Las contraseñas son un aspecto central de la infraestructura y la práctica de la seguridad, pero también son uno de los principales puntos débiles implicados en el 81% de los casos de piratería informática. Los problemas inherentes a su uso dificultan la gestión segura de las contraseñas por parte de los usuarios. Estas deficiencias de seguridad y facilidad de uso han impulsado la búsqueda de enfoques alternativos conocidos generalmente como autenticación sin contraseña.
Las claves de acceso son un tipo de autenticación sin contraseña cada vez más utilizado. Se convertirán en un elemento clave de la seguridad en los próximos años. Las claves de paso representan una base más segura para la seguridad de las empresas. Aunque no son infalibles (pueden sincronizarse con un dispositivo que ejecute un sistema operativo inseguro, por ejemplo), son mucho más seguras que las contraseñas para clientes, empleados y socios por igual.
Claves de acceso frente a contraseñas
El principal problema de seguridad de las contraseñas es que no son más que cadenas de caracteres que desbloquean recursos seguros sin tener en cuenta a quién pertenecen. Es como la llave metálica de un coche que se abre y arranca sin tener en cuenta ningún otro factor. Las estadísticas sobre las credenciales de contraseña de que disponen los delincuentes son alarmantes y empeoran cada año.
Las claves de acceso son un método de autenticación multifactorial que hace hincapié en el dispositivo como primer factor. Al unir el dispositivo con otro factor, las passkeys (claves de acceso) evolucionan del estilo de seguridad "lo que sabes" representado por las contraseñas a un "lo que posees y lo que sabes".
A medida que las contraseñas sean reemplazadas, el teléfono representará un primer factor más fuerte. Esto no sólo mejorará la experiencia del usuario, sino también la seguridad. Las passkeys no se limitan a los smartphones y están disponibles en otros dispositivos como tabletas, portátiles y PC.
Apple, Google y Microsoft son compatibles con las passkeys. Esto es un indicio de la fuerza de la marea detrás de la adopción de passkeys, pero también revela algo acerca de cómo funcionan las passkeys. Las passkeys más recientes incluyen una parte de almacenamiento en la nube para la sincronización entre dispositivos y, en ese aspecto, el proveedor que utilices (por ejemplo, Apple para iCloud) influye en cómo se comportarán las passkeys. Las passkeys pueden pasar sin problemas de un dispositivo a otro dentro del mismo ecosistema y se está trabajando para simplificar las transferencias entre ecosistemas.
Cómo funcionan las claves de acceso
La fuerza del factor dispositivo es simple: es una entidad física. Un hacker en Rusia no puede robar el teléfono de un empleado en California. Por supuesto, un teléfono puede ser robado o extraviado, pero (casi con toda seguridad) ya está bloqueado y las passkeys utilizan el teléfono junto con un segundo factor. El teléfono (u otro dispositivo) ya es una entidad con la que los empleados interactúan regularmente, están acostumbrados a tratar de forma segura y tienen a mano. También está asociado a otra información verificable (como una cuenta de proveedor de telefonía).
Aunque el dispositivo físico es el ancla de la seguridad de la clave de acceso, no es un componente de hardware real el que asocia la clave de acceso con el dispositivo. Se trata más bien de un puente entre el dispositivo y las aplicaciones del usuario, mediado por el sistema operativo o el navegador. Se ha trabajado mucho (y se sigue trabajando) para orquestar esto de forma segura.
Tipos de claves
Las características físicas del dispositivo constituyen una base de seguridad más sólida. Por encima de este factor hay varios secundarios que se utilizan para verificar que el usuario es el propietario válido del dispositivo. Los tipos más destacados de claves son los biométricos (por ejemplo, huellas dactilares o reconocimiento facial), los basados en fichas, los basados en PIN, los orientados al movimiento o incluso las contraseñas.
Cómo utilizan las claves de acceso la criptografía de clave pública
El servicio passkey de tu dispositivo utiliza estos factores (dispositivo y factor secundario) para crear un par de claves criptográficas asimétricas para cada sitio web, aplicación o servicio (la aplicación de autenticación) en el que utilices la autenticación passkey. La clave privada se almacena en el dispositivo en una cámara acorazada y la aplicación de autenticación tiene la clave pública. Este sistema ofrece muchas ventajas de seguridad con respecto a las contraseñas. Por ejemplo, como sólo se expone la clave pública, no hay ningún objetivo útil para los hackers en la red o en las bases de datos. La clave pública es inútil para los atacantes.
