Algunos de los navegadores web más populares intentan matar tus contraseñas.
Las organizaciones de estándares de Internet, FIDO Alliance y W3C, han lanzado una nueva especificación que permite a los navegadores web y sitios web admitir métodos de cifrado biométricos en lugar de contraseñas.
La especificación, llamada WebAuthn, es una interfaz de programación de aplicaciones (API) que los desarrolladores web pueden integrar en sus sitios web y permiten lectores de huellas dactilares e incluso enfrentan escáneres como Face ID de Apple para verificar la identidad de una persona.
Contenidos de esta página
Los navegadores web en los próximos meses se programarán para adecuar en factores de autenticación
Según Engadget, que informó anteriormente en WebAuthn, Firefox ya trabaja con la tecnología. Google Chrome y Microsoft Edge están programados para agregar soporte para WebAuthn en los próximos meses. Apple, que opera su navegador Safari, aún no ha anunciado el soporte para WebAuthn.
La medida podría crear técnicamente una Internet más segura. Dado que la irrupción de piratas informáticos, estafas y violaciones de datos se ha producido en los últimos años, las contraseñas por sí solas no son necesariamente una protección adecuada para los datos en los navegadores web.
Las empresas han pasado a la autenticación de dos factores, que requiere que los usuarios ingresen un código enviado a sus teléfonos inteligentes además de una contraseña para verificar su autenticidad, pero que aún no es tan seguro como la biometría.
En su presentación del iPhone en septiembre del año pasado, Apple habló en detalle sobre la seguridad biométrica. La compañía dijo que su escáner de huellas dactilares Touch ID podría ser engañado en 1 en 50,000 casos. Eso saltó a 1 en 1 millón de casos con su escáner facial Face ID. De cualquier manera, eso es mejor que una simple contraseña.
Aun así, las contraseñas no están muriendo pronto. Aunque WebAuthn se lanzó oficialmente, todavía se considera una «recomendación» y podría modificarse antes de que se convierta en un estándar. La recomendación allana el camino para que los sitios web y los navegadores respalden las alternativas a las contraseñas, pero ahora la responsabilidad recae en los propietarios de los sitios web y en las compañías de navegación para que lo admitan.
¿WebAuthn reemplazará contraseñas o no en los navegadores web?
La humilde y muy difamada contraseña ha vuelto a aparecer en las noticias últimamente. La Alianza FIDO y el W3C anunciaron en abril el lanzamiento de la API web asesina de contraseñas en los navegadores web, llamada WebAuthn. Pero ¿estamos cantando la canción «Bye, bye password», solo para comenzar un coro de «You say goodbye and you hello»? Echemos un vistazo al flujo y reflujo de la autenticación con contraseña (menos).
Primero, estaba la contraseña
Hemos tenido una especie de relación de amor / odio con la contraseña de la computadora, en curso durante los últimos 40 años al menos. La comunidad tecnológica sigue prometiendo la desaparición de la contraseña, y luego nunca sucede.
En cambio, según LastPass, los usuarios de negocios tienen que administrar, en promedio, ¡191 contraseñas cada uno! Y, de acuerdo con Pew Research, ni siquiera estamos usando administradores de contraseñas, con solo el 12% de los encuestados en una encuesta de 2017 que los usa, y el 49% escribiendo contraseñas en papel. No es de extrañar, entonces, que LastPass descubrió que el 81% de las infracciones de datos se debían en última instancia al compromiso de la contraseña en navegadores web.
Luego estaba el código de texto HOTP / TOTP y SMS
En un punto, desde el punto de vista de un tecnólogo, se consideró que el uso de aplicaciones de autenticación, como Google Authenticator, podría ser la clave de la autenticación barata y segura de segundo factor.
El código de texto SMS también era, aparentemente, una buena forma de obtener el ‘fuera de banda’ necesario para un buen mecanismo 2FA. Sin embargo, el código de SMS y las aplicaciones de autenticación nunca despegaron realmente, o al menos tuvieron una aceptación de mosaico. Actualmente, menos del 10% de los usuarios de Gmail usan un segundo factor para iniciar sesión.
Pero, no todo es fatalidad para el uso del segundo factor. Singapur, por ejemplo, parece más interesado en el uso de 2FA.
En una encuesta reciente realizada por la Agencia de Seguridad Cibernética de Singapur, sobre concientización sobre seguridad pública, encontraron que entre 2016-2017, hubo un aumento del 13% en los usuarios, permitiendo el segundo factor para el control de acceso a las cuentas.
Sería interesante ver por qué 2FA en Singapur es más aceptado que en otros países. Tal vez son los primeros en adoptar y veremos un efecto cruzado en la adopción de 2FA.
Ahora está WebAuthn
Bienvenido a la tierra prometida en forma de inicio de sesión sin contraseña. La nueva API de W3C y FIDO ofrece precisamente eso. Una forma de eliminar la necesidad de una contraseña en los navegadores web y tener un inicio de sesión automatizado a través de un dispositivo / biométrico. No hay un segundo factor.
WebAuthn se basa en nuestra antigua criptografía de clave pública-privada. En pocas palabras, las firmas se envían entre una parte confiable (generalmente el sitio web) que almacena la clave pública, y un autenticador (dispositivo o navegadores web) usando un sistema biométrico para autenticarte en el dispositivo: es limpio, fácil de implementar, tiene algunas excelentes características de seguridad que pueden ayudar a prevenir el phishing utilizando PKI / biométrico. Pero ¿es la panacea de la autenticación?
El ‘qué pasaría si’ que siempre soluciona los problemas con una medida de autenticación. Por ejemplo, ¿qué pasa si pierde su teléfono y necesita iniciar sesión urgentemente? Los sistemas siempre necesitan una posición de respaldo.
En general, este es un umbral inferior que luego se convierte en el vector de ataque. A pesar de que WebAuthn es muy prometedor. La alternativa a una contraseña, o en el dispositivo móvil un código PIN (el retroceso de una biométrica) nos lleva de vuelta al punto de partida.
Hasta ahora, el mayor desafío será la creación de recuperación de credenciales seguras para los servicios basados en WebAuthn cuando este es el único factor involucrado.
Fuente: csoonline.com
Recomendaciones similares: