Aurich Lawson | imágenes falsas
Mi artículo reciente sobre claves de acceso atrajo un interés significativo, y varios de los más de 1100 comentarios generaron preguntas sobre cómo funciona realmente el sistema de claves de acceso y si se puede confiar en él. En respuesta, he elaborado esta lista de preguntas frecuentes para disipar algunos mitos y arrojar algo de luz sobre lo que sabemos, y lo que no sabemos, sobre las claves de paso.
P: No confío en Google. ¿Por qué debo usar claves de paso?
R: Si no usa Google, entonces las claves de acceso de Google no son para usted. Si no usa productos Apple o Microsoft, la situación es similar. El artículo original estaba dirigido a los cientos de millones de personas que usan estas plataformas principales (aunque sea a regañadientes).
Dicho esto, el uso de claves de acceso se está expandiendo rápidamente más allá de los principales actores tecnológicos. Dentro de uno o dos meses, por ejemplo, 1Password y otros terceros admitirán la sincronización de claves de acceso que completarán la credencial en todos sus dispositivos de confianza. Si bien Google está más avanzado que cualquier otro servicio en permitir inicios de sesión con claves de acceso, los nuevos servicios permiten a los usuarios iniciar sesión en sus cuentas con claves de acceso casi todas las semanas. En poco tiempo, puede usar claves de acceso incluso si no confía en Google, Apple o Microsoft.
P: No confío en ninguna empresa para sincronizar mis credenciales de inicio de sesión; Solo los mantengo almacenados en mis dispositivos locales. ¿Por qué alguna vez usaría claves de paso?
R: Incluso si no confías cualquier servicio en la nube para sincronizar sus credenciales de inicio de sesión, las especificaciones de FIDO permiten algo llamado claves de paso de un solo dispositivo. Como sugiere el nombre, estas claves de acceso funcionan en un solo dispositivo y no se sincronizan a través de ningún servicio. Las claves de acceso de un solo dispositivo generalmente se crean utilizando una c lave de seguridad FIDO2, como una Yubikey.
Sin embargo, si está sincronizando contraseñas a través de un navegador, un administrador de contraseñas, un llavero de iCloud o uno de los equivalentes de Microsoft o Google, tenga en cuenta que ya está confiando en un servicio en la nube para sincronizar sus credenciales. Si no confía en los servicios en la nube para sincronizar las claves de acceso, tampoco debe confiar en ellos para sincronizar sus contraseñas.
P: Parece increíblemente arriesgado sincronizar claves de paso. ¿Por qué debería confiar en la sincronización desde cualquier servicio?
R: Actualmente, el Especificaciones FIDO no exija estrictamente la sincronización con el cifrado de extremo a extremo, lo que por definición significa que nada más que uno de los dispositivos de usuario final de confianza tiene acceso a la clave privada en forma no cifrada (es decir, utilizable). El mecanismo de sincronización de Apple, por ejemplo, se basa en el mismo cifrado de extremo a extremo que el llavero de iCloud ya usa para la sincronización de contraseñas. Apple ha documentado con gran detalle el diseño de este servicio aquí, aquí, aquí, aquíy aquí. Los expertos en seguridad independientes aún no han informado de ninguna discrepancia en la afirmación de Apple de que carece de los medios para desbloquear las credenciales almacenadas en el llavero de iCloud.
P: No uso ni confío en Apple. ¿Qué pasa con los otros servicios? ¿Dónde está su documentación?
R: Google tiene documentación aquí. 1Password tiene documentación sobre la infraestructura que utiliza para sincronizar contraseñas (aquí y aquí). De nuevo, si ya confías cualquier plataforma de sincronización de contraseñas basada en la nube, es un poco tarde para solicitar documentación ahora. Hay poco, si es que hay alguno, riesgo adicional para sincronizar claves de acceso también.
P: ¿No hubo un artículo reciente sobre el nuevo malware de macOS que podría robar elementos del llavero de iCloud?
R: Esto puede ser una referencia a MacStealer, malware que se anunció recientemente en foros clandestinos de delitos. No hay informes sobre el uso de MacStealer en la naturaleza, y no hay confirmación de que el malware exista. Solo sabemos de anuncios. reclamando que tal malware existe.
Dicho esto, el anuncio que anuncia MacStealer dice que está en una versión beta temprana y viene en forma de un archivo DMG estándar que debe instalarse manualmente en una Mac. El archivo DMG no está firmado digitalmente, por lo que no se instalará a menos que un usuario final modifique la configuración de seguridad de macOS. Incluso entonces, una víctima tendría que ingresar su contraseña de iCloud en la aplicación después de instalarla antes de poder extraer los datos basados en la nube.
Basado en el descripción de Mac Stealer de Uptycs, la empresa de seguridad que detectó el anuncio, no creo que la gente tenga mucho de qué preocuparse. E incluso si el malware representa una amenaza, esa amenaza se extiende no solo a las claves de acceso, sino a cualquier otra cosa que cientos de millones de personas ya almacenen en el llavero de iCloud.
P: Las claves de acceso dan control de sus credenciales a Apple/Google/Microsoft, a un servicio de sincronización de terceros o al sitio en el que está iniciando sesión. ¿Por qué haría eso?
R: Suponiendo que esté utilizando una contraseña para iniciar sesión en un servicio como Gmail, Azure o Github, ya está confiando en que estas empresas implementarán sus sistemas de autenticación de una manera que no exponga los secretos compartidos que le permiten para iniciar sesión. Iniciar sesión en uno de estos sitios con una clave de paso en lugar de una contraseña les da a los sitios el mismo control, ni más ni menos, sobre sus credenciales que tenían antes.
La razón es que la parte de la clave privada de una clave de paso nunca sale de los dispositivos cifrados de un usuario. La autenticación se produce en el dispositivo del usuario. Luego, el dispositivo del usuario envía al sitio que se registra en una prueba criptográfica de que la clave privada reside en el dispositivo que inicia sesión. La criptografía involucrada en este proceso garantiza que la prueba no se pueda falsificar.