Video: Fortaleciendo la Seguridad de Nuestras Contraseñas (Noviembre 2024)
Si te digo mi contraseña de correo electrónico y la usas para iniciar sesión, ¿te conviertes en mí? Por supuesto no. Lo que demuestra que autenticar la identidad usando una contraseña es ridículo. La autenticación mediante un token de seguridad u otro objeto físico es mucho más segura. Un millón de personas pueden aprender mi contraseña, pero como no tienen mi token de seguridad, no pueden hacer nada con ella. Este tipo de autenticación de dos factores es un tema candente en estos días, y un nuevo lanzamiento de FIDO Alliance sugiere que se está volviendo aún más caliente, a medida que la especificación U2F (Universal Two-Factor) del grupo se expande para incluir Bluetooth y NFC.
Universal de dos factores
La Alianza FIDO (Fast IDentity Online) ha existido durante casi tres años. Es un consorcio de grandes empresas dedicadas a "desarrollar especificaciones que definen un conjunto de mecanismos abiertos, escalables e interoperables que suplantan la dependencia de las contraseñas para autenticar de forma segura a los usuarios de los servicios en línea". Entre sus muchos miembros de nivel directivo se encuentran Google, Bank of America, Intel, Lenovo y PayPal, así como el innovador de dos factores Yubico. Cientos de otras compañías tecnológicas y financieras pertenecen a la alianza.
La especificación U2F (Universal Two-Factor) del grupo permite a las compañías tecnológicas crear soluciones de dos factores que interactuarán con cualquier aplicación o sitio web de soporte. En la actualidad, su avatar más destacado es la clave de seguridad, un pequeño dispositivo USB que se puede utilizar para autenticarlo para iniciar sesión en su cuenta de Google, entre otras cosas. Yubico creó el diseño de la llave de seguridad, pero otros fabricantes son libres de construir sobre ese diseño, y otros sitios web y aplicaciones se incorporarán pronto.
Cuidado con la fricción
Siempre hay una tensión entre seguridad y conveniencia. Sus cuentas seguras son mucho más seguras si acceder a ellas requiere la clave de seguridad que guarda en su llavero. Pero después de un tiempo, sacar esa llave de su bolsillo y meterla en un puerto USB puede comenzar a parecer tedioso. Incluso un poco de fricción en el proceso de autenticación puede llevar a los usuarios a abandonar dos factores.
Las aplicaciones para teléfonos inteligentes como Google Authenticator, Twilio Authy y Duo Mobile le permiten autenticarse con sitios de soporte escribiendo un código de tiempo específico. Pero aquí de nuevo, hay fricción. Tienes que arrastrar tu teléfono y escribir el código que muestra.
En el lado positivo, un montón de sitios web admiten la autenticación basada en teléfonos inteligentes. La compañía de identidad móvil Telesign creó recientemente un sitio web de información de dos factores que identifica más de 100 sitios de soporte, con instrucciones detalladas sobre cómo activar la autenticación de dos factores para cada uno.
Pero realmente, ¿por qué deberías escribir un código? Cualquier persona que tenga su clave de seguridad puede introducirla en la ranura. ¿No podría ser suficiente tener el teléfono en tu poder para autenticarte? De hecho, el modo Duo Push de Duo Security le permite autenticarse simplemente tocando un botón, y Twilio está trabajando en algo similar. Pero ambos solo funcionan en sitios web que compran la tecnología.
- Twilio Authy Twilio Authy
- Poseer su propia identidad con autenticación universal de dos factores Poseer su propia identidad con autenticación universal de dos factores
- No más excusas para no usar la autenticación de dos factores No más excusas para no usar la autenticación de dos factores
- Duo Mobile Duo Mobile
Las grandes noticias
La gran noticia de FIDO Alliance es que la especificación U2F se ha mejorado para admitir la autenticación Bluetooth y NFC. Esto amplía enormemente las posibilidades de autenticación de dos factores. Los usuarios podrán autenticarse usando U2F incluso en dispositivos que no tienen puertos USB. Y la autenticación puede provenir de cualquier teléfono inteligente, tableta u otro dispositivo que esté configurado para actuar como clave. Según el comunicado de prensa, este nuevo U2F sin contacto podría incluso "integrarse en una tarjeta de crédito junto con otros applets".
Dado que la especificación es gratuita y abierta, cualquier sitio o aplicación puede agregar autenticación U2F, y cualquier proveedor de hardware puede intervenir en un dispositivo U2F. Si U2F se vuelve verdaderamente universal, no necesitará una lista de instrucciones para habilitarlo en cada sitio de soporte.
Stina Ehrensvärd, CEO y fundadora de Yubico, ha sido durante mucho tiempo una evangelista para la autenticación fácil de dos factores. "El soporte para Bluetooth y NFC solidifica la historia móvil e inalámbrica en torno al protocolo de autenticación U2F de FIDO", dijo Ehrensvärd. "Ahora los usuarios finales pueden disfrutar de la alta seguridad, la integridad de la cuenta y la facilidad de uso de la autenticación segura U2F en cualquiera de sus dispositivos. Yubico está entusiasmado con el soporte de FIDO U2F de los protocolos Bluetooth y NFC y las opciones que representan para proteger la privacidad, datos personales y cuentas de usuario ". Esperamos que U2F realmente ponga fin a nuestra dependencia tóxica de las contraseñas para la autenticación.
