Uso de Passkey y Passwordless en reemplazo de las p… contraseñas

Google anunció que más de 400 millones de cuentas de Google están utilizando
Passkeys, autenticando a los usuarios más de mil millones de veces en los últimos dos
años.

“Las claves de acceso son fáciles de usar y resistentes al phishing; solo
dependen de una huella digital, un escaneo facial o un PIN, lo que las hace
un 50% más rápidas que las contraseñas”, dijo Heather Adkins, vicepresidenta de ingeniería de seguridad de Google.

Las Passkeys ya se utilizan para la autenticación en cuentas de Google con
más frecuencia que las formas heredadas de autenticación de dos factores,
como las contraseñas de un solo uso (OTP) por SMS y las OTP basadas en
aplicaciones combinadas.

Además, la compañía dijo que está ampliando la protección entre cuentas, que
alerta de eventos sospechosos con aplicaciones y servicios de terceros
conectados a la cuenta de Google de un usuario, para incluir más aplicaciones
y servicios.

También se espera que Google respalde el uso de las Passkeys para
usuarios de alto riesgo como parte de su
Programa de Protección Avanzada (APP), cuyo objetivo es proteger a las personas de ataques dirigidos por quiénes
son y qué hacen. Esto incluye a trabajadores de campaña y candidatos,
periodistas y activistas de derechos humanos, entre otros.

Si bien la aplicación anteriormente requería el uso de claves de seguridad de
hardware como segundo factor, ahora permitirá la inscripción con cualquier
clave de acceso junto con las claves de seguridad de hardware, o usarlas como
único medio de autenticación.

Google agregó Passkeys
a Chrome en diciembre de 2022 y desde entonces ha implementado la solución de
autenticación sin contraseña en todas las cuentas de Google de forma
predeterminada.

Los métodos y estándares de autenticación modernos como FIDO2 están diseñados para resistir ataques de phishing y secuestro de sesión aprovechando claves criptográficas generadas y vinculadas a teléfonos inteligentes y computadoras para verificar a los usuarios en lugar de una contraseña que puede robarse fácilmente mediante la recolección de credenciales o malware.

Sin embargo, una nueva investigación de Silverfort ha descubierto que un actor de amenazas podría eludir FIDO2 organizando un ataque de adversario en el medio (AitM) que puede secuestrar sesiones de usuario en aplicaciones que utilizan soluciones de inicio de sesión único (SSO) como Microsoft Entra. ID, PingFederate y Yubico.

“Un ataque MitM exitoso expone todo el contenido de la solicitud y la respuesta del proceso de autenticación”, dijo el investigador de seguridad Dor Segal.

1Password, Amazon, Apple, Dashlane, Docusign, eBay, Kayak, Microsoft, PayPal,
Shopify, Uber y WhatsApp son algunas de las otras empresas destacadas que han
adoptado Passkey.

Microsoft también integró PassKey en Windows 11
en septiembre de 2023, anunció sus planes para admitir el estándar de
autenticación para cuentas de consumidores mediante datos biométricos o PIN de
dispositivo en las plataformas Windows, Google y Apple.

Las Passkeys funcionan creando un par de claves criptográficas, una clave
privada que se almacena en el dispositivo y una clave pública que se
comparte con la aplicación o el sitio web para el que se utilizará la clave
de acceso.

“Debido a que esta combinación de par de claves es única, las Passkey sólo
funcionará en el sitio web o aplicación para la que la creó, por lo que no
pueden engañarlo para que inicie sesión en un sitio web malicioso”,
dijo Vasu Jakkal de Microsoft.

Las Passkey también se pueden almacenar en soluciones de administración de
contraseñas de terceros, como 1Password y Dashlane, lo que brinda a los
usuarios más control sobre dónde pueden almacenarse más allá de Google
Password Manager, iCloud Keychain y Windows.

“Las
Passkey pueden actuar como primer y segundo factor
simultáneamente. Al crearla,, se puede omitir el ingreso de su contraseña.
Esto reemplaza su contraseña almacenada de forma remota con el PIN que se
utiliza para desbloquear la clave de seguridad, lo que mejora la seguridad
del usuario”.

Sin embargo, también
surgen preocupaciones
de que las empresas estén utilizando las Passkey como una forma de
“capturar usuarios y audiencias en una sola plataforma y los intereses
corporativos hayan prevalecido una vez más sobre la buena experiencia del
usuario”.

“Qué mejor manera de fomentar la trampa a largo plazo de los usuarios que
bloquear todas sus credenciales en su plataforma, y aún mejor, credenciales
que no se pueden extraer ni exportar de ninguna manera”, dijo William Brown, ingeniero de software involucrado en el desarrollo de
Webautn-rs.

2FA simplificado

Google también anunció que está simplificando el proceso de habilitar la autenticación de dos factores (2FA) para usuarios con cuentas personales y de Workspace. También llamada verificación en dos pasos (2-Step Verification – 2SV), su objetivo es agregar una capa adicional de seguridad a las cuentas de los usuarios para evitar ataques de apropiación en caso de que se roben las contraseñas.

El nuevo cambio implica agregar un método de segundo paso, como una aplicación de autenticación o una clave de seguridad de hardware, antes de activar 2FA, eliminando así la necesidad de utilizar la autenticación basada en SMS, menos segura.

“Esto es particularmente útil para las organizaciones que utilizan Google Authenticator (u otras aplicaciones equivalentes de contraseña de un solo uso (TOTP)). Anteriormente, los usuarios tenían que habilitar 2SV con un número de teléfono antes de poder agregar Authenticator”.

Fuente:
THN

Leave Your Comment