El futuro es sin contraseña: cómo las llaves maestras simplificarán su vida y nos protegerán a todos

Publicado: 2022-11-16

No es ningún secreto que la autenticación sin contraseña se está imponiendo. Los líderes tecnológicos mundiales, como Apple, Google y Microsoft, se están inclinando hacia el uso de claves de paso. Aprovechando la criptografía de clave pública, las claves de acceso brindan una experiencia que casi cambia el paradigma de la seguridad digital.

iThemes ha liderado el camino para hacer que WordPress y, en última instancia, todo Internet sea más seguro y útil para todos. El futuro es sin contraseña, y estamos aquí para decirle por qué.

En esta guía para la autenticación sin contraseña, aprenderá cómo las claves de acceso superan las vulnerabilidades de seguridad de la autenticación basada en contraseña y por qué debería comenzar a usarlas.

El camino hacia la autenticación sin contraseña

El viaje hacia la autenticación sin contraseña ya ha comenzado. Todos los principales navegadores y gigantes tecnológicos han introducido soporte completo para claves de paso. 2022 se ha convertido en un nuevo hito en la implementación de inicios de sesión sin contraseña más consistentes, seguros y fáciles en múltiples dispositivos y plataformas digitales.

Cada año, el Día Mundial de la Contraseña, designado como el primer jueves de mayo, celebra los nuevos avances realizados en un esfuerzo conjunto para hacer que la web sea más segura y usable para todos. El 5 de mayo de 2022, Apple, Google y Microsoft anunciaron planes para ampliar la compatibilidad con el estándar de inicio de sesión sin contraseña creado por FIDO Alliance y World Wide Web Consortium.

Durante años, FIDO (Fast Identity Online) Alliance y World Wide Web Consortium han estado trabajando en un conjunto de estándares que permitirán implementar la autenticación sin contraseña en Internet. FIDO 2 es el conjunto de especificaciones más nuevo, ahora compatible con la mayoría de los navegadores y plataformas.

Revisaremos cómo funciona la autenticación sin contraseña con más detalle más adelante en la guía. Pero antes de eso, veamos por qué la autenticación de contraseña se está convirtiendo gradualmente en una cosa del pasado.

¿Por qué se deja atrás la autenticación basada en contraseña?

La autenticación basada en contraseña ha estado con nosotros durante casi todo el tiempo que existe Internet, lo que permite a los usuarios iniciar sesión en un sitio web o una aplicación web mediante el uso de un par de credenciales: un nombre de usuario y una contraseña. Este enfoque ha demostrado su confiabilidad y versatilidad y ha sido el estándar de la industria durante años.

Sin embargo, a pesar de su fácil implementación y uso, se descubrieron rápidamente numerosos inconvenientes y riesgos de seguridad asociados con la autenticación basada en contraseña tanto en el lado del usuario como en el del servidor. En pocas palabras, tanto los usuarios como los servidores carecen de la capacidad para mantener seguro el secreto compartido.

Los principales riesgos de seguridad asociados con la autenticación basada en contraseña se centran en el uso de la contraseña como secreto compartido. Esto puede estar disponible para un actor malicioso en diferentes etapas del proceso de autenticación. Las contraseñas se pueden violar o simplemente adivinar debido a un ataque de fuerza bruta exitoso.

3 formas comunes en que se exponen las contraseñas

Los estudios han demostrado que más del 80% de todas las infracciones relacionadas con la piratería se atribuyen a compromisos de contraseñas. Significa que, en algún momento, el pirata informático logró obtener acceso no autorizado al sistema haciéndose pasar por el propietario legítimo de un sitio web o una aplicación web. Pero, ¿cómo se piratean exactamente los sitios web?

Las formas más comunes en que se exponen las contraseñas incluyen phishing, ataques de fuerza bruta y violaciones de datos. Los usuarios pueden ser engañados para que den su información de autenticación. O las contraseñas se pueden adivinar o filtrar en caso de una violación de datos por parte del proveedor de servicios.

Ataques de fuerza bruta y violaciones de datos

Los ataques de fuerza bruta están aumentando y representan aproximadamente el 80 % de todos los ataques a la red. Dado que la adivinación de contraseñas se ha automatizado, el atacante no tarda mucho en descifrar ninguna cuenta.

La máquina del hacker (o incluso una red de computadoras conocida como botnet) puede generar miles de combinaciones por segundo. Esto permite que el atacante obtenga acceso no autorizado a un sitio web o una aplicación web en muy poco tiempo.

Y si se pregunta por qué un hacker atacaría su sitio web, la explicación es simple. Los piratas informáticos tienen la capacidad de realizar miles de solicitudes web por segundo. Rara vez eligen los sitios web en los que les gustaría ingresar; intentarán piratear tantos como sea posible.

