Actualmente, hay una forma principal de asegurar el acceso en línea: nombre de usuario y contraseña. Sin embargo, incluso si creamos una contraseña larga, complicada y compleja, todavía queda una debilidad clave en esta configuración de seguridad: el usuario.
Millones ya han sido víctimas de sitios de phishing, ingeniería social y otras formas de ataques que comprometen las contraseñas. Es por eso que Apple quiere eliminar la contraseña y reemplazarla con claves de acceso.
Entonces, ¿cómo resuelven las claves de acceso de Apple el problema de la contraseña?
¿Qué es el estándar de autenticación web (WebAuthn)?
Este estándar es publicado por el World Wide Web Consortium (W3C), una organización dedicada a la construcción de protocolos y pautas para el desarrollo web a largo plazo. Al desarrollar esta nueva tecnología de autenticación, el grupo espera reducir nuestra dependencia de las contraseñas como la forma principal o única de proteger nuestros datos.
Apple también es miembro del W3C y están incorporando el estándar WebAuthn en las claves de acceso de Apple. Esta función también funciona con el llavero de iCloud, por lo que las personas que ya usan este servicio no necesitan migrar su sistema.
Al implementar la API WebAuthn, los desarrolladores web y los fabricantes de dispositivos garantizan una autenticación que funcionará en diferentes sistemas. Entonces, ya sea que esté en Android, iOS, Mac o Windows, este sistema sin contraseña debería funcionar.
¿Cómo te protegen las claves de paso de Apple?
La mayoría de nosotros hemos confiado en el nombre de usuario y las contraseñas en algún momento. Probablemente todavía lo hagas en este momento. Pero las contraseñas pueden piratearse fácilmente, especialmente si el usuario no tiene una contraseña segura o si es víctima de ingeniería social.
La combinación tradicional de nombre de usuario y contraseña también significa que esta información se almacena en línea. Entonces, si el servicio que está utilizando, como Twitch, por ejemplo, es pirateado, el ataque compromete los datos y más. Si reutiliza su nombre de usuario y contraseña, lo que muchos hacen pero desaconsejamos, sus otras cuentas también están en riesgo.
Autenticación de dos factores (2FA) fue desarrollado para resolver este problema. Al agregar otra capa de seguridad, los usuarios ayudan a evitar el acceso no autorizado a sus cuentas.
Aunque esta tecnología ha aumentado drásticamente la seguridad, especialmente contra los ataques de fuerza bruta, muchos usuarios todavía son víctimas de ataques de ingenieria social. Y mientras que los usuarios expertos en tecnología pueden detectar fácilmente los ataques, es posible que aquellos que no están tan familiarizados no puedan detectarlos. detectar los signos de ataques como estafas de phishing.
Las claves de acceso de Apple tienen como objetivo resolver este problema eliminando la contraseña por completo. Al iniciar sesión en un servicio en línea, ya no tiene que escribir su nombre de usuario y contraseña. En su lugar, solo necesita usar las funciones de seguridad biométrica de su dispositivo, como FaceID o TouchID.
El servicio tampoco está limitado solo dentro de su dispositivo Apple. Puede usar claves de acceso en su PC con Windows o tableta Android. Siempre que esté accediendo a un sitio web que implemente la API de WebAuthn, puede usar las funciones biométricas de su dispositivo Apple para iniciar sesión en su cuenta, incluso si está accediendo desde un dispositivo que no es de Apple. Es como usar tu dispositivo Apple como una llave universal que puede abrir cualquier puerta digital.
¿Cómo funcionan las claves de acceso de Apple?
En lugar de mantener el nombre de usuario y la contraseña juntos en línea, las claves de paso de Apple usar encriptación asimétrica. De acuerdo a Página de soporte de seguridad de claves de paso de Apple:
Durante el registro de la cuenta, el sistema operativo crea un par de claves criptográficas único para asociarlo con una cuenta para la aplicación o el sitio web. Estas claves son generadas por el dispositivo, de forma segura y única, para cada cuenta.
Una de estas claves es pública y se almacena en el servidor. Esta clave pública no es un secreto. La otra clave es privada y es lo que se necesita para iniciar sesión. El servidor nunca aprende cuál es la clave privada. En los dispositivos Apple con Touch ID o Face ID disponibles, se pueden usar para autorizar el uso de la clave de acceso, que luego autentica al usuario en la aplicación o el sitio web. No se transmite ningún secreto compartido y el servidor no necesita proteger la clave pública.
Cuando usa un nombre de usuario y una contraseña, el servidor guarda el candado (su nombre de usuario) y la clave (su contraseña). Para abrir la cerradura, le muestra al servidor que tiene una llave similar y le abre la puerta.
Pero con las claves de acceso de Apple, el servidor nunca tendrá la clave. En cambio, te entrega el candado y tú mismo lo abres. Y dado que el servidor solo le entregará el bloqueo si lo tiene físicamente (es decir, sus datos están realmente almacenados en su servidor), los ataques de phishing se convertirán en ineficaces porque no tienen el candado (es decir, no pueden pedir la clave, porque las claves de acceso de Apple solo la liberarán si entregan una clave válida). cerrar).
Con este sistema, solo la entidad válida puede solicitar una clave de acceso, lo que garantiza que los usuarios tengan menos probabilidades de ser víctimas de estafas de phishing y otros ataques de ingeniería social. También es mucho más conveniente ya que los usuarios ya no tienen que recordar una miríada de credenciales de inicio de sesión. Todo lo que necesitan es iniciar sesión en su ID de Apple protegida por 2FA.
Otro ejemplo de un sistema sin contraseña
Si bien Apple podría ser el primero en integrarse efectivamente en un sistema operativo de teléfono inteligente, no es la primera compañía en implementar sistemas sin contraseña. Si tiene una cuenta de Microsoft, probablemente se haya encontrado con esta tecnología.
Si ha configurado inicios de sesión sin contraseña con su cuenta de Microsoft, puede iniciar sesión con la aplicación Microsoft Authenticator, no se necesita nombre de usuario ni contraseña. Aunque está disponible principalmente en el navegador Microsoft Edge, también puede usar Windows Hello o un navegador de seguridad. clave para usar la aplicación Microsoft Authenticator para iniciar sesión en su cuenta de Microsoft en otros navegadores como Google Cromo.
¿Diciendo adiós a las contraseñas?
Aunque los nombres de usuario y las contraseñas han protegido a los usuarios durante la mayor parte de los 60 años, podrían ser acercándose al final de sus vidas gracias por mejores sistemas de seguridad en otros lugares, que son más fáciles de usar también. A medida que nos suscribimos a más y más servicios, la idea de memorizar decenas, si no cientos, de combinaciones de nombre de usuario y contraseña puede ser desalentadora.
Los piratas informáticos también se están volviendo más sofisticados, lo que les permite comprometer los datos incluso con seguridad mejorada. Y aunque la autenticación multifactor ha aumentado un poco la seguridad de las credenciales de inicio de sesión tradicionales, aún deja al usuario como una vulnerabilidad significativa.
Con las claves de acceso, podemos avanzar desde el nombre de usuario y las contraseñas hacia un futuro más seguro. Y a medida que se desarrollan y lanzan al mercado nuevas tecnologías como la computación cuántica, la combinación tradicional de nombre de usuario y contraseña corre el riesgo de volverse obsoleta de la noche a la mañana.