He estado argumentando que las contraseñas son terribles durante la mayor parte de una década y he adoptado con entusiasmo un enfoque mucho mejor respecto de las claves.
Se suponía que las claves de acceso alcanzarían el santo grial de un enfoque más seguro que las contraseñas y mucho más fácil de usar. Pero el nuevo trabajo identifica cuatro problemas con la tecnología…
Las claves de acceso son más seguras que las contraseñas
Las contraseñas tienen una serie de problemas de seguridad:
- Los sitios web pueden conocerlos incluso si están cifrados
- Los no expertos en tecnología tienden a reutilizar las contraseñas, por lo que las filtraciones de datos son muy problemáticas
- Las contraseñas son vulnerables a ataques de phishing
Los interruptores resuelven todo eso. En lugar de solicitar su nombre de usuario y contraseña al iniciar sesión, le recomendamos que utilice una clave de acceso. Una web o app lo solicita mediante este sistema nuestro dispositivo Para autenticarnos mediante Face ID o Touch ID. El dispositivo le dice al sitio web que somos nosotros y ha verificado nuestra identidad.
El servidor web confía en su dispositivo para autenticarlo de la misma manera que las terminales de pago confían en un iPhone o Apple Watch para las transacciones de Apple Pay, porque sabe que está autenticado localmente mediante biometría.
En teoría, las claves son bastante sencillas.
Cuando creamos una cuenta, se nos debe ofrecer la opción de usar una clave y todo lo que tenemos que hacer es aceptar. Nuestro dispositivo nos autentica y crea nuestra cuenta de servicio. La próxima vez que iniciemos sesión, simplemente usamos Face ID o Touch ID y listo.
Pero hay cuatro grandes problemas.
Si solo usa dispositivos Apple y usa Safari como navegador web en todos ellos, entonces las claves están tomadas cerca para ser tan simple como eso. La sincronización de iCloud significa que una cuenta creada en un dispositivo Apple estará disponible en todos los demás dispositivos.
pero como Arquitectura afirma que hay mucho desde una experiencia de usuario inconsistente hasta situaciones en las que la realidad es muy diferente de lo prometido.
La experiencia de iniciar sesión en PayPal con una clave de Windows es diferente a iniciar sesión en el mismo sitio en iOS o incluso acceder a Edge en Android. Olvídate de usar una clave para acceder a PayPal en Firefox. El sitio de pago no admite este navegador en ningún sistema operativo.
Peor aún, las claves están vinculadas a navegadores específicos.
Otro ejemplo es cuando creé una clave para mi cuenta de LinkedIn en Firefox. Como uso una amplia gama de navegadores en todas las plataformas, elegí sincronizar la clave usando el administrador de contraseñas de 1Password. En teoría, esta opción me permitiría usar automáticamente esta clave en cualquier lugar donde acceda a mi cuenta de 1Password, algo que de otro modo no podría hacer. Pero no es tan sencillo como todo esto. Cuando miro el interruptor en la configuración de LinkedIn, muestra que fue creado para Firefox en Mac OS X 10, aunque funciona en todos los navegadores y sistemas operativos que uso.
El tercer problema es que empresas como Google y Apple pueden obligarte a utilizar sus propios sistemas de gestión de claves, incluso cuando prefieras lo contrario, a veces incluso si ya tienes una clave configurada.
Quiero abrir LinkedIn en todos mis dispositivos usando una clave sincronizada con 1Password. De todos modos, el misterioso responsable de este mensaje (Google en este caso) secuestró el proceso al intentar convencerme de usar su plataforma.
Consulte también la experiencia en WebAuthn.io que muestra cómo funciona el estándar en diferentes escenarios. Si un usuario desea registrar una clave de seguridad física para iniciar sesión en macOS, recibirá un cuadro de diálogo que le indicará que use la clave y la sincronice a través de iCloud.
Finalmente, si bien el objetivo principal de los interruptores de clave es cerrar los agujeros de seguridad creados por las contraseñas, casi todos los servicios obligan a crear un inicio de sesión con una contraseña.
De los cientos de sitios que admiten claves de acceso, no conozco ninguno que permita a los usuarios renunciar a sus contraseñas por completo. La contraseña aún es necesaria […] Los actores de amenazas desarrollan hacks y ataques de ingeniería social que explotan esta falla. Luego volvemos a nuestra posición anterior.
parte completa vale la pena leer.
Autor de la foto Registro activado Chapoteo
FTC: utilizamos enlaces de afiliados automáticos para generar ingresos. Más.
