Al igual que Apple, Google և Microsoft eliminará las contraseñas և phishing de una sola vez

Hace más de una década que se nos promete que el mundo sin contraseñas está cerca, pero este nirvana de seguridad se vuelve inaccesible año tras año. Ahora, por primera vez, una función sin autenticación de contraseña estará disponible para el público en general en forma de un estándar adoptado por Apple, Google և Microsoft, que permite contraseñas multiplataforma և servicios cruzados.

En el pasado, los esquemas de recuperación de contraseñas han sufrido muchos problemas. El principal inconveniente era la falta de un mecanismo de recuperación viable cuando alguien perdía el control de sus números de teléfono o señales físicas: teléfonos relacionados con la cuenta. Otra limitación fue que la mayoría de las soluciones finalmente fallaron, de hecho, realmente no tenían contraseña. En cambio, permitieron que los usuarios accedieran a través de un escaneo cara a cara o una huella digital, pero estos sistemas finalmente regresaron con una contraseña, lo que significó phishing, reutilización de la contraseña y contraseñas olvidadas. no te vayas:

Un nuevo enfoque

La diferencia esta vez es que Apple, Google y Microsoft parecen tener la misma solución bien definida. No solo eso, sino que la solución es más fácil que nunca para los usuarios: es menos costoso invertir en grandes servicios como Github և Facebook. Ha sido desarrollado diligentemente, revisado por expertos en identificación y seguridad.

Los métodos actuales de validación multifactorial (MFA) han tenido mucho éxito en los últimos cinco años. Google, por ejemplo, me permite descargar una aplicación de iOS o Android, que utilizo como segundo factor al iniciar sesión en mi cuenta de Google desde un dispositivo nuevo. Abreviado basado en CTAP del cliente al protocolo de identificación– Este sistema usa Bluetooth para asegurarse de que el teléfono esté cerca del nuevo dispositivo, que el nuevo dispositivo esté realmente conectado a Google, no a una imagen de Google enmascarada. Eso significa que no es fraudulento. El estándar asegura que la contraseña guardada en el teléfono no se pueda extraer.

Google también proporciona: Programa de protección avanzada que requiere claves físicas, ya sean dongles o teléfonos de usuario final, para autenticar el acceso desde nuevos dispositivos.

La gran limitación en este momento es que la autenticación sin contraseña MFA և se distribuye de manera diferente, si es que lo hace, por cada proveedor de servicios. Algunos proveedores, como la mayoría de los bancos y servicios financieros, aún envían contraseñas de un solo uso por SMS o correo electrónico. Al darse cuenta de que estos no son medios seguros para manejar secretos sensibles a la seguridad, muchos servicios han cambiado a un método conocido como TOTP, abreviado Contraseña de un solo uso basada en el tiempo– Permitir agregar el segundo factor, que efectivamente aumenta la contraseña por el factor «Tengo algo».

Las llaves de seguridad físicas, los TOTP և en menor medida, la autenticación de dos factores a través de SMS և correo electrónico son un paso adelante, pero quedan tres limitaciones clave. Primero, los TOTP se crean a través de aplicaciones de validación que se envían por mensaje de texto o correo electrónico. son phishing, lo mismo ocurre con las contraseñas regulares. En segundo lugar, cada servicio tiene su propia plataforma MFA cerrada. Esto significa que incluso cuando se utilizan formularios MFA que no sean de phishing, como claves físicas individuales o claves basadas en teléfonos, el usuario necesita una clave separada para cualquier otra propiedad de Google, Microsoft o Internet. Para empeorar las cosas, cada plataforma de sistema operativo tiene diferentes mecanismos para implementar el MFA.

Estos problemas dan paso al tercero. Inutilidad absoluta para la mayoría de los usuarios finales և El bajo costo y la complejidad que enfrenta cada proveedor de servicios de MFA.