El fin de las contraseñas

26/05/22

Cada día más cerca del fin de las contraseñas.

 

Apple, Google y Microsoft se comprometen acelerar la disponibilidad de los inicios de sesión sin contraseña, con el estándar FIDO Alliance.

Por fin!, ¿se acabaron las contraseñas.?

Aún no, pero a estas alturas, debería quedarles poca vida, se acerca el fin de las contraseñas.

Si tres gigantes de internet agilizan la integración de FIDO con sus servicios, los sitios web y las aplicaciones ofrecerán inicios de sesión sin contraseña, consistentes, seguros y fáciles para el usuario en todos los dispositivos.

 

FIDO Alliance

 

La Alianza FIDO (Fast Identity Online), creada por las compañías tecnológicas líderes en el mundo, tiene como objetivo cambiar la forma de autenticación ‘online’ para hacerla más segura y cómoda.

La Alianza FIDO ha generado una serie de estándares técnicos que facilitan inicios de sesión seguros y rápidos, tanto para sitios web como para aplicaciones.

Aquí puedes ver el vídeo explicativo de FIDO.

Por ejemplo, con la identificación de usuarios a través de sistemas biométricos, como la huella dactilar o el reconocimiento facial.

Y también mediante la autenticación de doble factor, una comprobación mediante diferentes mecanismos para confirmar la identidad del usuario.

 

Configurar la autenticación multifactorial (MFA) debería ser uno de los requisitos principales para una política de trabajo remoto.

 

La autenticación con una única contraseña, es un grave problema de seguridad en internet.

Debido a la dificultad para recordar contraseñas seguras, muchos usuarios deciden reutilizar las mismas contraseñas en distintos servicios.

Y de nuevo aquí nos situamos frente a otro grave problema de seguridad que detectamos cuando se producen filtraciones de datos o suplantaciones de identidad.

Con la opción sin contraseña de extremo a extremo, será posible iniciar sesión en las aplicaciones, bien con verificación de huella digital o facial o bien con un pin de dispositivo.

Como consecuencia, el inicio de sesión será mucho más seguro y ofrecerá mayor protección contra ataques de phishing.

 

Con el fin de las contraseñas se acabará tener que recordar cientos de contraseñas o el uso de múltiples factores como el envío de códigos de uso único a través de SMS.

 

Con el gran trabajo de FIDO Alliance en el desarrollo y la investigación, muy pronto veremos el fin de las contraseñas.

Introducir credenciales FIDO para múltiples dispositivos permitirá que la tecnología FIDO reemplace las contraseñas para muchos casos de uso.

Muchos servicios de Apple, Google y Microsoft en la actualidad ya permiten el inicio de sesión sin contraseña.

Pero ello requiere que los usuarios inicien sesión en cada sitio, en cada aplicación y en cada dispositivo, para acceder al servicio.

 

La integración de FIDO en los servicios de internet ofrece a los usuarios muchas ventajas, entre las cuales encontramos:

 

> La posibilidad de acceder de forma automática a las credenciales FIDO sin tener que escribir de nuevo cada cuenta de acceso.
>> La posibilidad de que los usuarios usen la autenticación FIDO para arrancar la sesión en un dispositivo, al margen del sistema operativo o navegador disponible.
>> Y por último, el uso de FIDO como método alternativo de recuperación de la cuenta o de inicio de sesión.

 

Todo un avance que deseamos ver cuanto antes para acabar con las contraseñas repetidas, olvidadas o inseguras, para siempre.

 

¿Cómo funciona FIDO para el inicio de sesión y registro on line, sin contraseñas?

 

Registro  

 

  • Se le solicita al usuario que elija un validador FIDO disponible que coincida con la política de aceptación del servicio en línea.
  • El usuario desbloquea el validador FIDO mediante un lector de huellas dactilares, un botón en un dispositivo de segundo factor, un PIN seguro o similar.
  • El dispositivo del usuario crea un nuevo par de claves públicas/privadas único para el dispositivo local, el servicio en línea y la cuenta del usuario.
  • La clave pública se envía al servicio en línea y se asocia con la cuenta del usuario.
  • La clave privada y cualquier información sobre el método de autenticación local (como medidas biométricas o plantillas) nunca abandonan el dispositivo local.

 

Esquema registro FIDO

Inicio de sesión

 

  • El servicio web solicita al usuario el inicio de sesión con un dispositivo previamente registrado que coincida con la política de aceptación del servicio.
  • El usuario desbloquea el validador FIDO utilizando el mismo método que en el momento del registro.
  • El dispositivo usa el identificador de cuenta del usuario proporcionado por el servicio para seleccionar la clave correcta y firmar.
  • El dispositivo del cliente devuelve la respuesta firmada al servicio, que lo verifica con la clave pública almacenada e inicia la sesión del usuario.

 

 

Esquema inicio sesion FIDO

Esperamos ver muy pronto, el fin de las contraseñas.

Autora: Montserrat Labrandero

Autora: Montserrat Labrandero

Consultora de ciberseguridad

Sigue leyendo otras entradas relacionadas:

Loading