Apple, Google y Microsoft colaboran para admitir inicios de sesión FIDO sin contraseña

El 5 de mayo, Día Mundial de la Contraseña, podemos estar un paso más cerca de que las contraseñas se conviertan en una cosa del pasado.

En un esfuerzo conjunto, los gigantes tecnológicos manzanaGoogle y Microsoft anunció el jueves por la mañana Se han comprometido a crear soporte para el inicio de sesión sin contraseña en todas las plataformas móviles, de escritorio y de navegador que controlan durante el próximo año. Efectivamente, eso significa que Autenticación sin contraseña Llegará a todas las principales plataformas de hardware en un futuro no muy lejano: plataformas móviles Android e iOS; navegadores Chrome, Edge y Safari; Entornos de escritorio Windows y macOS.

“Así como diseñamos nuestros productos para que sean intuitivos y capaces, también los diseñamos para que sean privados y seguros”, dijo Kurt Knight, director senior de marketing de productos de plataforma de Apple. “Trabajar con la industria para crear métodos de inicio de sesión nuevos y más seguros que brinden una mejor protección y eliminen las vulnerabilidades de las contraseñas es fundamental para nuestro compromiso de crear productos que brinden la máxima seguridad y una experiencia de usuario transparente, todo con el objetivo de mantener la información personal de los usuarios. a salvo.»

El proceso de inicio de sesión sin contraseña permitirá a los usuarios elegir su teléfono como el principal dispositivo de autenticación para aplicaciones, sitios web y otros servicios digitales, explicó Google en Entrada en el blog Publicado el jueves. Desbloquear el teléfono con lo que esté configurado como predeterminado (ingresar un PIN, dibujar un patrón o usar el desbloqueo de huellas dactilares) será suficiente para iniciar sesión en los servicios web sin tener que ingresar una contraseña, lo cual es posible gracias al uso de un token único. de Su tipo se llama clave de acceso que se comparte entre el teléfono y el sitio web.

Al condicionar los inicios de sesión a un dispositivo físico, la idea es que los usuarios se beneficien simultáneamente de la simplicidad y la seguridad. Sin una contraseña, no habrá obligación de recordar sus datos de inicio de sesión a través de los Servicios ni poner en peligro su seguridad al reutilizar la misma contraseña en varios lugares. Del mismo modo, un sistema sin contraseña dificultaría que los piratas informáticos hackearan de forma remota los datos de inicio de sesión porque el inicio de sesión requiere acceso a un dispositivo físico; En teoría, los ataques de phishing en los que se dirige a los usuarios a un sitio web falso para capturar contraseñas serían mucho más difíciles.

Vasu Jakal, vicepresidente de seguridad y cumplimiento, identidad y privacidad de Microsoft, enfatizó el grado de compatibilidad entre plataformas. “Al usar claves de acceso en su dispositivo móvil, puede iniciar sesión en una aplicación o servicio en prácticamente cualquier dispositivo, independientemente de la plataforma o el navegador que esté ejecutando el dispositivo”, dijo Jackal en un comunicado enviado por correo electrónico. Por ejemplo, los usuarios pueden iniciar sesión en el navegador Google Chrome que se ejecuta en Microsoft Windows, utilizando una clave de acceso en un dispositivo Apple.

Funcionalidad multiplataforma posible gracias a un archivo Estándar llamado FIDO, que utiliza principios de criptografía de clave pública para habilitar la autenticación sin contraseña y la autenticación multifactor en una variedad de contextos. El teléfono del usuario puede almacenar una clave de paso única compatible con FIDO y solo la compartirá con un sitio web de autenticación cuando el teléfono esté desbloqueado. Según la publicación de Google, las claves de acceso también se pueden sincronizar fácilmente con un nuevo dispositivo desde una copia de seguridad en la nube en caso de que se pierda el teléfono.

Aunque muchas de las aplicaciones ya son populares Soporte de autenticación FIDO incluidoel inicio de sesión inicial requiere el uso de una contraseña antes de que se pueda configurar FIDO, lo que significa que los usuarios aún son vulnerables a los ataques de phishing que ven las contraseñas interceptadas o robadas en el camino.

Pero las nuevas medidas eliminarán el requisito de contraseña inicial, dijo Sampath Srinivas, director de gestión de productos de Google para autenticación segura y presidente de FIDO Alliance, en un comunicado por correo electrónico enviado a el borde.

“Este soporte ampliado de FIDO anunciado hoy permitirá que los sitios web implementen, por primera vez, una prueba integral sin contraseña con seguridad resistente al phishing”, dijo Srinivas. «Esto incluye tanto el primer inicio de sesión en el sitio web como la frecuencia de inicio de sesión. Cuando el soporte de claves esté disponible en toda la industria en 2022 y 2023, finalmente tendremos una plataforma en línea para un futuro verdaderamente libre de contraseñas».

Hasta ahora, Apple, Google y Microsoft han dicho que esperan que las nuevas capacidades de inicio de sesión estén disponibles en todas las plataformas el próximo año, aunque no se ha anunciado una hoja de ruta más específica. aunque Complot para matar la contraseña Hace años, y hay indicios de que finalmente pudo haber funcionado esta vez.