Cómo utiliza el usuario final las claves de acceso
Crear una cuenta e iniciar sesión con una clave de acceso es más sencillo que con una contraseña. La contraseña se establece en el dispositivo para el sitio web con una huella dactilar, un escáner facial u otro segundo factor. Aquí es donde teóricamente podría utilizarse una contraseña como factor secundario para validar que el usuario actual es el usuario real. A partir de entonces, el usuario no tendría que introducir la contraseña en los siguientes inicios de sesión. La contraseña u otro factor nunca se difunde ni se almacena de forma remota.
Claves multidispositivo
Una vez establecida una contraseña para un servicio determinado, el mismo dispositivo puede utilizarse para compartirla de forma segura con otro dispositivo. Los dispositivos deben estar cerca, al alcance de una conexión inalámbrica, y el usuario asume un papel activo en la verificación de la sincronización del dispositivo. También influye el servicio remoto en la nube del dispositivo en cuestión.
Esto significa que un iPhone utiliza la nube de Apple, un dispositivo Android utiliza Google Cloud Platform (GCP) y Windows utiliza Microsoft Azure. Se está trabajando para simplificar el intercambio de claves entre proveedores. Compartir claves entre proveedores es un proceso bastante manual, por ejemplo, para pasar de un dispositivo Android a un portátil MacOS.
Ventajas e inconvenientes de las claves de paso
Las claves de paso son claves criptográficas, por lo que desaparece la posibilidad de contraseñas débiles. No comparten información vulnerable, por lo que se eliminan muchos vectores de ataque a las contraseñas. Las passkeys son resistentes al phishing y a otros ataques de ingeniería social: la propia infraestructura de la passkey negocia el proceso de verificación y no se deja engañar por un buen sitio web falso: se acabó teclear accidentalmente una contraseña en el formulario equivocado.
Existen algunos problemas de seguridad en la empresa, sobre todo a la hora de garantizar que los empleados y otras personas sigan la política de seguridad de los dispositivos utilizados con passkeys. Además, se está trabajando en la recuperación de las claves. En caso de pérdida, robo o destrucción de un dispositivo, estaría bien poder recuperar todas las claves de acceso de una sola vez desde el proveedor en la nube. El proceso requiere volver a solicitar una clave a cada servicio. Por otro lado, un dispositivo robado no es una vulnerabilidad de seguridad, ya que el propio dispositivo debe ser desbloqueado para acceder a la clave de acceso.
Implantación de passkeys
Las passkeys son un avance importante en el que deben pensar los responsables de TI de las empresas para saber cómo pueden mejorar la experiencia y la seguridad de los usuarios y cómo introducirlas en sus procesos e infraestructuras. Afortunadamente, no es tan difícil añadirlas, ya que la mayor parte del trabajo pesado lo realizan bibliotecas y especificaciones bien definidas desarrolladas por la alianza FIDO, un consorcio abierto respaldado por las grandes empresas tecnológicas. Además, los servicios de seguridad de terceros están empezando a ser compatibles con las claves de acceso, lo que facilita enormemente su uso.
El elemento más importante que falta en la infraestructura de las passkeys es que las aplicaciones y los sitios web empiecen a utilizarlas. Sólo un puñado de sitios web han implantado la autenticación con passkey. Es probable que esta situación cambie rápidamente.
Para los responsables de la ciberseguridad de los proyectos de software, la llegada de las passkeys representa tanto una obligación como una oportunidad. El desarrollo de la compatibilidad con las claves de acceso exigirá un esfuerzo proporcional a la escala de la infraestructura existente. Afortunadamente, las herramientas de seguridad de terceros y los proveedores se están moviendo para apoyar las claves de acceso, y esto puede simplificar en gran medida el proceso de su incorporación.
Añadir soporte para autenticadores de claves de paso a una aplicación implica modificar los componentes front-end y back-end para que admitan flujos de trabajo de autenticación estándar como la creación de cuentas, la revocación y el inicio de sesión. También existe el caso de uso especializado de convertir una cuenta basada en contraseña en una basada en clave de paso.
Fuente: CSO
Comments