Cómo Apple, Google y Microsoft están destruyendo contraseñas y phishing de una sola vez

Cómo Apple, Google y Microsoft están destruyendo contraseñas y phishing de una sola vez

imágenes falsas

Durante más de una década, se nos ha prometido un mundo sin contraseñas a la vuelta de la esquina y, sin embargo, año tras año, este nirvana de seguridad resulta inalcanzable. Ahora, por primera vez, una forma viable de autenticación sin contraseña está a punto de estar disponible para las masas en la forma de un estándar adoptado por Apple, Google y Microsoft que permite acceder a claves entre plataformas y servicios.

En el pasado, los programas para eliminar contraseñas sufrieron una miríada de problemas. Una falla importante fue la falta de un mecanismo de recuperación viable cuando alguien perdió el control de los números de teléfono o tokens físicos y teléfonos asociados con una cuenta. Otra limitación fue que la mayoría de las soluciones no eran realmente sin contraseña al final. En su lugar, les dieron a los usuarios la opción de iniciar sesión con un escaneo facial o una huella digital, pero estos sistemas eventualmente volvieron a una contraseña, lo que significa phishing, reutilización de contraseñas y contraseñas olvidadas: todas las razones por las que odiamos al principio. no te vayas

Un nuevo enfoque

Lo que es diferente esta vez es que Apple, Google y Microsoft parecen estar de acuerdo con la misma solución bien definida. No solo eso, sino que la solución es más fácil que nunca para los usuarios y es menos costosa para los principales servicios como Github y Facebook. También está meticulosamente diseñado y revisado por expertos en autenticación y seguridad.

Una maqueta de cómo se verá la autenticación sin contraseña.
agrandar Una maqueta de cómo se verá la autenticación sin contraseña.

Alianza FIDO

Los métodos actuales de autenticación multifactor (MFA) han logrado avances significativos en los últimos cinco años. Por ejemplo, Google me permite descargar una aplicación de iOS o Android que utilizo como segundo factor al iniciar sesión en mi cuenta de Google desde un dispositivo nuevo. Este sistema se basa en CTAP (abreviatura de protocolo de cliente a autenticador) y utiliza Bluetooth para garantizar que el teléfono esté cerca del nuevo dispositivo y que el nuevo dispositivo esté realmente conectado a Google y no a un sitio que finja ser Google. Eso significa que no es phishing. El valor predeterminado garantiza que el secreto criptográfico almacenado en el teléfono no se pueda extraer.

Google también ofrece un programa de seguridad avanzado que requiere claves físicas en forma de dongles independientes o teléfonos de usuario final para autenticar los inicios de sesión desde nuevos dispositivos.

La gran limitación en este momento es que MFA y la autenticación sin contraseña se implementan de manera diferente o no se implementan en absoluto por cada proveedor de servicios. Algunos proveedores, como la mayoría de los bancos y servicios financieros, aún envían contraseñas de un solo uso por mensaje de texto o correo electrónico. Reconociendo que estos no son medios seguros para transportar secretos sensibles a la seguridad, muchos servicios han recurrido a un método conocido como TOTP (abreviatura de contraseña de un solo uso basada en el tiempo) para permitir la adición de un segundo factor, que efectivamente la contraseña con el factor “algo que tengo”.

Las claves de seguridad físicas, los TOTP y, en menor medida, la autenticación de dos factores a través de SMS y correo electrónico representan un importante paso adelante, pero quedan tres limitaciones importantes. En primer lugar, los TOTP generados a través de aplicaciones de autenticación y enviados por SMS o correo electrónico son susceptibles de suplantación de identidad, al igual que las contraseñas normales. En segundo lugar, cada servicio tiene su propia plataforma MFA cerrada. Eso significa que incluso cuando se utilizan formas de MFA que no sean de phishing, como claves físicas independientes o claves basadas en teléfonos, un usuario necesitará una clave separada para Google, Microsoft y todas las demás propiedades de Internet. Para empeorar las cosas, cada plataforma de sistema operativo tiene diferentes mecanismos para implementar MFA.

Estos problemas dan paso a un tercero: la total inutilizabilidad para la mayoría de los usuarios finales y el costo y la complejidad no triviales que enfrenta cada servicio cuando intenta ofrecer MFA.

Leave a Comment