En qué se diferenciarán las claves de acceso de las contraseñas

Heaven32 Comments
En qué se diferenciarán las claves de acceso de las contraseñas

Las contraseñas apestan como un sistema de seguridad. Los humanos son absolutamente terribles para crear contraseñas largas, únicas y seguras. La mayoría de nosotros reutilizamos las mismas cuerdas cortas de información significativa una y otra vez—e incluso las contraseñas seguras no son muy buenas. Los ataques de ingeniería social como el phishing pueden engañar a las personas para que revelen incluso las contraseñas más largas, o pueden filtrarse si se piratea una base de datos completa sin cifrar. Este es un gran problema para las empresas de tecnología que están comprometidas con mantener sus datos seguros, sin mencionar a las personas que sufren una violación de la privacidad. Entonces, Apple, Microsoft, Google y las otras compañías en el Alianza FIDO se han propuesto desarrollar una mejor solución llamada “claves de paso”.

En su Conferencia Mundial de Desarrolladores (WWDC) esta semana, Apple anunció la implementación de los estándares de clave de acceso recientemente acordados. Se implementará con iOS 16 y macOS Ventura, por lo que es la primera mirada del mundo real que hemos tenido en el futuro sin contraseña prometido desde hace mucho tiempo (la Alianza FIDO, que es un grupo industrial dedicado a “resolver el problema mundial de las contraseñas ”, ha estado trabajando en esto durante una década).

En el discurso de apertura de la WWDC, el vicepresidente de tecnologías de Internet de Apple, Darin Adler, calificó a las claves de acceso como una “credencial de próxima generación que es más segura, más fácil de usar y tiene como objetivo reemplazar las contraseñas para siempre”. Ese es en realidad un resumen bastante bueno, y ni siquiera lo exagera.

Entonces, ¿cómo funcionarán? Las claves de paso son construido en WebAuthentication

o WebAuthn, estándar. Utiliza un principio criptográfico llamado criptografía de clave pública para proteger sus cuentas. Es la misma idea que se usa para el cifrado de extremo a extremo en iMessage, Signal y otras aplicaciones de comunicaciones seguras. En lugar de crear una contraseña para una cuenta, su dispositivo creará un par único de claves relacionadas matemáticamente: una clave pública y una clave privada. La clave pública se almacena en el servidor (porque, como sugiere el nombre, no es un secreto) y permitirá que el sitio web o la aplicación verifiquen su cuenta, siempre que tenga la clave privada correspondiente. El truco es que debido a cómo funcionan las matemáticas, la clave privada nunca necesita compartirse con el servidor. Su dispositivo puede realizar toda la autenticación sin revelarlo. Es una tecnología ordenada y tiene implementaciones de seguridad serias.

Aunque las claves de acceso pueden parecer complicadas (y la criptografía subyacente es realmente compleja), en la práctica, harán que registrarse para obtener nuevas cuentas sea aún más simple. Solo usará Touch ID o Face ID, y su iPhone, iPad o Mac harán el resto. No es necesario que cree una contraseña larga, agregue algunos $ y & y luego intente recordarla. Ni siquiera verá sus claves públicas o privadas. Todo se hace en segundo plano, lo que elimina el elemento humano blando y poco confiable de las cosas.

Además, las claves de acceso no pueden ser objeto de suplantación de identidad. Su clave pública para cualquier sitio determinado no es información privilegiada. Todo lo que importa es la clave privada, que nunca sale de su dispositivo. Un sitio web falso diseñado para hacerse pasar por su banco, Ebay o alguna otra cuenta no puede engañarlo para que lo abandone. Puede configurar un indicador de inicio de sesión, pero simplemente no hará nada.

La implementación de claves de acceso de Apple, al menos en los documentos de apoyo y la charla de WWDC, suena sólida. Se sincronizarán entre sus dispositivos usando iCloud Keychain (que está encriptado de extremo a extremo). Ni siquiera Apple tendrá acceso a tus claves privadas.

los sistema ha sido diseñado para que sus inicios de sesión sean seguros, incluso si su ID de Apple se ve comprometida, pierde todos sus dispositivos o un empleado deshonesto de Apple intenta piratear los servidores del llavero de iCloud. Requiere que use la autenticación de dos factores con su ID de Apple, lo que hace que sea mucho más difícil para un atacante, incluso uno con su contraseña de iCloud, configurar las cosas en un nuevo dispositivo. También hay un sistema llamado Custodia del llavero de iCloud que maneja la restauración de sus contraseñas si pierde sus dispositivos. Es resistente a ataques de fuerza bruta incluso por parte de Apple.

Si bien todavía estamos esperando ver cómo Microsoft, Google y las otras grandes empresas tecnológicas implementan las claves de acceso, todas se han comprometido a hacerlas interoperables en tantos dispositivos diferentes como sea posible. Obtuvimos una pista de eso en el anuncio de la WWDC cuando Adler demostró usar un iPhone para iniciar sesión en un sitio web escaneando un código QR. Esto le permitiría hacer cosas como revisar su correo electrónico en la computadora de un amigo o imprimir algo en un hotel sin contraseña.

En resumen, este parece ser un sistema tan seguro como razonablemente se puede diseñar. Siempre habrá vectores de ataque, y los piratas informáticos dedicados que se dirigen a individuos específicos pueden encontrarlos y usarlos, pero para las personas comunes, este sistema debería resolver tres de los problemas más grandes: contraseñas débiles, contraseñas filtradas y phishing.

Mire la parte relevante de WWDC, a continuación:

Leave a Reply

Your email address will not be published. Required fields are marked *