Obtener acceso de administrador a un sitio web o incluso a un servidor completo abre oportunidades casi ilimitadas para que los piratas informáticos exploten el sistema. Uno de los cuales es la filtración de información de usuarios, incluidos nombres de usuario y contraseñas, de la base de datos de la aplicación.

Por qué el uso de contraseñas seguras no abordará todos los riesgos de seguridad

El uso de contraseñas seguras es absolutamente esencial y proporcionará una sólida línea de defensa contra los ataques de fuerza bruta. Se cree que el uso de una contraseña segura soluciona todos los riesgos de seguridad. Sin embargo, solo puede disminuir las posibilidades de que sus credenciales se vean comprometidas hasta cierto punto.

Solo alrededor del 30% de los usuarios configuran la autenticación de dos factores. Sin usar la autenticación de múltiples factores, los piratas informáticos están a solo un paso de obtener acceso a información confidencial.

Configurar contraseñas de un solo uso, verificación por SMS o cualquier otro tipo de 2FA es una excelente opción para superar la mayoría de las vulnerabilidades de seguridad de la autenticación de contraseñas. Sin embargo, las claves de acceso pueden marcar una verdadera diferencia en el mundo de la ciberseguridad.

claves de paso

¿Qué son las claves de paso?

Las claves de acceso son credenciales digitales impulsadas por criptografía asimétrica que pueden reemplazar completamente la autenticación basada en contraseña. Como una forma de autenticación sin contraseña, las claves de acceso brindan una forma más rápida y segura de iniciar sesión en servicios y aplicaciones en múltiples dispositivos de usuario.

La autenticación sin contraseña le permite evitar tener que ingresar un nombre de usuario y una contraseña para iniciar sesión. En su lugar, su dispositivo generará una clave de paso, un par de claves criptográficas que identificará una determinada ID de credencial.

Cómo las claves de acceso garantizan una autenticación segura

Cada clave de acceso que crea es única y se aplica a un sitio web o aplicación web individual. Como no hay secretos compartidos ni contraseñas que el usuario deba recordar, las claves de acceso brindan protección total contra ataques de phishing y de fuerza bruta.

Una vez que se crea una nueva clave de acceso, el servidor guardará la clave pública y la identificación de la credencial. La clave privada se almacenará de forma segura en el dispositivo del usuario o en una clave de seguridad de hardware como YubiKey que puede llevar consigo.

Para admitir claves de paso, el dispositivo del usuario debe tener el chip de seguridad Trusted Platform Module (TPM) para realizar operaciones criptográficas, como generar claves y un autenticador de plataforma. El autenticador de la plataforma generalmente admitiría múltiples tipos de verificación de identidad, incluida la información biométrica y los códigos PIN.

Las claves de acceso también se pueden sincronizar automáticamente entre los dispositivos del usuario a través de un servicio en la nube. Por lo tanto, no tiene que crear un nuevo par de claves en otros dispositivos. La sincronización de la clave de acceso está cifrada de extremo a extremo y el servicio en la nube almacenará de forma segura una copia cifrada de la clave de acceso.

Incluso si la clave pública se filtra, será inútil para el hacker sin la clave privada correspondiente. Esto elimina cualquier posibilidad de acceso no autorizado debido a una violación de datos. No hay forma real de que un actor malicioso se haga pasar por ti.

¿Cómo funcionan las claves de paso?

El uso de claves de acceso se ha hecho posible gracias al desarrollo de la criptografía asimétrica y varios estándares y protocolos creados por FIDO Alliance y World Wide Web Consortium. Revisemos cómo funcionan las claves de paso con más detalle aprendiendo más sobre criptografía de clave pública, WebAuthn y Client to Authenticator Protocol.

Criptografía de clave pública

La clave pública, o criptografía asimétrica, implica un par de claves, privada y pública, que se utilizan para cifrar y descifrar datos intercambiados por diferentes partes. La clave privada debe mantenerse en secreto mientras la clave pública se publica en línea (o se entrega al servidor cuando se crea una clave de paso).

Además de la autenticación sin contraseña, la criptografía asimétrica ayuda a garantizar el cifrado de extremo a extremo para proteger el tráfico que viaja por la red. Un certificado SSL/TLS tiene la clave privada instalada en el servidor de origen, mientras que la clave pública se usa para verificar la identidad de un sitio web antes de establecer una conexión.

API de autenticación web (WebAuthn) y protocolo de cliente a autenticador

Junto con el protocolo de cliente a autenticador, la API de autenticación web forma parte del marco FIDO2, un conjunto de tecnologías que hacen posible el uso de autenticación sin contraseña entre servidores, navegadores y autenticadores.

WebAuthn, abreviatura de Web Authentication API, es una nueva especificación desarrollada por World Web Consortium y FIDO que permite a los servidores implementar la autenticación sin contraseña. A partir de 2019, WebAuthn es compatible con todos los principales navegadores, incluidos Chrome, Firefox, Safari y Edge.

Como interfaz de programación de aplicaciones, WebAuthn permite que los sitios web y las aplicaciones web registren y autentiquen a los usuarios mediante claves de acceso en lugar de contraseñas.

La autenticación web funciona junto con otros estándares FIDO, como Credential Management y Client to Authenticator Protocol 2 (CTAP 2). CTAP 2 es un protocolo de capa de aplicación que especifica la comunicación entre el navegador, el sistema operativo y un autenticador móvil.

Registro de una clave de acceso

Cuando registra una nueva clave de acceso para autenticarse, el servidor que aloja la aplicación generará un desafío. Luego, su dispositivo creará un nuevo par de claves, firmará el desafío y enviará la clave pública al servidor, junto con la identificación de la credencial.

El servidor guardará la clave pública y el identificador de credenciales para autenticarte la próxima vez que inicies sesión. Puedes crear varias claves de acceso para cada cuenta por motivos de redundancia. Esto también ayuda a una recuperación más rápida de la cuenta en caso de que se pierda la clave principal.

La clave privada se guardará en su dispositivo y se almacenará de forma segura allí. La única forma de acceder a la clave privada es verificando su identidad mediante un sensor biométrico. Esto incluye su huella digital o patrones faciales o un PIN.

El proceso de autenticación sin contraseña

Una vez que se crea una nueva clave de acceso para su cuenta, puede aprovechar la autenticación sin contraseña cada vez que necesite iniciar sesión en un sitio web o una aplicación. En lugar de iniciar sesión con un nombre de usuario y una contraseña, puede optar por utilizar una clave de acceso.

El servidor enviará la identificación de la credencial (o varias identificaciones si ha generado más de una clave de paso para la cuenta) y un desafío. Luego, su dispositivo usará la identificación de la credencial para encontrar la clave correcta y le solicitará que valide su identidad mediante uno de los métodos de autenticación admitidos.

Una vez que se desbloquee la clave, su dispositivo firmará el desafío y lo enviará al servidor para su autenticación. El servidor verificará el desafío firmado utilizando la clave pública del par y otorgará acceso a su cuenta.

iThemes trae la autenticación sin contraseña a WordPress

WordPress siempre ha sido un objetivo de alta prioridad para los piratas informáticos de todo el mundo.

El aumento en la cantidad de ataques a los sitios web de WordPress y los volúmenes globales de malware no pasan desapercibidos. Dado que los ataques maliciosos se dirigen a más personas, la seguridad del sitio web ahora es más importante que nunca.

Durante años, iThemes ha estado buscando nuevas formas de proteger los sitios web de WordPress de las amenazas de seguridad cada vez mayores. Los informes semanales de vulnerabilidad de WordPress nos han ayudado a comprender cómo proteger una de las áreas críticas de un sitio web de WordPress: su panel de administración.

Las claves de acceso son, sin duda, una de las innovaciones más notables en el mundo de la ciberseguridad. La creciente adaptación de las claves de acceso a través de plataformas y sistemas operativos puede cambiar Internet para siempre. Las claves de acceso de WordPress pueden marcar una diferencia real en la seguridad de WordPress. Y iThemes no esperó ni un minuto más para poner la autenticación sin contraseña a disposición de la comunidad de WordPress.

En septiembre de 2022, iThemes Security Pro incluyó soporte para contraseñas de WordPress para la autenticación sin contraseña. Al traer los últimos desarrollos en seguridad cibernética a su sitio web de WordPress, iThemes Security Pro ha dado un gran paso hacia una experiencia de autenticación más segura y consistente.

Con iThemes Security Pro, las claves de acceso para la autenticación de WordPress están disponibles en todo tipo de dispositivos. Puede usar un autenticador de plataforma como Apple Touch ID, Face ID y Windows Hello, así como cualquier autenticador móvil.

Comience a usar claves de acceso para WordPress

Para comenzar a usar claves de acceso para la autenticación de administrador de WordPress, asegúrese de actualizar iThemes Security Pro a la última versión. La opción para habilitar la autenticación sin contraseña estará disponible en la pestaña Seguridad de inicio de sesión. Una vez que se habilite la compatibilidad con las claves de acceso, configure las claves de acceso para los usuarios de WordPress desde el panel de administración.

Si aún no está aprovechando las actualizaciones automáticas del núcleo, el tema y los complementos de WordPress, es hora de comenzar. BackupBuddy, una solución de copia de seguridad galardonada para WordPress, lo ayudará a crear una estrategia de copia de seguridad sólida para manejar todas las actualizaciones con confianza.

