Menú
Menú

El futuro no tiene contraseñas: cómo las «Claves de Acceso» simplificarán tu vida y nos protegerán a todos

seguridad-internet-claves-de-acceso-2

El futuro no tiene contraseñas: cómo las «Claves de Acceso» simplificarán tu vida y nos protegerán a todos

No es ningún secreto que la autenticación sin contraseña se está imponiendo. Los líderes tecnológicos mundiales, como Apple, Google y Microsoft, están adoptando el uso de claves de acceso.

Aprovechando la criptografía de clave pública, las Claves de Acceso brindan una experiencia que casi cambia el paradigma en seguridad digital.

Hacer que WordPress y, en última instancia, todo Internet sea más seguro y sea más utilizable para todos.

El viaje hacia la autenticación sin contraseña

El viaje hacia la autenticación sin contraseña ya ha comenzado. Todos los principales navegadores y gigantes tecnológicos han introducido soporte completo para Claves de Acceso.

2022 se convirtió en un nuevo hito en la implementación de inicios de sesión sin contraseña más consistentes, seguros y sencillos en múltiples dispositivos y plataformas digitales.

Cada año, el Día Mundial de la Contraseña, designado como el primer jueves de mayo, celebra los nuevos avances logrados en un esfuerzo conjunto para hacer que la web sea más segura y utilizable para todos. El 5 de mayo de 2022, Apple, Google y Microsoft anunciaron planes para ampliar la compatibilidad con el estándar de inicio de sesión sin contraseña creado por la Alianza FIDO y el Consorcio World Wide Web.

Durante años, la Alianza FIDO (Fast Identity Online) y el Consorcio World Wide Web han estado trabajando en un conjunto de estándares que permitirán implementar la autenticación sin contraseña en Internet. FIDO 2 es el conjunto de especificaciones más nuevo, ahora compatible con la mayoría de los navegadores y plataformas.

Revisaremos cómo funciona la autenticación sin contraseña con más detalle más adelante en la guía. Pero antes de eso, veamos por qué la autenticación de contraseña se está convirtiendo gradualmente en una cosa del pasado.

¿Por qué se deja atrás la autenticación basada en contraseñas?

La autenticación basada en contraseña ha estado con nosotros casi desde que existe Internet, permitiendo a los usuarios iniciar sesión en un sitio web o aplicación web utilizando un par de credenciales: un nombre de usuario y una contraseña. Este enfoque ha demostrado su confiabilidad y versatilidad y ha sido el estándar de la industria durante años.

Sin embargo, a pesar de su fácil implementación y uso, rápidamente se descubrieron numerosos inconvenientes y riesgos de seguridad asociados con la autenticación basada en contraseña tanto en el lado del usuario como en el del servidor. En pocas palabras, tanto los usuarios como los servidores carecen de la capacidad de mantener seguro el secreto compartido.

Los principales riesgos de seguridad asociados con la autenticación basada en contraseñas se centran en el uso de la contraseña como secreto compartido. Esto puede estar disponible para un actor malicioso en diferentes etapas del proceso de autenticación. Las contraseñas pueden violarse o simplemente adivinarse debido a un ataque de fuerza bruta exitoso .

Tres formas comunes en las que las contraseñas quedan expuestas

Los estudios han demostrado que más del 80% de todas las infracciones relacionadas con la piratería se atribuyen a la vulneración de contraseñas. Significa que, en algún momento, el pirata informático logró obtener acceso no autorizado al sistema haciéndose pasar por el propietario legítimo de un sitio web o una aplicación web.

Pero, ¿cómo se piratean exactamente los sitios web ?

Las formas más comunes en que quedan expuestas las contraseñas incluyen el phishing, los ataques de fuerza bruta y las filtraciones de datos. Se puede engañar a los usuarios para que revelen su información de autenticación. O las contraseñas pueden adivinarse o filtrarse en caso de una violación de datos por parte del proveedor de servicios.

Ataques de Fuerza Bruta y violaciones de datos 

Los Ataques de Fuerza Bruta están aumentando y representan aproximadamente el 80% de todos los ataques a la red. Dado que la adivinación de contraseñas se ha automatizado, al atacante no le lleva mucho tiempo descifrar ninguna cuenta. 

La máquina del hacker (o incluso una red de ordenadores conocida como botnet) puede generar miles de combinaciones por segundo. Esto permite al atacante obtener acceso no autorizado a un sitio web o una aplicación web en poco tiempo. 

Y si te preguntas por qué un hacker atacaría tu sitio web , la explicación es sencilla. Los piratas informáticos tienen la capacidad de realizar miles de solicitudes web por segundo. Rara vez eligen en qué sitios web les gustaría entrar: intentarán piratear tantos como sea posible. 

Obtener acceso de administrador a un sitio web o incluso a un servidor completo abre oportunidades casi ilimitadas para que los piratas informáticos exploten el sistema. Uno de los cuales es la filtración de información del usuario, incluidos nombres de usuario y contraseñas, de la base de datos de la aplicación.

