Al igual que Apple, Google և Microsoft eliminará las contraseñas և phishing de una sola vez

Al igual que Apple, Google և Microsoft eliminará las contraseñas և phishing de una sola vez

Imágenes falsas:

Hace más de una década que se nos promete que el mundo sin contraseñas está cerca, pero este nirvana de seguridad se vuelve inaccesible año tras año. Ahora, por primera vez, una función sin autenticación de contraseña estará disponible para el público en general en forma de un estándar adoptado por Apple, Google և Microsoft, que permite contraseñas multiplataforma և servicios cruzados.

En el pasado, los esquemas de recuperación de contraseñas han sufrido muchos problemas. El principal inconveniente era la falta de un mecanismo de recuperación viable cuando alguien perdía el control de sus números de teléfono o señales físicas: teléfonos relacionados con la cuenta. Otra limitación fue que la mayoría de las soluciones finalmente fallaron, de hecho, realmente no tenían contraseña. En cambio, permitieron que los usuarios accedieran a través de un escaneo cara a cara o una huella digital, pero estos sistemas finalmente regresaron con una contraseña, lo que significó phishing, reutilización de la contraseña y contraseñas olvidadas. no te vayas:

Un nuevo enfoque

La diferencia esta vez es que Apple, Google y Microsoft parecen tener la misma solución bien definida. No solo eso, sino que la solución es más fácil que nunca para los usuarios: es menos costoso invertir en grandes servicios como Github և Facebook. Ha sido desarrollado diligentemente, revisado por expertos en identificación y seguridad.

Modele cómo se verá la autenticación sin contraseña.
Acercarse / Modele cómo se verá la autenticación sin contraseña.

alianza FIDO

Los métodos actuales de validación multifactorial (MFA) han tenido mucho éxito en los últimos cinco años. Google, por ejemplo, me permite descargar una aplicación de iOS o Android, que utilizo como segundo factor al iniciar sesión en mi cuenta de Google desde un dispositivo nuevo. Abreviado basado en CTAP del cliente al protocolo de identificación– Este sistema usa Bluetooth para asegurarse de que el teléfono esté cerca del nuevo dispositivo, que el nuevo dispositivo esté realmente conectado a Google, no a una imagen de Google enmascarada. Eso significa que no es fraudulento. El estándar asegura que la contraseña guardada en el teléfono no se pueda extraer.

READ  Fitz responde al calor de Internet usando "r slur" en la transmisión de Minecraft

Google también proporciona: Programa de protección avanzada que requiere claves físicas, ya sean dongles o teléfonos de usuario final, para autenticar el acceso desde nuevos dispositivos.

La gran limitación en este momento es que la autenticación sin contraseña MFA և se distribuye de manera diferente, si es que lo hace, por cada proveedor de servicios. Algunos proveedores, como la mayoría de los bancos y servicios financieros, aún envían contraseñas de un solo uso por SMS o correo electrónico. Al darse cuenta de que estos no son medios seguros para manejar secretos sensibles a la seguridad, muchos servicios han cambiado a un método conocido como TOTP, abreviado Contraseña de un solo uso basada en el tiempo– Permitir agregar el segundo factor, que efectivamente aumenta la contraseña por el factor «Tengo algo».

Las llaves de seguridad físicas, los TOTP և en menor medida, la autenticación de dos factores a través de SMS և correo electrónico son un paso adelante, pero quedan tres limitaciones clave. Primero, los TOTP se crean a través de aplicaciones de validación que se envían por mensaje de texto o correo electrónico. son phishing, lo mismo ocurre con las contraseñas regulares. En segundo lugar, cada servicio tiene su propia plataforma MFA cerrada. Esto significa que incluso cuando se utilizan formularios MFA que no sean de phishing, como claves físicas individuales o claves basadas en teléfonos, el usuario necesita una clave separada para cualquier otra propiedad de Google, Microsoft o Internet. Para empeorar las cosas, cada plataforma de sistema operativo tiene diferentes mecanismos para implementar el MFA.

READ  - Facebook difunde anuncios para la aplicación "Clubhouse para PC" plantada maliciosamente - TechCrunch

Estos problemas dan paso al tercero. Inutilidad absoluta para la mayoría de los usuarios finales և El bajo costo y la complejidad que enfrenta cada proveedor de servicios de MFA.

Check Also

Samsung anuncia el primer evento Galaxy Unpacked en Corea del Sur

Samsung anuncia el primer evento Galaxy Unpacked en Corea del Sur

Última actualización: 25 de julio de 2023 06:17 UTC+02:00 Estamos a solo unos días del …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *