TecTop
Si alguna vez soñó con crear una experiencia de inicio de sesión más segura y resistente al phishing, tenemos buenas noticias.
“Existe una gran posibilidad de que en unos años, el lanzamiento de claves de acceso de Apple como parte de iOS 16 sea recordado como el comienzo de un cambio revolucionario en la forma en que las empresas implementan el inicio de sesión para sus productos”, escribió Matthias Keller, kayaks científico jefe y vicepresidente sénior de tecnología, en un artículo de opinión de 2022 sobre el tema.
Las claves de acceso ofrecen una experiencia de inicio de sesión más rápida, fácil y segura para sus aplicaciones y sitios web. Son fuertes, resistentes al phishing y están diseñados para funcionar en dispositivos Apple, así como en dispositivos cercanos que no sean de Apple. Y debido a que están integrados con Touch ID y Face ID, las personas pueden usar claves de acceso como lo harían con cualquier otro sistema o rutina de inicio de sesión.
Una clave de acceso es una entidad criptográfica utilizada en lugar de una contraseña que se compone de dos claves: una pública y otra privada. La clave pública se registra con una aplicación o sitio web y se guarda en un servidor web, mientras que la clave privada se almacena en los dispositivos. Cuando alguien intenta iniciar sesión, la aplicación o el sitio web crea un desafío. La clave privada firma el desafío de crear una firma y la clave pública se usa para verificar esa firma sin revelar cuál es la clave privada.
Si bien están sucediendo muchas cosas detrás de escena, la mayoría de las personas no sabrán, o no necesitarán pensar en nada de eso. Con las claves de acceso, no hay nada que crear, proteger o recordar. Además, la clave privada se almacena en el llavero de iCloud y está encriptada de extremo a extremo para brindar otra capa de seguridad.
Kayak: “Tú solo inicias el proceso”
kayaks Keller no es solo un evangelista de seguridad digital con años de historia en el campo. También es padre, y eso plantea sus propios desafíos de seguridad.
“Entre las actividades y la escuela, constantemente estoy creando cuentas y contraseñas, todas las cuales tienen una variedad de estipulaciones”, dice Keller. “Algunos no pueden tener más de 16 caracteres, algunos requieren símbolos especiales y otros ni siquiera reconocerán un signo de exclamación. Y sé por experiencia que las empresas enfrentan desafíos similares cuando se trata de proteger las contraseñas”.
Keller ha estado involucrado con kayaks varios enfoques de inicio de sesión a lo largo de sus 10 años con la empresa. Antes de las claves de acceso, la aplicación se basaba en gran medida en «enlaces mágicos» enviados por correo electrónico. “Pero se estaba volviendo cada vez más complejo garantizar la seguridad de los enlaces mágicos, especialmente cuando se admiten inicios de sesión en todos los dispositivos”, dice Keller.
Cuando Keller oyó hablar por primera vez de las llaves maestras, supo que eran adecuadas para Kayac. “El momento en que hice clic fue cuando vi el primer prototipo y lo fácil que era de usar”, dice. Kayac fue uno de los primeros en admitir claves de acceso y lanzó su actualización al mismo tiempo que el lanzamiento público de la función en septiembre de 2022.
El Kayac El equipo pudo adoptar claves de acceso tan rápido en parte debido al marco subyacente y la documentación que respalda la función. “Trabajar en el servidor es mi día a día, pero no tengo miedo de hacer un poco de Swift también”, dice. “Afortunadamente, la integración de claves de acceso fue ligera en el lado de la interfaz de usuario. Solo teníamos que iniciar la experiencia proporcionada por Apple”.
Los comentarios fueron abrumadoramente positivos. En las primeras tres semanas de disponibilidad de la característica, miles de personas crearon claves de acceso en Kayac. Casi el 20 por ciento de ellos eran usuarios existentes que optaron manualmente por la nueva tecnología.
“El mundo antes de las llaves maestras estaba roto”, dice. “Tiene todas estas reglas de contraseña oscuras, así como problemas de vencimiento y cumplimiento, y puede ser extremadamente costoso ofrecer autenticación porque tiene que comprar productos de seguridad o contratar a alguien para que lo ejecute por usted”. El trabajo de Keller en Kayac es parte de un impulso mayor para que más empresas de todo el mundo admitan este nuevo estándar abierto, uno que protege a sus desarrolladores tanto como a sus clientes. “Ya no necesitas proteger millones de contraseñas. Ahora solo almacenamos claves públicas, que son bastante inútiles para los piratas informáticos”.
Para Keller, las claves de paso ahora son una parte crucial de kayaks estrategia de seguridad “Tenemos un largo viaje hasta que desaparezca la última contraseña, pero es emocionante ver hacia dónde nos dirigimos”, dice.
