Un futuro sin contraseña puede requerir que nuestros teléfonos sean llaves de seguridad

Tabla de contenido:

Un futuro sin contraseña puede requerir que nuestros teléfonos sean llaves de seguridad
Un futuro sin contraseña puede requerir que nuestros teléfonos sean llaves de seguridad
Anonim

Conclusiones clave

  • La Alianza FIDO ha publicado un documento técnico que analiza las deficiencias que impiden que su estándar de autenticación sin contraseña se generalice.
  • Los mecanismos de autenticación sin contraseña no han podido reemplazar las contraseñas porque son inconvenientes, sugiere el documento técnico.
  • Propone el uso de smartphones como llaves de seguridad en roaming.

Image
Image

Las contraseñas fuertes son inconvenientes para crear y administrar, pero agregar pasos y dispositivos adicionales al proceso de autenticación es un dolor de cabeza aún mayor.

Esa es la conclusión de un documento técnico de Fast ID Online Alliance (FIDO), que culpa a los problemas de usabilidad por evitar que los mecanismos de autenticación sin contraseña se generalicen. Sin embargo, la alianza ha encontrado una solución para resolver el problema de una vez por todas y hacer que el estándar de autenticación FIDO sea tan omnipresente como las contraseñas.

"FIDO ha superado todas las expectativas iniciales", dijo a Lifewire Bill Leddy, vicepresidente de productos de LoginID, por correo electrónico después de leer detenidamente el documento técnico. "[Está] muy cerca de resolver todos los [problemas] de autenticación, pero necesita un poco más".

Cancelación de contraseñas

Leddy cree que las contraseñas han sobrevivido a su uso. Él culpa a la industria de la seguridad por fallarle a la gente al promover opciones débiles durante demasiado tiempo.

"Las contraseñas ahora tienen 60 años, pero siguen siendo la principal opción de autenticación para la mayoría de las cuentas. Los consumidores tienen muchas cuentas diferentes y se espera que recuerden una contraseña única para cada una. Esa no es una solución práctica ", afirmó Leddy. Agregó que en la Internet actual, donde los sitios web se pueden clonar fácilmente, el trabajo de la industria de la seguridad es equipar a las personas con las herramientas adecuadas para evitar violaciones de cuentas.

La FIDO Alliance, una asociación industrial abierta, creada para reducir la dependencia de las contraseñas, ha estado trabajando en el tema durante aproximadamente una década. Ha creado el estándar de autenticación FIDO, que no ha podido ganar terreno. En el documento técnico, la alianza cree que finalmente ha identificado la pieza f altante del rompecabezas y también ha esbozado una estrategia para superarla.

Según la alianza, el mecanismo actual de autenticación sin contraseña de FIDO tiene problemas de uso inherentes que han impedido que logre una amplia adopción.

"[Hemos] observado una adopción limitada [en el espacio del consumidor], debido a la inconveniencia percibida de las claves de seguridad físicas (comprar, registrar, llevar, recuperar) y los desafíos que enfrentan los consumidores con los autenticadores de plataforma (p.ej., tener que volver a registrar cada dispositivo nuevo; no hay formas fáciles de recuperarse de dispositivos perdidos o robados) como segundo factor ", señaló el documento.

Para superar los problemas, el documento técnico exige el uso de nuestros teléfonos inteligentes como autenticadores móviles o llaves de seguridad portátiles.

"El dispositivo de un usuario como autenticador itinerante es una excelente experiencia de usuario y mucho más seguro que las contraseñas en un dispositivo semi-confiable si se hace correctamente. Dado que los nuevos teléfonos inteligentes admiten FIDO de forma nativa y los consumidores rara vez están lejos de sus teléfonos, es es una buena opción", asintió Leddy.

El camino a seguir

Sin embargo, el documento técnico sugiere que para que los teléfonos inteligentes tengan éxito como llaves de seguridad portátiles, FIDO debe idear un proceso fluido para que las personas agreguen o cambien entre sus dispositivos móviles.

Argumenta que si el proceso para las tareas esenciales, como configurar un nuevo teléfono o cambiar a uno nuevo, no es sencillo, es probable que las personas descarten la idea por ser inconveniente. Para evitar esto, el documento propone la introducción de una nueva técnica que denominan credenciales FIDO multidispositivo o "claves de paso".

"Las credenciales de 'clave de acceso' para múltiples dispositivos abordan una pregunta de larga data sobre FIDO. La pregunta ha sido cómo pasar a un nuevo dispositivo si inscribí 50 credenciales específicas de dominio en mi dispositivo anterior y luego obtuve una nueva. dispositivo. Nadie quiere pasar por la recuperación de cuenta de 50 servicios diferentes para volver a vincular nuevas credenciales FIDO ", explicó Leddy.

Image
Image

FIDO afirma que las claves de acceso ayudarán a evitar esta situación por completo al garantizar que cuando cambiamos de un dispositivo a otro, nuestras credenciales FIDO ya están esperándonos. Por supuesto, el artículo es conceptual y Leddy cree que tal mecanismo es más fácil de proponer que de implementar.

"Sería desafortunado que las soluciones de clave de paso fueran específicas del proveedor para que un consumidor no pueda cambiar entre fabricantes de dispositivos o incluso un conjunto heterogéneo de dispositivos (MacBook y teléfono Android)", advirtió Leddy.

Sin embargo, confía en que la alianza FIDO, que cuenta con pesos pesados como Apple, Meta, Google, PayPal, Wells Fargo, American Express y Bank of America, entre sus miembros, presentará soluciones que son ' No solo es universal, sino que también se examina minuciosamente contra los ataques.

FIDO cree que las credenciales FIDO multidispositivo se convertirán en el último clavo en el ataúd de las contraseñas. "Al presentar estas nuevas capacidades, esperamos empoderar a los sitios web y las aplicaciones para que ofrezcan una opción verdaderamente sin contraseña de extremo a extremo; no se requieren contraseñas ni códigos de acceso de un solo uso (OTP)", dijo la alianza.

Recomendado: