Microsoft y Google dan una vuelta de victoria en torno a las claves de acceso • The Register
Microsoft dijo hoy que ahora nos permitirá a la gente común, no solo a los suscriptores comerciales, iniciar sesión en sus cuentas y aplicaciones de Microsoft utilizando claves de acceso con su rostro, huella digital o PIN del dispositivo.
Soporte adicional para cuentas de consumidor de Microsoft funciona a través de Las plataformas Windows, Google y Apple, y Redmond describieron la medida como un paso más hacia su sueño de 10 años: “Un mundo sin contraseñas”.
A partir del jueves, las personas podrán iniciar sesión en sus cuentas de Microsoft utilizando claves de acceso a través de navegadores de escritorio y móviles, y se nos dice que el soporte para aplicaciones móviles estará disponible pronto.
El momento no es una coincidencia. Hoy también es el Día Mundial de la Contraseña, que, aunque es un feriado inventado, a menudo marca la ocasión para que las empresas de tecnología se jacten de lo que están haciendo para dejar de exigir o alentar a los usuarios a recordar o escribir contraseñas únicas y seguras. para cada aplicación y servicio en línea que utilizan.
Fiel a su forma, Google también celebró la ocasión proclamando que su soporte de clave de acceso de un año ha alcanzado un hito.
«Hoy anunciamos que se han utilizado claves de acceso para autenticar usuarios más de mil millones de veces en más de 400 millones de cuentas de Google», dijeron los directores de proyecto Sriram Karra y Christiaan Brand. él dijo.
Cuando Microsoft lanzó Windows Hello y Windows Hello para empresas en 2015, detectó alrededor de 115 ataques a contraseñas por segundo, aproximadamente eso dicen Vasu Jakkal, vicepresidente corporativo de seguridad, cumplimiento, identidad y gestión de Redmond, y Joy Chik, presidenta de identidad y gestión. acceso a la red.
En 2023, este número había aumentó 3.378 por ciento a más de 4.000 por segundo.
«Los ataques a contraseñas son tan populares porque aún generan resultados», Jakkal y Chik el escribio en una publicación de blog que anuncia la compatibilidad con claves de acceso.
«Está dolorosamente claro que las contraseñas no son suficientes para proteger nuestras vidas en línea», dijeron. «No importa lo largo y complicado que sea crear tu contraseña, o cuántas veces la cambies, sigue representando un riesgo».
Las claves de acceso se basan en un estándar de alianza FIDO respaldado por Apple, Microsoft y Google. Piense en ellos como sustitutos de contraseñas.
La tecnología simplemente funciona así: cuando creas una cuenta para un sitio web o una aplicación, tu dispositivo genera un par de claves criptográficas pública-privada. El backend del sitio web o la aplicación obtiene una copia de la clave pública y su dispositivo conserva la clave privada; esta clave privada permanece privada para su equipo. Cuando inicia sesión, su dispositivo y el sistema de autenticación de backend interactúan utilizando sus claves digitales para demostrar que es quien dice ser y puede iniciar sesión. Si no tiene la clave privada o no puede demostrar que la tiene, no podrá iniciar sesión.
Su dispositivo puede proteger esta clave privada localmente mediante algo como un escaneo facial biométrico, un PIN o una huella digital. Entonces, si alguien quiere piratear su cuenta, necesitará su dispositivo y ese PIN secreto o verificación biométrica para desbloquear la clave privada (o de alguna manera obtener una copia de la clave privada). Esto se considera más seguro que hacer que las personas recuerden o almacenen contraseñas y garantiza un par de claves único por cuenta. Para aquellos que se preguntan acerca de la autenticación multifactor, está integrada: normalmente, un delincuente necesitará apoderarse de su dispositivo físico y su parte secreta o física para acceder a la clave privada.
«Debido a que esta combinación de par de claves es única, su clave de acceso sólo funcionará en el sitio web o aplicación para la que la creó, por lo que no pueden engañarlo para que inicie sesión en un sitio web malicioso similar», explicó Microsoft. «Por eso decimos que las claves de acceso son 'resistentes al phishing'».
En última instancia, su objetivo es simplificar la seguridad de los usuarios confiando en un escaneo facial o de huellas dactilares en lugar de exigir que las personas recuerden una contraseña única de 47 caracteres para cada maldita aplicación y sitio web al que acceden, que incluye letras mayúsculas, minúsculas, números, especiales. personajes y el nombre de tu primera mascota, pero solo si es un periquito.
«La mejor parte de las claves de acceso es que nunca más tendrás que preocuparte por crear, olvidar o restablecer contraseñas», según Jakkal y Chik.
Para ser justos, esto probablemente sea una exageración. Los delincuentes son un grupo astuto y pueden encontrar formas de romper con este último enfoque, y no estamos hablando de cortarle los dedos o la cara a las personas.
Pero en este Día Mundial de la Contraseña, esperamos poder disfrutar de la simplicidad y seguridad de las claves de acceso durante al menos un año más. ®