El principio del fin de las contraseñas
Publicado: 2023-05-06Ayer, Google anunció “el principio del fin de la contraseña”. Para esta época del próximo año, es posible que ya no estés usando contraseñas.
La gran extinción de contraseñas ya está en marcha
Imagina un mundo sin contraseñas.
Todavía puede iniciar sesión en todas sus cuentas en línea en este nuevo mundo sin contraseña. Desde los sitios de WordPress hasta su banco, es más fácil y seguro que nunca crear y acceder a cuentas en línea, sin contraseñas.
¿No sería un alivio? Buenas noticias: la extinción global de contraseñas ya está ocurriendo, y la vida al otro lado es mejor.
A fines de 2022, Apple introdujo la compatibilidad con la clave de paso para iOS 16 y MacOS 13 "Ventura".
Ayer, Google anunció que están "desplegando soporte para claves de acceso en las cuentas de Google en todas las plataformas principales".
En iThemes, estamos muy orgullosos de que nuestro producto Security Pro haya sido el primero en traer claves de acceso y otros métodos de autenticación sin contraseña a WordPress.
¿Cómo es posible una vida sin contraseña?
Aproximadamente un mes después de que comencé a usar un Apple Watch, comenzó a desbloquearse automáticamente e iniciar sesión en mis computadoras de escritorio y portátiles que ejecutan la versión actual de MacOS. No recuerdo haber hecho más que activar la compatibilidad con la clave de acceso de MacOS para usarla con mis cuentas de Google y iThemes Security. Aparentemente, esto también permitió que mi reloj se convirtiera en un dispositivo clave de confianza.
Anteriormente, el inicio de sesión biométrico de Apple Touch era la alternativa de contraseña más accesible que tenía. Ahora es mi reloj. A veces, si he estado fuera el tiempo suficiente, todavía necesito escribir mi contraseña, pero mi reloj lo está haciendo mucho menos común, gracias a una clave de acceso común conectada a mi ID de Apple y a todos mis dispositivos Apple.
Las claves de hardware, como YubiKey, le brindarán la misma experiencia de inicio de sesión sin contraseña, sin necesidad de dispositivos Apple.
Los dispositivos Windows y Android admiten inicios de sesión sin contraseña, también gracias a las claves de acceso.
¿Qué son las claves de paso?
Puede agradecer al código abierto por las claves de acceso. La tecnología Passkey se basa en estándares abiertos que establece la alianza FIDO ("Fast Identity Online"). Desarrollada por el W3C, la API WebAuthn es parte del estándar FIDO2. Es WebAuthn lo que permite que las claves de acceso realicen rápida y fácilmente una autenticación sin contraseña entre plataformas.
Las claves de acceso son identificadores digitales cifrados únicos generados por un dispositivo de autenticación, como su teléfono inteligente. La criptografía de clave pública se utiliza para crear un par de claves pública y privada. Juntos, este par de claves forma su clave de paso en el dispositivo de autenticación. Cada uno de sus dispositivos puede tener una clave privada única, pero su clave pública se comparte en la web. Probablemente, nunca verás a ninguno de ellos. Nadie va a.
Su teléfono u otro dispositivo compatible con claves de paso lo verifica como un usuario autorizado cuando ingresa una contraseña, un PIN o pasa un desafío biométrico. Una vez que haga eso, su teléfono y su clave de acceso funcionarán como una clave para dispositivos y aplicaciones adicionales. En lugar de tener que escribir una contraseña nuevamente en su computadora portátil y nuevamente para iniciar sesión en WordPress, su teléfono le dice a su computadora que lo deje entrar. Luego, su sistema operativo le dice a su navegador que le pida a WordPress que lo deje entrar, todo sin una contraseña.
