Uso de Passkey y Passwordless en reemplazo de las p... contraseñas

Google anunció que más de 400 millones de cuentas de Google están utilizando Passkeys, autenticando a los usuarios más de mil millones de veces en los últimos dos años.

"Las claves de acceso son fáciles de usar y resistentes al phishing; solo dependen de una huella digital, un escaneo facial o un PIN, lo que las hace un 50% más rápidas que las contraseñas", dijo Heather Adkins, vicepresidenta de ingeniería de seguridad de Google.

Las Passkeys ya se utilizan para la autenticación en cuentas de Google con más frecuencia que las formas heredadas de autenticación de dos factores, como las contraseñas de un solo uso (OTP) por SMS y las OTP basadas en aplicaciones combinadas.

Además, la compañía dijo que está ampliando la protección entre cuentas, que alerta de eventos sospechosos con aplicaciones y servicios de terceros conectados a la cuenta de Google de un usuario, para incluir más aplicaciones y servicios.

También se espera que Google respalde el uso de las Passkeys para usuarios de alto riesgo como parte de su Programa de Protección Avanzada (APP), cuyo objetivo es proteger a las personas de ataques dirigidos por quiénes son y qué hacen. Esto incluye a trabajadores de campaña y candidatos, periodistas y activistas de derechos humanos, entre otros.

Si bien la aplicación anteriormente requería el uso de claves de seguridad de hardware como segundo factor, ahora permitirá la inscripción con cualquier clave de acceso junto con las claves de seguridad de hardware, o usarlas como único medio de autenticación.

Google agregó Passkeys a Chrome en diciembre de 2022 y desde entonces ha implementado la solución de autenticación sin contraseña en todas las cuentas de Google de forma predeterminada.

Los métodos y estándares de autenticación modernos como FIDO2 están diseñados para resistir ataques de phishing y secuestro de sesión aprovechando claves criptográficas generadas y vinculadas a teléfonos inteligentes y computadoras para verificar a los usuarios en lugar de una contraseña que puede robarse fácilmente mediante la recolección de credenciales o malware.

Sin embargo, una nueva investigación de Silverfort ha descubierto que un actor de amenazas podría eludir FIDO2 organizando un ataque de adversario en el medio (AitM) que puede secuestrar sesiones de usuario en aplicaciones que utilizan soluciones de inicio de sesión único (SSO) como Microsoft Entra. ID, PingFederate y Yubico.

"Un ataque MitM exitoso expone todo el contenido de la solicitud y la respuesta del proceso de autenticación", dijo el investigador de seguridad Dor Segal.

1Password, Amazon, Apple, Dashlane, Docusign, eBay, Kayak, Microsoft, PayPal, Shopify, Uber y WhatsApp son algunas de las otras empresas destacadas que han adoptado Passkey.

Microsoft también integró PassKey en Windows 11 en septiembre de 2023, anunció sus planes para admitir el estándar de autenticación para cuentas de consumidores mediante datos biométricos o PIN de dispositivo en las plataformas Windows, Google y Apple.

Las Passkeys funcionan creando un par de claves criptográficas, una clave privada que se almacena en el dispositivo y una clave pública que se comparte con la aplicación o el sitio web para el que se utilizará la clave de acceso.

"Debido a que esta combinación de par de claves es única, las Passkey sólo funcionará en el sitio web o aplicación para la que la creó, por lo que no pueden engañarlo para que inicie sesión en un sitio web malicioso", dijo Vasu Jakkal de Microsoft.

Las Passkey también se pueden almacenar en soluciones de administración de contraseñas de terceros, como 1Password y Dashlane, lo que brinda a los usuarios más control sobre dónde pueden almacenarse más allá de Google Password Manager, iCloud Keychain y Windows.

"Las Passkey pueden actuar como primer y segundo factor simultáneamente. Al crearla,, se puede omitir el ingreso de su contraseña. Esto reemplaza su contraseña almacenada de forma remota con el PIN que se utiliza para desbloquear la clave de seguridad, lo que mejora la seguridad del usuario".

Sin embargo, también surgen preocupaciones de que las empresas estén utilizando las Passkey como una forma de "capturar usuarios y audiencias en una sola plataforma y los intereses corporativos hayan prevalecido una vez más sobre la buena experiencia del usuario".

"Qué mejor manera de fomentar la trampa a largo plazo de los usuarios que bloquear todas sus credenciales en su plataforma, y aún mejor, credenciales que no se pueden extraer ni exportar de ninguna manera", dijo William Brown, ingeniero de software involucrado en el desarrollo de Webautn-rs.

2FA simplificado

Google también anunció que está simplificando el proceso de habilitar la autenticación de dos factores (2FA) para usuarios con cuentas personales y de Workspace. También llamada verificación en dos pasos (2-Step Verification - 2SV), su objetivo es agregar una capa adicional de seguridad a las cuentas de los usuarios para evitar ataques de apropiación en caso de que se roben las contraseñas.

El nuevo cambio implica agregar un método de segundo paso, como una aplicación de autenticación o una clave de seguridad de hardware, antes de activar 2FA, eliminando así la necesidad de utilizar la autenticación basada en SMS, menos segura.

"Esto es particularmente útil para las organizaciones que utilizan Google Authenticator (u otras aplicaciones equivalentes de contraseña de un solo uso (TOTP)). Anteriormente, los usuarios tenían que habilitar 2SV con un número de teléfono antes de poder agregar Authenticator".

Fuente: THN

Suscríbete a nuestro Boletín