Robinhood: “Estamos hablando del ángulo emocional”
Para la aplicación de inversión Robin Hoodlas claves de acceso brindan una ventaja clave sobre otras opciones de inicio de sesión seguro: velocidad.
“Robin Hood es un producto en el que es posible que desee iniciar sesión y completar una acción urgente”, dice Hannarae Nam, gerente de producto de la aplicación para la seguridad de la cuenta. “Tal vez la apertura del mercado y [you] quiere hacer un intercambio inmediatamente. Tal vez [you] tener una opción de caducidad.” Escribir una contraseña o participar en la autenticación de dos factores puede consumir preciosos segundos y costarle un trato o un intercambio valioso.
Con claves de acceso, la aplicación puede proporcionar un proceso de inicio de sesión rápido que también ofrece la máxima seguridad. “Es fundamental entender que no estamos hablando solo de la capacidad de interactuar con Robin Hood para invertir y comerciar más”, dice Yong Rhee, líder de producto para la confianza y seguridad del cliente. “Estamos hablando del ángulo emocional de obtener acceso instantáneo a sus fondos”.
También se trata de proteger esos fondos. “Asegurarnos de que nuestros clientes no queden bloqueados es fundamental para nosotros”, dice Rhee. Las claves de acceso son administradas por el sistema operativo y respaldadas, sincronizadas y disponibles en todos los dispositivos de alguien. No es necesario escribir ni nada que recordar. Y las personas pueden volver fácilmente a sus cuentas incluso si pierden su teléfono.
de robinhood El equipo de seguridad impulsó las claves de acceso desde el principio como una posible solución para sus clientes. “Han sido firmes defensores de mencionar las vulnerabilidades de las contraseñas”, dice Rhee. El equipo implementó claves de acceso para un porcentaje de clientes en diciembre de 2022, aunque planean continuar manteniendo su contraseña existente y el sistema de autenticación de dos factores a medida que se implementa la adopción de claves de acceso. “Creo que cuando los clientes se pongan al día con la tecnología, entenderán y se sentirán más seguros con la seguridad de la cuenta”, dice Rhee.
Instacart: “Parecía una combinación perfecta”
Instacart El ingeniero móvil sénior Josh Schroeder estaba de baja por paternidad cuando se introdujeron las claves de acceso en la WWDC22, pero tomó nota para profundizar en la idea a su regreso. “Entre la fricción reducida y la seguridad mejorada, parecía una combinación perfecta”, dice.
El Instacart El equipo aprobó la idea rápidamente, alentado por la oportunidad de reducir la fricción de inicio de sesión. “Ese fue el punto de venta más importante para mí”, dice Brandon Lawrence, de instacart Ingeniero de programación superior. “Bueno, eso y no tener que recordar otra contraseña.”
Para Instacart, también hubo un segundo beneficio: la oportunidad de reducir las cuentas duplicadas. “Cuando no recuerdan su contraseña, muchas personas simplemente crean otra cuenta”, dice Schroeder. Las claves de acceso evitan esa duplicación innecesaria (y molesta). Debido a que los dispositivos realizan un seguimiento de las claves de paso, no hay nada que recordar.
El proceso de implementación inicial hizo que Lawrence, que pasó parte de su carrera pretecnológica como meteorólogo en la Infantería de Marina, se sintiera como un pionero de las llaves maestras. “Para gran parte de lo que construimos, podemos mirar a las muchas personas que lo han hecho antes. Esta vez hubo mucha más exploración, un poco más de sensación de estar en un territorio desconocido. Una vez que lo pusimos en su lugar, fue relativamente suave”.
Hoy en día, las claves de acceso se presentan como la opción de inicio de sesión predeterminada al crear un Instacart cuenta con una dirección de correo electrónico (aunque si alguien se niega, la aplicación ofrece la opción de crear una contraseña tradicional). Más de la mitad de los nuevos Instacart los clientes que crearon cuentas con una dirección de correo electrónico han adoptado la función y hay planes en marcha para convertir gradualmente también las cuentas existentes. “Creemos en las llaves maestras”, dice Schroeder, “y creemos que esto se volverá muy común”.
Recursos
Conoce las claves de paso
Es hora de una actualización de seguridad: aprenda a agregar soporte para claves de acceso para crear una experiencia de inicio de sesión rápida y fácil para las personas, al mismo tiempo que ofrece un aumento radical de la seguridad de la cuenta. Las claves de acceso son credenciales simples y sólidas creadas para eliminar los ataques de phishing. Compartiremos cómo las claves de paso…
Preguntas y respuestas con el equipo de claves de paso
Obtenga respuestas del equipo de claves de paso sobre adopción, recuperación de cuentas, dispositivos múltiples y más.
Resumen de claves de acceso
Acerca de la seguridad de las claves de paso
Claves de acceso compatibles
Conexión a un servicio con claves de paso
