in

RIP Día Mundial de la Contraseña

Esta ilustración muestra una llave electrónica.
Imagen: Adobe Stock/ArtemisDiana

Hoy es Día Mundial de la Contraseña, pero ayer fue un punto de inflexión que puede obligar a cambiar el evento del próximo año, tal vez lo llamemos «Día mundial sin contraseña» o «Día de la memoria de la contraseña». Google anunció en la conferencia RSA de este año que ahora admite claves de acceso en todas las cuentas en todas sus plataformas principales.

Los operadores de gestión de identidades y credenciales también hablaron en RSA sobre la caducidad de las contraseñas. Si bien los expertos en seguridad acordaron que el cambio no ocurrirá de la noche a la mañana, algunos dijeron que el anuncio de Google representa un cambio radical en el espacio de seguridad.

Salta a:

La industria cambia a claves de acceso en todos los dispositivos

Aquí hay algunas estadísticas reveladoras de Jurado tecnológico: El 52 % de los estadounidenses usa la misma contraseña para varias cuentas y el 13 % usa una contraseña para todas.

El anuncio de Google llega un año (exactamente) después de que la empresa, junto con Microsoft, Apple y otros, anunciaran que comenzarían el cambio a las claves de acceso con soporte ampliado para un estándar común de inicio de sesión sin contraseña creado por Fast Identity Online Alliance and the World Consorcio Wide Web.

VER: Apple promociona Passkey (TechRepublic)

“Desde entonces, Apple y Google han preparado sus sistemas operativos para que los proveedores de servicios permitan inicios de sesión con claves de acceso que se sincronizan entre dispositivos: Windows 10 y 11 han admitido durante mucho tiempo claves de acceso vinculadas a dispositivos en Windows Hello, y las claves de acceso de dispositivos iOS o Android pueden también se puede usar para iniciar sesión en sitios en Chrome o Edge en Windows”, Andrew Shikiar, director ejecutivo y director de marketing de FIDO Alliance. escribió.

Aquí FIDO2!

La Alianza FIDO colaboró ​​con la industria para desarrollar el proyecto de clave de acceso FIDO2, una plataforma de autenticación de múltiples factores. Utiliza autenticadores, originalmente claves similares a unidades flash que se conectan a un puerto USB, pero que también podrían ser, por ejemplo, un teléfono inteligente.

Hay tres especificaciones de la industria para la autenticación de clave de acceso basada en criptografía de clave asimétrica, o claves públicas, que constituyen el proyecto FiDO2:

  • Un protocolo de criptografía de clave pública resistente al phishing que incluye estándares FIDO para la autenticación de dos factores.
  • El marco de autenticación universal de FIDO es un estándar abierto que admite la autenticación sin contraseña con dispositivos de usuario final.
  • Client to Authenticator Protocols es complementario al Especificación de autenticación web (WebAuthn) de W3C.

Las claves de acceso proporcionan una forma de liberar claves privadas del dispositivo que las contiene. En lugar de una contraseña en un servidor y el secreto en la cabeza del usuario, la criptografía de clave pública almacena una clave única en el dispositivo. Una clave pública, como una huella digital, cifra los datos. La clave privada nunca sale del dispositivo, explicó Shikiar.

“Antes de las claves de acceso, digamos que me inscribí en ‘ecommerceProvider.com’ en mi iPhone y visité el mismo sitio en mi iPad. También tendría que inscribir mi iPad, mi PC y todo lo demás”, dijo Shikiar.

“Tendría que recordar esa contraseña y mantenerla al frente y al centro. Es inconveniente y contrario a la intuición de la dirección general en la que va la gente. Passkeys permite la sincronización de la clave privada, que luego está en su dispositivo pero también sincronizada en la nube. Esto significa que si voy a ese sitio web desde mi teléfono o mi iPad, automáticamente me reconoce por mi ID de usuario”, agregó.

Según la Alianza FIDO Barómetro de autenticación en líneapublicado en octubre pasado, el 57% de los consumidores estadounidenses encuestados expresaron interés en usar claves de acceso para reemplazar las contraseñas, en comparación con el 39% que dijo que simplemente estaba familiarizado con el concepto de claves de acceso.