Por qué el uso de contraseñas seguras no soluciona todos los riesgos de seguridad

El uso de contraseñas seguras es absolutamente esencial y proporcionará una sólida línea de defensa contra Ataques de Fuerza Bruta. Se cree que el uso de una contraseña segura soluciona todos los riesgos de seguridad. Sin embargo, esto sólo puede disminuir las posibilidades de que sus credenciales se vean comprometidas hasta cierto punto.

Sólo alrededor del 30% de los usuarios configuran la autenticación de dos factores. Sin utilizar la autenticación multifactor, los piratas informáticos están a solo un paso de obtener acceso a información confidencial.

Configurar contraseñas de un solo uso, verificación por SMS o cualquier otro tipo de 2FA es una excelente opción para superar la mayoría de las vulnerabilidades de seguridad de la autenticación de contraseñas. Sin embargo, las Claves de Acceso pueden marcar una diferencia real en el mundo de la ciberseguridad.

¿Qué son las claves de acceso?

Las Claves de Acceso son credenciales digitales impulsadas por criptografía asimétrica que pueden reemplazar completamente la autenticación basada en contraseñas. Como forma de autenticación sin contraseña, las claves de acceso brindan una forma más rápida y segura de iniciar sesión en servicios y aplicaciones en múltiples dispositivos de usuario.

La autenticación sin contraseña le permite evitar tener que ingresar un nombre de usuario y contraseña para iniciar sesión. En su lugar, su dispositivo generará una clave de acceso: un par de claves criptográficas que identificará una determinada identificación de credencial.

Cómo las claves de acceso garantizan una autenticación segura 

Cada clave de acceso que crea es única y está dirigida a un sitio web o aplicación web individual. Como no hay secretos compartidos ni contraseñas que el usuario deba recordar, las Claves de Acceso brindan protección total contra el phishing y los ataques de fuerza bruta.

Una vez que se crea una nueva clave de acceso, el servidor guardará la clave pública y la ID de la credencial. La clave privada se almacenará de forma segura en el dispositivo del usuario o en una clave de seguridad de hardware como YubiKey que pueda llevar consigo.

Para admitir Claves de Acceso, el dispositivo del usuario debe tener el chip de seguridad del Módulo de plataforma confiable (TPM) para realizar operaciones criptográficas, como generar claves y un autenticador de plataforma. El autenticador de plataforma normalmente admitiría múltiples tipos de verificación de identidad, incluida información biométrica y códigos PIN.

Las Claves de Acceso también se pueden sincronizar automáticamente entre los dispositivos del usuario a través de un servicio en la nube. Por lo tanto, no es necesario crear un nuevo par de claves en otros dispositivos. La sincronización de la clave de acceso está cifrada de extremo a extremo y el servicio en la nube almacenará de forma segura una copia cifrada de la clave de acceso.

Incluso si se filtra la clave pública, será inútil para el hacker sin la clave privada correspondiente. Esto elimina cualquier posibilidad de acceso no autorizado debido a una violación de datos. No existe una forma real de que un actor malintencionado se haga pasar por usted. 

¿Cómo funcionan las Claves de Acceso?

El uso de Claves de Acceso ha sido posible gracias al desarrollo de la criptografía asimétrica y a varios estándares y protocolos creados por la Alianza FIDO y el Consorcio World Wide Web. Repasemos cómo funcionan las Claves de Acceso con más detalle aprendiendo más sobre la criptografía de clave pública, WebAuthn y el protocolo de cliente a autenticador.

Criptografía de Clave Pública

La clave pública, o criptografía asimétrica, implica un par de claves (pública y privada) que se utilizan para cifrar y descifrar datos intercambiados por diferentes partes. La clave privada debe mantenerse en secreto mientras la clave pública se publica en línea (o se entrega al servidor cuando se crea una clave de acceso).

Además de la autenticación sin contraseña, la criptografía asimétrica ayuda a garantizar el cifrado de extremo a extremo para proteger el tráfico que viaja a través de la red. Un certificado SSL/TLS tiene la clave privada instalada en el servidor de origen, mientras que la clave pública se utiliza para verificar la identidad de un sitio web antes de establecer una conexión.

API de autenticación web (WebAuthn) y protocolo de cliente a autenticador

Junto con el protocolo de cliente a autenticador, la API de autenticación web forma parte del marco FIDO2, un conjunto de tecnologías que permiten utilizar la autenticación sin contraseña entre servidores, navegadores y autenticadores.

WebAuthn, abreviatura de Web Authentication API, es una nueva especificación desarrollada por World Web Consortium y FIDO que permite a los servidores implementar autenticación sin contraseña. A partir de 2019, WebAuthn es compatible con los principales navegadores, incluidos Chrome, Firefox, Safari y Edge. 

Como interfaz de programación de aplicaciones, WebAuthn permite que los sitios web y las aplicaciones web registren y autentiquen a los usuarios utilizando Claves de Acceso en lugar de contraseñas.

La autenticación web funciona junto con otros estándares FIDO, como la administración de credenciales y el protocolo de cliente a autenticador 2 (CTAP 2). CTAP 2 es un protocolo de capa de aplicación que especifica la comunicación entre el navegador, el sistema operativo y un autenticador itinerante.

Registrar una clave de acceso

Cuando registra una nueva Claves de Acceso para autenticarse, el servidor que aloja la aplicación generará un desafío. Luego, su dispositivo creará un nuevo par de claves, firmará el desafío y enviará la clave pública al servidor, junto con la identificación de la credencial.

El servidor guardará la clave pública y el identificador de credencial para autenticarlo la próxima vez que inicie sesión. Puede crear varias Claves de Acceso para cada cuenta para mayor redundancia. Esto también ayuda a una recuperación más rápida de la cuenta en caso de que se pierda la clave de acceso principal.

La clave privada se guardará en su dispositivo y se almacenará de forma segura allí. La única forma de acceder a la clave privada es verificando su identidad mediante un sensor biométrico. Esto incluye su huella digital o patrones faciales o un PIN. 

El proceso de autenticación sin contraseña 

Una vez que se crea una nueva clave de acceso para su cuenta, puede aprovechar la autenticación sin contraseña siempre que necesite iniciar sesión en un sitio web o una aplicación. En lugar de iniciar sesión con un nombre de usuario y contraseña, puede optar por utilizar una clave de acceso.

El servidor enviará la ID de la credencial (o varias ID si ha generado más de una clave de acceso para la cuenta) y un desafío. Luego, su dispositivo utilizará la identificación de la credencial para encontrar la clave correcta y le solicitará que valide su identidad utilizando uno de los métodos de autenticación admitidos.

Una vez que se desbloquea la clave, su dispositivo firmará el desafío y lo enviará al servidor para su autenticación. El servidor verificará el desafío firmado utilizando la clave pública del par y otorgará acceso a su cuenta.

Cómo los gigantes tecnológicos implementan las claves de acceso 

Los tres gigantes tecnológicos mundiales (Apple, Google y Microsoft) han liderado el camino hacia la autenticación sin contraseña en los principales navegadores y sistemas operativos. Android, iOS y Windows ahora pueden utilizar potentes autenticadores de plataforma integrados y sincronizar claves de acceso en múltiples dispositivos.

Apple

Apple introdujo claves de acceso con el lanzamiento de IOS 16 y macOS Ventura, lo que hace que la autenticación sin contraseña esté disponible para los usuarios en todos los dispositivos Apple. Los autenticadores integrados de Apple, como Touch ID y Face ID, autorizan el uso de claves de acceso en Safari y otros navegadores importantes.

Las claves de acceso se sincronizan en todos los dispositivos Apple de los usuarios con la ayuda de iCloud Keychain. Cuando un usuario habilita iCloud Keychain por primera vez, el dispositivo Apple establece un círculo de confianza y crea un nuevo par de claves único almacenado en el llavero del dispositivo. De esta manera, iCloud Keychain proporciona cifrado de extremo a extremo con claves criptográficas seguras.

Google

En octubre, Google anunció que brindaría compatibilidad con claves de acceso a Google Chrome y Android. Este fue un hito importante en la integración de claves de acceso en el ecosistema. En Chrome y Android, las claves de acceso se almacenan en Google Password Manager. Las credenciales se sincronizan entre los dispositivos del usuario que iniciaron sesión en la misma cuenta de Google.

En el futuro, Google planea ampliar la compatibilidad con claves de acceso para Android. Una nueva API permitirá el uso de claves de acceso para aplicaciones de Android.

Microsoft

Microsoft ha liderado el camino en la implementación de la autenticación sin contraseña en Internet. Antes de 2022, la compatibilidad con claves de acceso ya estaba incluida para Windows 365 y Azure Virtual Desktop. 

Microsoft permite inicios de sesión sin contraseña utilizando Windows Hello, un autenticador de plataforma robusto ahora integrado en Windows 10 y 11. La implementación de claves de acceso de Microsoft es similar a la de Apple. Le permite sincronizar sus claves de acceso entre dispositivos que hayan iniciado sesión en la misma cuenta de Microsoft.

Otras empresas que utilizan claves de acceso 

Varias empresas ya han adoptado la autenticación sin contraseña basada en los estándares desarrollados por FIDO Alliance. PayPal, Amazon, eBay, Facebook, Netflix e IBM se encuentran entre los innovadores que incorporan la autenticación sin contraseña a sus plataformas.

¿Aún no tienes mantenimiento para tu web?

Tener una desactualizada es un problema de seguridad para tu negocio.

Solicita información para tener un mantenimiento completo de tu web o tienda online por menos de la mitad de lo que te cuesta un café.

Más info
VER MÁS NOTICIAS
webpamplona-subvencion
Esta empresa ha recibido una ayuda para la transformación productiva de personas autónomas y microempresas hacia la economía verde y digital (MRR) financiado por la Unión Europea – Next Generation EU con la colaboración del SNE-NL y dentro del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España año 2022.