Si sus dispositivos y sitios web están configurados para contraseñas, esta es una experiencia muy fluida. Es posible que deba proporcionar un PIN o pasar un desafío biométrico rápido, pero es mucho más simple que completar tres formularios de inicio de sesión diferentes sin reciclar sus contraseñas o usar contraseñas débiles. Y si odia la autenticación de dos factores (2FA), ya no es necesario que la use. 1
Por qué las claves maestras reemplazarán a las contraseñas
Inicialmente, las claves de acceso están emergiendo como una opción de autenticación junto con las contraseñas y 2FA. Puedes usar cualquiera de ellos. Pero con el tiempo, pocas personas querrán conservar contraseñas inseguras o lidiar con códigos 2FA que consumen mucho tiempo. Las claves de acceso se convertirán rápidamente en la opción preferida por las siguientes razones:
- Seguridad mejorada. Una de las principales razones por las que las claves de paso reemplazarán a las contraseñas es la seguridad mejorada que ofrecen. Muchas filtraciones de datos resultan de contraseñas débiles o robadas, lo que destaca la vulnerabilidad de la autenticación tradicional basada en contraseñas. La criptografía de clave pública detrás de las claves de acceso es significativamente más difícil de descifrar.
- Mejor experiencia de usuario. Recordar muchas contraseñas complejas para sus cuentas en línea puede ser difícil y, a menudo, conduce a malas prácticas de contraseñas. Las claves de acceso simplifican el proceso de autenticación. Solo necesita un dispositivo que almacene su clave de acceso para acceder a cualquier cuenta que admita la autenticación de clave de acceso. Esta cómoda experiencia de usuario fomenta la adopción de claves de acceso como método de autenticación seguro.
- Administradores de contraseñas Opcional. Las claves de acceso pueden disminuir, si no eliminar, la necesidad de administradores de contraseñas tradicionales. Si bien los administradores de contraseñas ofrecen una alternativa al almacenamiento de múltiples contraseñas, también presentan riesgos adicionales. Estas bóvedas de contraseñas pueden convertirse en un único punto de falla. Como hemos visto con LastPass, una plataforma de administración de contraseñas violada puede exponer todas las cuentas, contraseñas e información personal de sus clientes.
El futuro sin contraseña: cómo será
Hay tres grandes ventajas en el eclipse de las contraseñas por claves de acceso, pero su hilo común es la forma en que las claves de acceso benefician tanto la seguridad como la simplicidad.
Las ventajas
- Autenticación sin problemas. A medida que las claves de acceso se vuelven más frecuentes, el proceso de autenticación y acceso a los servicios en línea será cada vez más fluido. Los usuarios podrán iniciar sesión en sus cuentas simplemente usando sus dispositivos de almacenamiento de claves de acceso o métodos de identificación biométrica, como huellas dactilares o reconocimiento facial.
- Autenticación multifactor simplificada. Las claves de acceso son inherentemente compatibles con la autenticación multifactor (MFA) al combinar algo que el usuario conoce (la clave de acceso) con algo que el usuario tiene (el dispositivo que almacena la clave de acceso). Esta perfecta integración de MFA en el proceso de autenticación conducirá a un entorno en línea más seguro sin sacrificar la experiencia del usuario.
- Reducción de violaciones de datos. A medida que las claves de acceso se conviertan en el nuevo estándar para la autenticación, es probable que disminuya la cantidad de filtraciones de datos resultantes de contraseñas débiles o robadas. La seguridad mejorada que brindan las claves de acceso dificultará que los ciberdelincuentes comprometan las cuentas de los usuarios, lo que conducirá a un panorama digital más seguro.
Hasta ahora, ha sido raro que la autenticación segura venga con una buena experiencia de usuario. Las claves de paso son una gran excepción. Eso es fantástico, pero siempre hay desventajas.
las desventajas
- Phishing sofisticado y Social Hacking. Las claves de acceso pueden ser casi imposibles de robar y descifrar, pero los delincuentes nunca se dan por vencidos cuando aumenta la seguridad: se adaptan a las nuevas herramientas y encuentran los puntos débiles descuidados para explotar. Hoy en día, las herramientas de IA facilitan que cualquier persona parezca hablar con fluidez cualquier idioma, lo cual es una gran ventaja para cualquiera que quiera engañar a otros para que confíen en ellos. Las grandes filtraciones de contraseñas pueden desvanecerse en el pasado, pero el phishing y la piratería social pueden volverse más sofisticados y frecuentes.