¿Tienes más de un sitio web? iThemes Sync lo ayudará a administrar múltiples sitios web de WordPress desde un solo tablero, ahorrándole tiempo y dinero. Monitoreo avanzado, seguimiento de métricas de SEO e integración con BackupBuddy e iThemes Security Pro, todo disponible para usted con su asistente personal de sitio web de WordPress.

Cómo implementan los gigantes tecnológicos las claves de acceso

Los tres gigantes tecnológicos globales, Apple, Google y Microsoft, han liderado el camino hacia la autenticación sin contraseña en todos los principales navegadores y sistemas operativos. Android, iOS y Windows ahora pueden usar potentes autenticadores de plataforma integrados y sincronizar claves de acceso en varios dispositivos.

Manzana

Apple ha introducido claves de acceso con el lanzamiento de IOS 16 y macOS Ventura, lo que hace que la autenticación sin contraseña esté disponible para los usuarios en todos los dispositivos Apple. Los autenticadores integrados de Apple, como Touch ID y Face ID, autorizan el uso de claves de acceso en Safari y otros navegadores importantes.

Las claves de paso se sincronizan en todos los dispositivos Apple de los usuarios con la ayuda del llavero de iCloud. Cuando un usuario habilita el llavero de iCloud por primera vez, el dispositivo Apple establece un círculo de confianza y crea un nuevo par de claves único almacenado en el llavero del dispositivo. De esta forma, el llavero de iCloud proporciona cifrado de extremo a extremo con claves criptográficas sólidas.

Google

En octubre, Google anunció que traería soporte de clave de acceso a Google Chrome y Android. Este fue un hito importante en la integración de claves de paso en el ecosistema. En Chrome y Android, las claves de acceso se almacenan en Google Password Manager. Las credenciales se sincronizan entre los dispositivos del usuario que iniciaron sesión en la misma cuenta de Google.

En el futuro, Google planea ampliar la compatibilidad con las claves de acceso para Android. Una nueva API permitirá el uso de claves de acceso para aplicaciones de Android.

microsoft

Microsoft ha estado a la vanguardia en la implementación de la autenticación sin contraseña en Internet. Antes de 2022, ya se incluía compatibilidad con claves de acceso para Windows 365 y Azure Virtual Desktop.

Microsoft habilita los inicios de sesión sin contraseña con Windows Hello, un autenticador de plataforma robusto ahora integrado en Windows 10 y 11. La implementación de claves de acceso de Microsoft es similar a la de Apple. Le permite sincronizar sus claves de acceso entre dispositivos registrados en la misma cuenta de Microsoft.

Otras empresas que utilizan claves de acceso

Varias empresas ya han adoptado la autenticación sin contraseña basada en los estándares desarrollados por FIDO Alliance. PayPal, Amazon, eBay, Facebook, Netflix e IBM se encuentran entre los innovadores que llevan la autenticación sin contraseña a sus plataformas.

Terminando

Con base en la criptografía asimétrica y muchos protocolos y especificaciones poderosos desarrollados por FIDO Alliance y World Web Consortium, las claves de acceso pueden reemplazar completamente la autenticación basada en contraseña en un futuro cercano. Las empresas de tecnología más grandes están ampliando gradualmente el soporte para claves de paso. Pronto podemos olvidarnos de los ataques de fuerza bruta y el acceso no autorizado.

Después de años de encontrar la solución adecuada para brindar una experiencia de autenticación más consistente, las claves de acceso están aquí para simplificar nuestras vidas y protegernos. ¿Ya deberías olvidar qué son las contraseñas? Todavía no, pero definitivamente necesita estar listo para usar claves de paso.

¡El futuro de la autenticación son las claves de paso! Inicie sesión en su sitio de WordPress con Biometrics solo disponible en iThemes Security Pro

Los problemas de los ataques de fuerza bruta a través del relleno de credenciales, los ataques de phishing y las contraseñas reutilizadas han hecho que nuestra vida digital sea menos segura. Todos hemos tratado de fomentar la autenticación de 2 factores como protección, pero menos del 30 % de los usuarios realmente usan 2FA. Los inicios de sesión basados ​​en contraseña son un problema.

El futuro de la autenticación son las claves de acceso, e iThemes Security Pro es el primero en llevar esta tecnología innovadora a los sitios de WordPress. Mediante el uso de la innovadora tecnología WebAuthn basada en criptografía pública/privada, las claves de acceso hacen que las contraseñas queden obsoletas. Ahora, los administradores de sitios web y los usuarios finales pueden tener inicios de sesión seguros sin la inconveniencia de aplicaciones adicionales de dos factores, administradores de contraseñas o requisitos de contraseñas complejas.

Obtenga más información sobre las claves de paso