Las contraseñas están rotas. WebAuthn es el nuevo estándar para la autenticación

Recientemente, iThemes Security Pro agregó claves de acceso como método de autenticación principal para los sitios de WordPress. Este innovador lanzamiento es el primero de su tipo en el espacio de WordPress, y es algo que debe conocer. Una vez más, iThemes Security ha mostrado liderazgo al brindar una funcionalidad de seguridad excepcional a los usuarios de WordPress.

En esta publicación, revisaremos el problema de la contraseña, qué es WebAuthn y por qué comenzará a usar esta tecnología en todas partes. Si es propietario de un sitio de WordPress y busca mejorar la funcionalidad de inicio de sesión y seguridad para sus usuarios finales, ahora tiene a su disposición el estándar de vanguardia para inicios de sesión sin problemas.

Comprender el problema de la contraseña que resuelve WebAuthn

Nuestras vidas en línea, incluidas las cuentas de usuario utilizadas por WordPress, se han basado en el acceso de nombre de usuario y contraseña. Esto estuvo bien por un tiempo. Pero luego, las contraseñas reutilizadas, los ataques de fuerza bruta de diccionario y el intercambio de datos de cuentas violados por parte de actores maliciosos han hecho que nuestro sistema de seguridad basado en contraseñas sea ineficaz.

De hecho, el Informe DBIR de Verizon para 2022 informa que más del 80 % de las infracciones se pueden atribuir a credenciales robadas, y ha habido un aumento del 30 % en las credenciales robadas como principal vector de intrusión frente a la explotación de vulnerabilidades.

Las credenciales se refieren a la combinación de nombre de usuario y contraseña. Y los datos de Verizon nos dicen una cosa: las contraseñas están rotas. La adición de la autenticación de dos factores (2FA) ha sido útil, pero desafortunadamente, la fricción y la complejidad que agrega significa que solo ha sido adoptada por el 28% de los usuarios. Lo entendemos; 2FA agrega otra capa de fricción para los atacantes, pero también dificulta el inicio de sesión para los usuarios. Y en el caso de 2FA basado en SMS, simplemente no es lo suficientemente seguro. Las historias de ataques al puerto SIM para objetivos de alto valor no son comunes, pero son catastróficas cuando ocurren.

La alianza FIDO (Fast Identity Online) ha estado trabajando para solucionar estos problemas, y WebAuthn es la especificación que ha resultado de ese trabajo.

En esta etapa de nuestra vida digital, las contraseñas se rompen. Afortunadamente, hay una nueva y mejor forma de autenticación, y esa es WebAuthn.

¿Qué es WebAuthn?

WebAuthn es la abreviatura de API de autenticación web. Esta es una especificación escrita por W3C y FIDO, con la participación de Apple, Google, Mozilla, Microsoft, Yubico y otros. La API WebAuthn permite que los servidores registren y autentiquen a los usuarios mediante criptografía de clave pública en lugar de una contraseña. Desde enero de 2019, WebAuthn es compatible con Chrome, Firefox, Microsoft Edge y Safari. En el momento de escribir este artículo, WebAuthn es compatible con más del 90 % de los dispositivos y sus navegadores.

WebAuthn es parte del marco FIDO2, que es un conjunto de tecnologías que permiten la autenticación sin contraseña entre servidores, navegadores y autenticadores. WebAuthn fue estandarizado por el World Wide Web Consortium.

Ahora que muchos de nuestros dispositivos usan autenticación biométrica, como FaceID en su iPhone o reconocimiento de huellas dactilares en su MacBook, Windows Hello y muchos otros, tenemos un nuevo método para determinar si un intento de inicio de sesión es realmente el usuario válido. y no un ataque de fuerza bruta.

¿Cómo funciona WebAuthn?

WebAuthn utiliza criptografía de clave pública para proteger las conexiones entre los usuarios y los sistemas que utilizan. Con WebAuthn, puede usar un único método de autenticación, como la biometría en sus dispositivos o una YubiKey, en cualquier sitio que admita el estándar. De esta manera, como usuario, no necesita tener contraseñas para cada sitio que visite, solo un autenticador fuerte que funcione con WebAuthn.

Usando esta autenticación fuerte en lugar de una contraseña, podemos crear un par de claves público-privado para un sitio web. La clave privada se almacena de forma segura en su dispositivo (por ejemplo, su teléfono o computadora), y la clave pública y la credencial generada aleatoriamente se envían al servidor web para su almacenamiento. El servidor web y, en el caso de iThemes Security Passkeys, su sitio de WordPress, pueden usar la clave pública para verificar la identidad del usuario.