- Seguridad Física y Privacidad. Mis dispositivos Apple no pueden decir que no soy yo cuando mi hija zurda usa mi reloj en su muñeca más pequeña en la mano opuesta. Todo lo que necesita es mi reloj y un PIN de 4 dígitos para iniciar sesión en mi computadora. 2 Un ladrón podría hacer eso, al igual que la policía. 3 A medida que nuestras relaciones con nuestros dispositivos se enredan más físicamente, surgen muchas preguntas difíciles sobre la privacidad personal. 4 El anonimato en línea, que ya está en declive, puede desaparecer.
- La gente también compartirá claves de acceso. Los administradores de contraseñas se usan ampliamente para compartir contraseñas, lo cual es una práctica de seguridad terrible, independientemente de cómo se haga. Una contraseña compartida eventualmente se convertirá en una contraseña robada. Afortunadamente, es poco probable que alguna vez vea, y mucho menos memorice, escriba o envíe por correo electrónico una clave de acceso a un compañero de trabajo o amigo. Sin embargo, puede usar algunos administradores de contraseñas para almacenar e incluso compartir claves ahora. Hay formas seguras de hacer esto, pero dudo que funcione bien en la práctica. Como sea que lo haga, compartir secretos es intrínsecamente inseguro. (Un secreto compartido ya no es un secreto). Compartir datos o información confidencial se basa en gran medida en la confianza entre las personas, y eso siempre es un vínculo débil; consulte los puntos n.° 1 y n.° 2 anteriores.
Pensamiento de seguridad versus "No me hagas pensar"
Sean cuales sean los desafíos que se avecinan en el futuro sin contraseña, vamos allí. Las contraseñas están rotas, son un método terrible para la autenticación y deben desaparecer, cuanto antes, mejor. Adoptar la autenticación sin contraseña mejorará nuestras experiencias en línea y ayudará a salvaguardar nuestras vidas digitales. No tener que preocuparse tanto por la seguridad y la administración de contraseñas es un gran alivio.
Por otro lado, "Don't Make Me Think" es un excelente objetivo en la experiencia del usuario y el diseño de la interfaz, pero puede ser un desastre para la seguridad. La simplicidad en el diseño permite la eficiencia de los usuarios y les impone una menor carga cognitiva. Las llaves maestras brindan esa simplicidad excepcionalmente bien. Pero no deberían hacernos más complacientes con los posibles riesgos de seguridad en un mundo de amenazas en constante evolución.
Impulsado por claves de acceso y su adopción en todas las plataformas principales, el futuro de la web será una experiencia más segura y fácil de usar cuando accedamos a servicios en línea. Los días de luchar para recordar contraseñas complejas (y compartirlas o reciclarlas) pronto serán cosa del pasado, y eso es una mejora definitiva.
Ya es hora de elevar también nuestros estándares básicos de seguridad. Las claves de acceso harán eso, y espero que esto ayude a que el cibercrimen, el fraude y el robo de identidad sean más difíciles y raros. Comience a usarlos ahora, y si tiene sitios de WordPress, considere hacer que las claves de acceso sean una opción para iniciar sesión en ellos. Siga pensando también en la seguridad. Pregunte qué significa seguridad y cómo pueden cambiar las amenazas en el nuevo contexto de un mundo sin contraseñas.
Notas:
- Informes como "Me excluí de mi vida digital" y "Gmail 2FA hace que las personas sin hogar pierdan el acceso de forma permanente tres veces al año" muestran las desventajas de la autenticación de dos factores.
- Es posible que un Apple Watch no sea la mejor clave de seguridad sin una autenticación biométrica, como Touch ID. Con base en algunas de las patentes recientes de Apple, es posible que se esté trabajando en una versión de Touch ID para la palma de la mano.
- La Electronic Frontier Foundation ha expresado su preocupación por posibles violaciones de los derechos civiles si las fuerzas del orden utilizan el acceso con clave de acceso a un dispositivo para buscar en muchos más dispositivos y cuentas en línea.
- La identificación de firmas biométricas únicas a partir de datos biológicos recopilados por relojes y dispositivos similares también puede ser posible, ya que pueden detectar la aparición temprana de enfermedades como COVID.
Dan Knauss es el generalista de contenido técnico de StellarWP. Ha sido escritor, profesor y autónomo trabajando en código abierto desde finales de la década de 1990 y con WordPress desde 2004.