En su nueva encuesta basada informela Alianza encontró:

  • Más del 47% de los encuestados dijeron que están al menos algo familiarizados con las claves de acceso y el 57% está interesado en usar claves de acceso para iniciar sesión en sus cuentas.
  • Las contraseñas siguen siendo el método de inicio de sesión más utilizado, pero los consumidores ahora prefieren usar datos biométricos en lugar de contraseñas (29 % frente a 19 %).
  • Casi el 60% de los consumidores han abandonado compras en los últimos seis meses debido a una contraseña olvidada.
  • El noventa por ciento de los consumidores informan que tienen que restablecer o recuperar contraseñas
  • El trece por ciento de los encuestados dijo que debe recuperar las contraseñas diariamente o varias veces por semana y casi el 60 % informó varios restablecimientos de contraseña por trimestre.
  • El veintinueve por ciento dijo que prefiere iniciar sesión con datos biométricos.
  • El setenta por ciento dijo que usa contraseñas que tienen un año.

Administradores de contraseñas y proveedores de IAM ingresados

Las empresas de administración de acceso a la identidad como Cisco’s Duo, así como Okta y 1Password, se están moviendo rápidamente hacia un futuro biométrico y de claves de paso. FIDO señaló que PayPal, Yahoo! Japan, NTT DOCOMO, CVS Health, Shopify, Mercari, Kayak y SK Telecom se encuentran entre muchos otros que están haciendo lo mismo.

A partir de este verano, 1Password, que lanzó el inicio de sesión universal a principios de este año, permitirá a los clientes almacenar, administrar y usar claves de acceso para acceder a sus cuentas en línea a través de 1Password en el navegador. Uno de los objetivos de la empresa es desbloquear las claves de acceso de dispositivos específicos (en caso de que intente iniciar sesión en una cuenta desde un dispositivo nuevo) con un autenticador 2FA móvil para claves de acceso.

En la conferencia de RSA, el CEO de 1Password, Jeff Shiner, dijo a TechRepublic que el cambio de la sociedad a las claves de paso no ocurrirá de la noche a la mañana porque las contraseñas, a pesar de todas sus limitaciones, son familiares.

“Convencer a la gente de pasar a algo nuevo requiere generar confianza en la seguridad de las nuevas tecnologías”, dijo.

“Por ejemplo, con los datos biométricos es importante que las personas entiendan que sus datos de huellas dactilares, por ejemplo, permanecen en el dispositivo. No se envía a 1password. Tenemos que educarlos en que la biometría es más segura”, agregó.

“Tomará tiempo dejar completamente de usar contraseñas dependiendo de cada empresa y sus clientes. Por cada encuesta que ve sobre contraseñas, tiende a haber un 20 y tanto por ciento de personas obstinadas que las prefieren. Y debido a eso, tomará tiempo alejarse completamente de ellos”, coincidió Shikiar.

La función Watchtower de 1Password les permite a los usuarios saber cuándo las contraseñas almacenadas en la bóveda de 1Password se han visto comprometidas y alerta a los usuarios cuando los sitios web comienzan a admitir claves de acceso.

La compañía también lanzó Passkey.directory, que rastrea sitios web que tienen claves de paso y permite a los usuarios votar en sitios que deberían tener acceso con claves de paso.

VER: Más aquí sobre el futuro sin contraseña de 1Password

Desde el punto de vista de Shiner, la adopción de claves de paso en el comercio electrónico es inminente debido a los beneficios de seguridad y marketing.

“Home Depot, por ejemplo, tiene millones de clientes y tiene que almacenar y proteger todas esas contraseñas, lo que pone mucho riesgo al CISO”, dijo.

“Desde el lado de CMO, es una preocupación igual porque ¿cuántas personas en el medio de pagar abandonan su carrito porque los problemas con su contraseña se convierten en un punto de fricción? Las claves de acceso son más seguras, brindan una experiencia mucho mejor y son mejores desde el punto de vista de la seguridad, el costo y el riesgo, y estoy protegido por la propiedad del dispositivo, por lo que estoy reduciendo la superficie de ataque”.

