Google trae soporte de autenticación sin contraseña a Android y Chrome

Esto puede sonar un poco extraño si no ha seguido el desarrollo de los estándares de inicio de sesión en los últimos años, pero Google acaba de anunciar que la seguridad sin contraseña llegará a Android y Chrome durante el próximo año. Eso significa que iniciar sesión en una cuenta segura desde un sitio web o una aplicación será tan simple como desbloquear su teléfono, y más seguro que usar una contraseña.

Sé que esto suena un poco extraño de pensar, y no usar una contraseña parece que podría presentar otros problemas, pero sigue siendo seguro de una manera fundamental. Además, las contraseñas son bastante tontas cuando piensas en ellas.

Las contraseñas apestan

Si no usa una contraseña, lo más probable es que haya sucumbido a al menos alguna reutilización de contraseña entre servicios, y eso significa que una vulnerabilidad de seguridad en un lugar puede propagarse fácilmente para comprometer varias cuentas. Además de eso, debe crear una contraseña: según una encuesta reciente de Google entre 4000 estadounidenses, el 19% dice que ha usado una contraseña «común» fácil de adivinar como 123456 o «Contraseña». Incluso cuando hay mucho en juego, las personas pueden ser bastante estúpidas sin darse cuenta del verdadero riesgo. Y si usa un administrador de contraseñas, ¿con qué frecuencia las cambia? Google dice que el 60% de los estadounidenses solo intercambian contraseñas cuando es necesario. Y todo esto ignora su susceptibilidad a cosas como ataques de phishing, keyloggers y todo tipo de otras vulnerabilidades.

ANDROIDPOLICE VÍDEO DEL DÍA

Cuando te pones manos a la obra, las contraseñas no son buenas para lo que se supone que deben hacer. Entonces, ¿por qué no deshacerse de ellos? Ese ha sido un sueño para la seguridad y uno de los objetivos de la alianza FIDO: un mejor reemplazo para las contraseñas.

Las personas familiarizadas con el funcionamiento de la autenticación de dos factores a grandes rasgos probablemente ya entiendan cómo se basa la autenticación sin contraseña. Si no, solo piense en una cadena de confianza, donde sabe que puede confiar en ciertos dispositivos porque ya están conectados. En lugar de confiar solo en algo que sabe, que puede compartirse, robarse o distribuirse a través de otros significa: la autenticación sin contraseña a través de sistemas como FIDO2 se basa en algo que tiene que demostrar que es usted. Google está optando por usar su teléfono, según el anuncio (aunque probablemente también podría usar otras cosas, como algunas claves de seguridad 2FA de hardware que admiten la autenticación sin contraseña FIDO2).

¿Ustedes no tienen teléfonos?

Todos tenemos un teléfono en alguna parte, a menos que seas un verdadero troglodita, y es casi seguro que esté vinculado a todas tus cuentas personales. Google puede usar ese teléfono para autenticar futuros inicios de sesión. Reemplazar la contraseña en sí es el proceso de desbloquear su teléfono, usando algo como un PIN, datos biométricos o una contraseña allí (esto último, sin duda, frustra un poco el propósito y la conveniencia). Podrías pensar que esto suena menos seguro. Después de todo, nos han metido en la cabeza durante años que más tiempo y más complicado es mejor, y ¿no es una contraseña más complicada que unos pocos números? Y puede cambiar una contraseña, pero no puede cambiar su huella digital.

Ciertamente parece menos seguro. Pero la verdad es que nada de eso realmente tiene un impacto. Nadie está robando su PIN y usándolo para iniciar sesión desde una computadora en Rusia; necesitan tu teléfono para que funcione. Ser más simple no es un punto en contra. La autenticación sin contraseña hace que las cosas sean aún más convenientes y, al mismo tiempo, más segura que una contraseña sola. Y de esta manera, no hay una contraseña complicada que recordar ni un administrador de contraseñas adicional con el que interactuar. Tu teléfono es una apuesta sencilla y segura.

Un gran diagrama de Microsoft que muestra la relativa seguridad y conveniencia de los diferentes métodos de autenticación.

Como en el caso de una clave de dos factores de hardware, la mayoría de los teléfonos pueden almacenar una clave criptográfica de forma segura. A través de la matemática de la criptografía de clave pública, se puede asociar una clave de acceso almacenada con su cuenta y verificar que el teléfono esté vinculado a usted. De esa manera, cuando vaya a iniciar sesión, Google puede hacer ping al teléfono y un desbloqueo rápido prueba que a) usted es la persona vinculada a ese teléfono ya que pudo desbloquearlo a través de un mecanismo seguro, y b) el inicio de sesión el intento es valido. Cuando se trata de la lógica de esta operación, el único cambio real es eliminar la contraseña como requisito, aunque hubo otros obstáculos técnicos que superar. Por ejemplo, FIDO2 tiene requisitos previos como la API WebAuthn para funcionar en los navegadores, y primero era necesario implementar ampliamente el soporte para eso. Chrome lo recogió en 2018.

Próximamente, y ya aquí

La idea de la seguridad sin contraseña puede sonar revolucionaria, pero no es tan nueva. Las llaves de seguridad de hardware de la serie 5 de Yubico son compatibles con FIDO2 sin contraseña desde 2018. El año pasado, Microsoft implementó el soporte para la autenticación sin contraseña e incluso ofrece la opción de desactivar la contraseña de su cuenta por completo. Google fue pionero en la idea de la seguridad sin contraseña como parte de la alianza FIDO y, según Microsoft, Chrome ya es compatible con algunas plataformas para la autenticación sin contraseña a través de FIDO2, aunque no ha funcionado en dispositivos móviles (todavía). Pero, ahora que todos los requisitos previos persistentes están en su lugar (los navegadores que usamos son compatibles con los estándares correctos, los teléfonos (incluidos los iPhone) pueden almacenar las claves requeridas de manera segura), Google ha decidido que es el momento.

Sin embargo, puede seguir usando una clave 2FA de hardware si lo desea.

No se compartió un cronograma preciso para el soporte sin contraseña en Android y Chrome. Creo que Google solo quería usar el Día de la Contraseña para que la gente supiera que el soporte llegará como parte de un anuncio conjunto con otras empresas participantes. Si bien se puede decir que Microsoft ya ha estado en este carro por un tiempo, también es parte del anuncio de hoy. Apple también se une hoy con su propio compromiso; no es una gran sorpresa, dado que iOS 15, iCloud y macOS 12 Monterrey admiten la función Passkeys de Apple como una vista previa.

La autenticación de dos factores ya es bastante segura, especialmente si está utilizando la versión de niño grande con una clave de seguridad de hardware o un generador basado en una aplicación en lugar de mensajes SMS, pero la falta de conveniencia ha impedido que algunas personas la adopten. Ser seguro no significa que sea fácil de usar, y diría que llevar una llave de hardware dedicada es bastante complicado. El soporte sin contraseña brinda el mismo nivel de seguridad con una comodidad y simplicidad que cualquiera puede usar, lo que fomenta mejor la adopción. Con el 37% de los encuestados afirmando que han sido víctimas de una cuenta comprometida, la muerte de la contraseña puede ser una de las mejores cosas que nos ha pasado.

Práctico con Echoes of Mana: un mosaico de nostalgia envuelto en un envoltorio de gacha

Leer siguiente

Sobre el Autor