñas siempre es un problema. Somos malos recordando largas cadenas aleatorias de caracteres. Es tentador escribir las contraseñas o reutilizarlas, y los esquemas de phishing intentan engañarlo para que le dé su contraseña a un tercero. Cuando ocurre una brecha de seguridad, los pares de nombre de usuario y contraseña se intercambian fácilmente y existen enormes bases de datos de credenciales comprometidas.
Una publicación de blog de FIDO afirma: «Se espera que estas nuevas capacidades estén disponibles en las plataformas de Apple, Google y Microsoft durante el próximo año». Apple, que parece haber iniciado toda la tendencia de «llave de acceso», ya tiene el sistema funcionando en iOS 15 y macOS Monterey, pero aún no es compatible con otras plataformas. La compatibilidad con contraseñas de Google ya se ha visto en Play Services en Android, por lo que debería ser compatible rápidamente con dispositivos Android incluso más antiguos una vez que esté lista.
Imagen de listado de FIDO Alliance
Deja una respuesta