Tu dispositivo es tu huella digital

Fleming Shi, director de tecnología de la empresa de tecnología de seguridad, redes y almacenamiento Barracuda Networks, dijo que la tecnología sin contraseña es ideal porque su dispositivo se convierte en una extensión de su identidad.

“Es un TPM: módulo de plataforma confiable. Lo bueno de esto es que su dispositivo es su punto de confianza, en lugar de depender de un token o MFA, el dispositivo en sí mismo es la clave, una extensión de lo que usted es. Y, en general, esa confianza entre usted y el dispositivo está altamente administrada”, dijo.

Barracuda trabaja con una firma de gestión de identidad de la fuerza laboral sin contraseña TruUque utiliza datos adicionales y telemetría para determinar la identidad del usuario en función de puntos de datos como la hora de inicio de sesión y la ubicación.

“Se convierte en una forma más refinada de identificarse”, dijo Barracuda.

De gestores de contraseñas a gestores de claves

Shikiar dijo que los administradores de contraseñas, o claves, se convertirán en una parte fundamental del ecosistema de administración de identidades.

“Muchos consumidores usan administradores de contraseñas porque viven en un mundo multiplataforma. Los administradores de contraseñas le brindan una implementación multiplataforma independiente. Si actualmente utiliza administradores de contraseñas para sus contraseñas, hará lo mismo con sus claves de paso. Estamos trabajando en formas de formalizar ese proceso”, dijo.

El imperativo de la llave maestra: los humanos son el nuevo perímetro

En la Conferencia RSA, Cisco anunció que su aplicación de autenticación de identidad Duo expandiría la tecnología Trusted Endpoints a todos los usuarios con un dispositivo registrado o administrado, que incluye inicio de sesión sin contraseña.

Iva Blazina Vukelja, vicepresidenta de productos de confianza cero en Cisco, dijo que un problema con las claves de acceso no es solo que se comparten entre dispositivos, sino que se comparten entre personas. FIDO2 aborda esto con un protocolo de autenticación itinerante o cliente a protocolo de autenticación, incorporado por dispositivos como YubiKey o mediante capacidades de teléfonos inteligentes.

“Le permite tener su teléfono como un autenticador de roaming de manera similar a una clave de acceso y le permite compartir entre dispositivos, sin compartir entre diferentes personas que se supone que no deben tener acceso a esos dispositivos”, explicó.

Señaló que después de la COVID, con la explosión del trabajo remoto e híbrido, los imperativos de seguridad en torno a la necesidad de pasar a las claves de acceso tienen que ver con el ser humano como la nueva superficie de amenaza.

“En los últimos 12 a 18 meses, hemos visto una cantidad sin precedentes de ataques a los protocolos de autenticación de múltiples factores. ¿Qué provocó eso? El acceso remoto es el número uno”, dijo, y agregó que una combinación de factores hace que las personas sean la quinta rueda perfecta para el carro de seguridad.

“El 40 % de las aplicaciones corporativas son software como servicio y el 80 % de nuestros clientes corporativos permiten dispositivos no administrados en sus redes. La confluencia de éste establece la identidad personal, el usuario, la persona, como un nuevo perímetro. Un atacante ubicado a 4,000 millas de distancia puede engañar a su usuario final para que revele su nombre de usuario, contraseña y token MFA para acceder a una aplicación SaaS, y usted en el SOC no lo verá porque el atacante ha hecho todo esto sin cruzar su red, y no lo vieron porque su punto final tampoco fue violado. Es el humano el que fue violado. Y ese perímetro está mal administrado y no se observa”.

Fuente

Eiichiro Oda revela cuándo deberá hacer un live-action de One Piece junto a Netflix

Eiichiro Oda revela cuándo deberá hacer un live-action de One Piece junto a Netflix

Hace 25 años conocimos el Mac que lo cambió todo