Esta clave pública no es un secreto. Como tal, si alguna vez se piratea el servidor web o el sitio de WordPress, las credenciales almacenadas con la clave pública son inútiles para un atacante. La clave pública simplemente no se puede usar sin la clave privada.

Para comprender cómo funciona realmente WebAuthn, el Proyecto FIDO2 tiene excelentes recursos.

WebAuthn cambia el panorama de la seguridad

WebAuthn realmente es innovador en el mundo de la seguridad. Las bases de datos ya no son tan atractivas para los piratas informáticos, porque las claves públicas no les son útiles. Además, WebAuthn dificulta el robo de credenciales.

Y para los usuarios finales, WebAuthn elimina la necesidad de recordar varios nombres de usuario y contraseñas. Todo lo que necesita un usuario en una MacBook, por ejemplo, es su huella digital para iniciar sesión en su sitio habilitado con iThemes Security Passkeys.

Apple, que ha implementado WebAuthn, también señala que WebAuthn protege contra ataques de phishing. Un ataque de phishing que envía correos electrónicos a los usuarios con enlaces a pantallas de inicio de sesión falsas no sería efectivo sin contraseñas. Un usuario que usa claves de acceso para iniciar sesión en la cuenta ni siquiera tendría una contraseña para proporcionar a un formulario de phishing malicioso. La autenticación se maneja completamente mediante la clave privada almacenada en su dispositivo que se comunica con la clave pública almacenada en el servidor web. WebAuthn hace que tanto los ataques de phishing aleatorios como los ataques de phishing dirigidos sean completamente ineficaces.

El juego de seguridad ha cambiado con WebAuthn. Si bien los ataques de fuerza bruta y el robo de contraseñas pueden tardar un tiempo en volverse menos atractivos para los atacantes malintencionados, los propietarios de sitios proactivos que opten por implementar WebAuthn serán líderes en garantizar que sus sitios ya no formen parte del juego.

Inicios de sesión sin fricciones para clientes más felices

Estos propietarios de sitios también brindan una característica valiosa adicional para sus usuarios, clientes, estudiantes o cualquier persona que inicie sesión en sus sitios de WordPress. En lugar de requerir protocolos de autenticación de múltiples factores llenos de fricción para garantizar que el sitio de WordPress se mantenga seguro, WebAuthn implementado por iThemes Security permite a los propietarios del sitio proporcionar un inicio de sesión sin contraseña y sin fricción, al tiempo que hace que su sitio sea mucho menos atractivo para los piratas informáticos.

Están llegando más implementaciones de WebAuthn

Puede ver cómo cambia la vida esta tecnología y preguntarse por qué más sitios, servicios y aplicaciones no usan WebAuthn. Si bien esta tecnología es innovadora, también es muy nueva. Agregar WebAuthn a los servicios heredados requerirá una refactorización. Pero como hemos visto con muchas nuevas tecnologías que cambian el panorama, está llegando. La necesidad de ir más allá de las contraseñas es un factor determinante. Y, a medida que más usuarios experimenten capacidades de inicio de sesión sin fricciones, comenzaremos a ver solicitudes de usuarios para ampliar los inicios de sesión sin contraseña.

De esta manera, iThemes Security se ha consolidado como el líder en seguridad de WordPress, cambiando la forma en que los usuarios de WordPress inician sesión. iThemes Security Passkeys es la primera implementación de WebAuthn en el espacio de WordPress, y sin duda será el estándar en el futuro.

Para obtener iThemes Security Passkeys para su sitio de WordPress ahora, necesitará iThemes Security Pro. Afortunadamente, actualmente puede obtener esto a un precio con descuento. Sin embargo, no verá estos precios bajos por mucho tiempo. La venta finaliza el 30 de septiembre de 2022.

Kathy Zant

Kathy es gerente de marketing de productos para Kadence en StellarWP y ha estado trabajando con WordPress durante más de una década. Tiene experiencia técnica y de marketing y ha trabajado con varias marcas en el espacio de WordPress. Ha ayudado a numerosas organizaciones a potenciar sus negocios con WordPress. Ha ayudado a organizar WordCamp Phoenix y WCUS. Actualmente vive en las afueras de Denton, TX, donde a menudo se la puede encontrar paseando perros perdigueros de oro o pasando el rato en los establos de caballos.