Imágenes de Gerty
Durante años, Big Tech ha insistido en que la muerte de la contraseña está a la vuelta de la esquina. Durante años, esas garantías han sido poco más que promesas vacías. Las alternativas de contraseña, como las inserciones, los inicios de sesión únicos de OAUTH y los módulos de plataforma confiable, introdujeron tantos problemas de usabilidad y seguridad como los que resolvieron. Pero ahora, finalmente estamos en la cúspide de una alternativa de contraseña que realmente funcionará.
La nueva alternativa se conoce como claves de paso. En general, las claves de acceso se refieren a varios esquemas para almacenar información de autenticación en hardware, un concepto que existe desde hace más de una década. Lo que es diferente ahora es que Microsoft, Apple, Google y un consorcio de otras empresas se han unido en torno a un solo estándar de clave de acceso liderado por la Alianza FIDO. Las claves de acceso no solo son más fáciles de usar para la mayoría de las personas que las contraseñas; también son completamente resistentes al phishing de credenciales, el relleno de credenciales y ataques similares de apropiación de cuentas.
El lunes, PayPal dijo Los usuarios de EE. UU. pronto tendrán la opción de iniciar sesión con claves de acceso basadas en FIDO, uniéndose a Kayak, eBay, Best Buy, CardPointers y WordPress.com como servicios en línea que ofrecerán la alternativa de la contraseña. En los últimos meses, Microsoft, Apple y Google han actualizado sus sistemas operativos y aplicaciones para habilitar las claves de acceso. El soporte de Passkey sigue siendo irregular. Las claves de acceso almacenadas en iOS o macOS funcionarán en Windows, por ejemplo, pero lo contrario aún no está disponible. Sin embargo, en los próximos meses, todo eso debería resolverse.
Qué exactamente, son ¿claves de paso?
Alianza FIDO
Las claves de acceso funcionan casi de manera idéntica a los autenticadores FIDO que nos permiten usar nuestros teléfonos, computadoras portátiles, computadoras y claves de seguridad Yubico o Feitian para la autenticación de múltiples factores. Al igual que los autenticadores FIDO almacenados en estos dispositivos MFA, las claves de acceso son invisibles y se integran con Face ID, Windows Hello u otros lectores biométricos ofrecidos por los fabricantes de dispositivos. No hay forma de recuperar los secretos criptográficos almacenados en los autenticadores, salvo desmantelar físicamente el dispositivo o someterlo a un jailbreak o un ataque de enraizamiento.
Incluso si un adversario pudiera extraer el secreto criptográfico, aún tendría que proporcionar la huella digital, el escaneo facial o, en ausencia de capacidades biométricas, el PIN asociado con el token. Además, los tokens de hardware utilizan el flujo de autenticación de dispositivos cruzados de FIDO, o CTAP, que se basa en Bluetooth Low Energy para verificar que el dispositivo de autenticación está muy cerca físicamente del dispositivo que intenta iniciar sesión.
Hasta ahora, las claves de seguridad basadas en FIDO se han utilizado principalmente para proporcionar MFA, abreviatura de autenticación de múltiples factores, que requiere que alguien presente un factor de autenticación por separado además de la contraseña correcta. Los factores adicionales que ofrece FIDO generalmente vienen en la forma de algo que el usuario tiene, un teléfono inteligente o una computadora que contiene el token de hardware, y algo que el usuario es, una huella digital, un escaneo facial u otro biométrico que nunca sale del dispositivo.
Hasta ahora, los ataques contra la MFA compatible con FIDO han sido escasos. Una campaña avanzada de phishing de credenciales que recientemente violó a Twilio y otras compañías de seguridad de primer nivel, por ejemplo, fracasó contra Cloudflare por una razón: a diferencia de los otros objetivos, Cloudflare usó tokens de hardware compatibles con FIDO que eran inmunes a la técnica de phishing que usaron los atacantes. Todas las víctimas que fueron violadas se basaron en formas más débiles de MFA.
Pero mientras que los tokens de hardware pueden proporcionar uno o más factores de autenticación además de una contraseña, las claves de acceso no dependen de ninguna contraseña. En su lugar, las claves de acceso incorporan múltiples factores de autenticación, generalmente el teléfono o la computadora portátil y el escaneo facial o la huella digital del usuario, en un solo paquete. Las claves de acceso son administradas por el sistema operativo del dispositivo. A elección del usuario, también se pueden sincronizar a través del cifrado de extremo a extremo con otros dispositivos del usuario mediante un servicio en la nube proporcionado por Apple, Microsoft, Google u otro proveedor.
Las claves de acceso son “detectables”, lo que significa que un dispositivo inscrito puede enviar una automáticamente a través de un túnel encriptado a otro dispositivo inscrito que está intentando iniciar sesión en una de las cuentas o aplicaciones del sitio del usuario. Al iniciar sesión, el usuario se autentica con la misma contraseña o PIN biométrico o en el dispositivo para desbloquear su dispositivo. Este mecanismo reemplaza por completo el nombre de usuario y la contraseña tradicionales y proporciona una experiencia de usuario mucho más sencilla.
“Los usuarios ya no necesitan inscribir cada dispositivo para cada servicio, como ha sido el caso de FIDO (y de cualquier criptografía de clave pública) durante mucho tiempo”, dijo Andrew Shikiar, director ejecutivo y director de marketing de FIDO. estar sincronizado de forma segura a través de una nube de sistema operativo, el usuario solo necesita inscribirse una vez para un servicio, y luego está esencialmente inscrito previamente para ese servicio en todos sus otros dispositivos. Esto brinda una mejor usabilidad para el usuario final y, muy significativamente, permite que el proveedor de servicios comience a retirar las contraseñas como un medio de recuperación y reinscripción de la cuenta”.
El editor de Ars Review, Ron Amadeo, resumió bien las cosas la semana pasada cuando escribió: “Las llaves maestras solo intercambian WebAuthn claves criptográficas con el sitio web directamente. No es necesario que un ser humano le diga a un administrador de contraseñas que genere, almacene y recupere un secreto; todo sucederá automáticamente, con secretos mucho mejores que los que admitía el cuadro de texto anterior y con la exclusividad impuesta”.