Video: FIDO Enterprise Video (Noviembre 2024)
¿Podría la era de la contraseña estar detrás de nosotros? Eso es lo que el director de seguridad de PayPal, Michael Barrett, predijo durante una de las notas clave más interesantes en el show Interop de esta semana en Las Vegas.
Barrett dijo que las contraseñas se han utilizado ampliamente desde 1961, pero la prevalencia de los servicios en la nube nos ha dejado con demasiados sitios que requieren contraseñas. Las personas tienen demasiadas contraseñas y, por lo tanto, están frustradas. Como resultado, dijo, "las contraseñas comienzan a fallarnos".
Cuando se dejan en sus propios dispositivos, los usuarios elegirán contraseñas deficientes y las usarán en todas partes. Eso significa que la seguridad de su cuenta más importante se reduce a la del lugar menos seguro donde usan esa contraseña. Mientras tanto, la disponibilidad de potencia de procesamiento barata en la nube, incluidas las GPU, ha facilitado a las personas descifrar hash de contraseñas.
Una alternativa, sistemas de dos factores con llaveros de contraseña, dijo, es "el sueño de un regulador, pero la pesadilla de un usuario", ya que cada sitio podría tener su propio sistema de token seguro.
Como resultado, necesitamos algo más y ahí es donde entra la Alianza FIDO. Los usuarios quieren algo que sea seguro y fácil, dijo Barrett. Cualquier solución debe proporcionar una autenticación más sólida, pero debe ser más fácil de usar y, sin embargo, respetar la privacidad de las personas.
La alianza ha estado funcionando durante más de dos años, y las primeras soluciones de este tipo están a punto de lanzarse.
Con el modelo actual, las contraseñas se ingresan en un dispositivo y luego se pasan a través del dispositivo al servicio en el otro extremo. En el modelo FIDO, los usuarios se autentican con una pequeña cantidad de dispositivos y en su lugar se autentican en su dispositivo. Una pila FIDO en el dispositivo sabe cómo autenticarse nuevamente en el servicio. La información para la conexión podría almacenarse en el chip TPM en una PC, o en un contenedor seguro en un teléfono inteligente.
Para autenticarse con el dispositivo, puede usar una huella digital. Barrett sugirió que Apple saldrá con un lector de huellas digitales en un teléfono inteligente a finales de este año, con dispositivos Android en breve. Los dispositivos también podrían usar "biometría de voz" (una impresión de voz), reconocimiento de ojos o reconocimiento facial. Los sitios individuales pueden solicitar uno o más de estos significantes que desean aceptar.
Para que este plan funcione, requeriría que ambos dispositivos admitan el estándar y los servicios que aceptan la autenticación FIDO. Barrett dijo que PayPal está en proceso de habilitarse para FIDO. Una vez que se habilita un sitio, si hay un cliente FIDO, se utiliza; de lo contrario, será ignorado.
Aunque cree que las contraseñas se están agotando, Barrett reconoció que pasarán varios años antes de que comencemos a ver una adopción masiva real. Las probabilidades son solo "50/50 si podemos lograr esto", dijo.
Pero dada la cantidad de hacks de contraseñas que seguimos leyendo y las frustraciones que todos enfrentamos con nuestras contraseñas actuales, no se puede negar que muchos de nosotros queremos algo mejor.
