Cómo Apple, Google y Microsoft acabarán con las contraseñas y el phishing de un solo golpe

Durante más de una década, hemos recibido promesas de que un mundo sin contraseñas está a la vuelta de la esquina y, sin embargo, año tras año, este nirvana de seguridad ha demostrado ser esquivo. Ahora, por primera vez, una forma viable de autenticación sin contraseña está a punto de estar disponible para las masas en la forma de un estándar adoptado por Apple, Google y Microsoft que permite pasar claves entre plataformas y servicios.

Los esquemas de eliminación de contraseñas forzados en el pasado han tenido una serie de problemas. Uno de los principales inconvenientes era la falta de un mecanismo de recuperación viable cuando alguien perdía el control de los números de teléfono o códigos físicos y teléfonos asociados con una cuenta. Otra limitación es que, en última instancia, la mayoría de las soluciones no son, de hecho, realmente sin contraseña. En su lugar, les dieron a los usuarios opciones para iniciar sesión con un escaneo facial o de huellas dactilares, pero estos sistemas eventualmente recurrieron a una contraseña, lo que significa phishing, reutilización de contraseñas y olvido de códigos de acceso, todas las razones por las que odiamos las contraseñas para empezar, ¿por qué no ir?

nuevo enfoque

Lo que es diferente esta vez es que Apple, Google y Microsoft parecen estar colaborando en la misma solución bien definida. No solo eso, sino que la solución es más fácil que nunca para los usuarios y es menos costosa para grandes servicios como Github y Facebook. Además ha sido meticulosamente diseñado y revisado por expertos en autenticación y seguridad.

Los métodos de autenticación multifactor (MFA) existentes han logrado avances significativos en los últimos cinco años. Google, por ejemplo, me permite descargar una aplicación de iOS o Android que utilizo como segundo factor cuando inicio sesión en mi cuenta de Google desde un dispositivo nuevo. Basado en CTAP – abreviatura de Cliente para el protocolo del autenticador—Este sistema utiliza tecnología Bluetooth para garantizar que el teléfono esté cerca del nuevo dispositivo y que el nuevo dispositivo esté, de hecho, conectado a Google y no a un sitio que se hace pasar por Google. Esto significa que es incorruptible. El estándar garantiza que el secreto de cifrado almacenado en el teléfono no se pueda extraer.

Google también proporciona un archivo Programa de Protección Avanzada Requiere claves físicas en forma de un dongle independiente o teléfonos de usuarios finales para autenticar los inicios de sesión desde nuevos dispositivos.

La gran limitación ahora es que la autenticación sin contraseña y la autenticación MFA se implementan de manera diferente, si es que lo hacen, por cada proveedor de servicios. Algunos proveedores, como la mayoría de los bancos y servicios financieros, aún envían contraseñas de un solo uso por SMS o correo electrónico. Al darse cuenta de que estos no son medios seguros para transmitir secretos sensibles a la seguridad, muchos servicios se han movido a un método conocido como TOTP, que es un acrónimo de Contraseña de un solo uso basada en el tiempo– para permitir que se agregue un segundo factor, que efectivamente aumenta la contraseña por un factor de «algo que tengo».

Las claves de seguridad físicas y los TOTP y, en menor medida, la autenticación de dos factores a través de SMS y correo electrónico son un importante paso adelante, pero quedan tres limitaciones principales. Primero, los TOTP se generan a través de aplicaciones de autenticación y se envían por mensaje de texto o correo electrónico. engañable, de la misma manera que las contraseñas normales. En segundo lugar, cada servicio tiene su propia plataforma MFA cerrada. Esto significa que incluso cuando se utilizan formas no separables de MFA, como claves físicas independientes o claves basadas en teléfonos, el usuario necesita una clave separada para Google, Microsoft y todas las demás propiedades de Internet. Para empeorar las cosas, cada plataforma de sistema operativo tiene diferentes mecanismos para implementar el MFA.

Estos problemas dan paso a un tercer problema: la absoluta falta de uso para la mayoría de los usuarios finales y el costo y la complejidad contraintuitivos que encuentra cada servicio al intentar ofrecer MFA.