PassKeys, el asesino de contraseñas de Microsoft, Apple y Google, finalmente está aquí

Durante años, Big Tech ha insistido en que la muerte de la contraseña está a la vuelta de la esquina. A lo largo de los años, esas promesas se han roto promesas. Las alternativas de contraseña (PUSH, OAUTH de inicio de sesión único y módulos de plataforma confiable) han abordado muchos problemas de usabilidad y seguridad. Pero ahora, finalmente estamos del lado de un reemplazo de contraseña que realmente va a funcionar.

Una nueva alternativa se llama claves de paso. En general, las claves de acceso se refieren a varios esquemas para almacenar información de autenticación en hardware, un concepto que existe desde hace más de una década. Lo que es diferente ahora es que Microsoft, Apple, Google y un consorcio de otras empresas se han unido en torno a una Estándar de clave de paso Pastoreado por la Alianza FIDO. Las claves de acceso no solo son más fáciles de usar para la mayoría de las personas que las contraseñas; También son completamente resistentes al phishing de credenciales, el relleno de credenciales y ataques similares de apropiación de cuentas.

lunes, PayPal Dijo Los usuarios de EE. UU. pronto tendrán la opción de iniciar sesión con claves de acceso basadas en FIDO, uniéndose a Kayak, eBay, Best Buy, CardPointers y WordPress.com como servicios en línea que ofrecen una alternativa de contraseña. En los últimos meses, Microsoft, Apple y Google han actualizado sus sistemas operativos y aplicaciones para habilitar Passkey. El soporte de Passkey sigue siendo irregular. Por ejemplo, las claves de acceso almacenadas en iOS o macOS funcionarán en Windows, pero lo contrario aún no está disponible. En los próximos meses, todo debería arreglarse.

Exactamente que Existen ¿Llaves de paso?

PassKeys funciona casi de manera idéntica a los autenticadores FIDO que permiten que nuestros teléfonos, computadoras portátiles, computadoras y otros dispositivos usen claves de seguridad Ubico o Phitian para la autenticación de múltiples factores. Al igual que los autenticadores FIDO almacenados en estos dispositivos MFA, las claves de acceso son invisibles y se pueden integrar con Face ID, Windows Hello u otros lectores biométricos proporcionados por los fabricantes de dispositivos. Desmontar físicamente el dispositivo o someterlo a un jailbreak o un ataque de enraizamiento no tiene forma de recuperar los secretos criptográficos almacenados en autenticaciones inferiores.

Incluso si un adversario pudiera capturar el secreto criptográfico, aún necesitaría proporcionar una huella digital, un escaneo facial o, en ausencia de capacidades biométricas, un PIN asociado con el token. Además, los tokens de hardware utilizan el flujo de autenticación entre dispositivos de FIDO, o CTAP, que se basa en Bluetooth Low Energy para verificar que el dispositivo de autenticación está físicamente cerca del dispositivo que intenta iniciar sesión.

Hasta ahora, las claves de seguridad basadas en FIDO se han utilizado principalmente para proporcionar MFA, abreviatura de autenticación de múltiples factores, que requiere que alguien envíe un factor de autenticación único junto con una contraseña correcta. Los factores adicionales que proporciona FIDO generalmente incluyen al usuario (un teléfono inteligente o una computadora que tiene un token de hardware) y cualquier cosa del usuario: una huella digital, un escaneo facial u otra forma de biometría que no sale del dispositivo.

Hasta ahora, los ataques contra la MFA compatible con FIDO han sido pocos. La sofisticada campaña de phishing de credenciales que recientemente vulneró a Twilio y otras importantes empresas de seguridad, por ejemplo, fracasó contra CloudFlare por una razón: a diferencia de otros objetivos, CloudFlare Se utilizan tokens de hardware compatibles con FIDO Es inmune a la técnica de phishing utilizada por los atacantes. Todas las víctimas de la infracción se basaron en formas débiles de AMF.

Si bien los tokens de hardware pueden proporcionar uno o más factores de autenticación además de una contraseña, las claves de acceso no dependen de una contraseña. En su lugar, Passkeys combina múltiples factores de autenticación, generalmente un teléfono o computadora portátil y el escaneo facial o la huella digital del usuario, en un solo paquete. Las claves de acceso son administradas por el sistema operativo del dispositivo. A elección del Usuario, el Usuario también puede sincronizarlos con otros dispositivos a través del cifrado de extremo a extremo utilizando un servicio en la nube proporcionado por Apple, Microsoft, Google u otro proveedor.

Las claves de paso son «rastreables», lo que significa que un dispositivo inscrito puede enviarlas automáticamente a través de un túnel encriptado a otro dispositivo inscrito que intenta iniciar sesión en una de las cuentas o aplicaciones del sitio del usuario. Al iniciar sesión, el usuario se autentica con la misma contraseña o PIN biométrico o en el dispositivo para desbloquear su dispositivo. Este mecanismo reemplaza por completo el nombre de usuario y las contraseñas tradicionales y brinda una experiencia de usuario mucho más simple.

«Los consumidores ya no necesitan registrar cada dispositivo para cada servicio, como ha sido el caso durante mucho tiempo para FIDO (y cualquier criptografía de clave pública)», dijo Andrew Shikier, director ejecutivo y director de marketing de FIDO. «Al habilitar una clave privada que se sincroniza de forma segura en la nube del sistema operativo, el usuario solo necesita registrarse para un servicio una vez y luego debe registrarse previamente para ese servicio en todos sus otros dispositivos. Esto brinda una mejor usabilidad para el usuario final y —lo más importante— retira las contraseñas como un medio de recuperación y reinscripción de la cuenta. Permite que el proveedor de servicios comience a hacer

Editor de reseñas de Ars, Ron Amedeo Resumió las cosas muy bien La semana pasada escribió: «Los Paskis simplemente hacen negocios WebAuthn Claves criptográficas directamente con la web. No es necesario que un ser humano le diga a un administrador de contraseñas que genere, almacene y recupere un secreto: todo se hace automáticamente, se implementa con mejores secretos y unicidad que el antiguo cuadro de texto admitido».