Crear una contraseña segura es posiblemente la actividad mas molesta a la que pueda enfrentarse un usuario de Internet y cuando se trata de crear una por cada sitio web que requiere autenticación se vuelve un dolor de cabeza.
Es por esta razón que Apple, Google y Microsoft se unieron para implementar un estándar desarrollado por la alianza FIDO, que busca acelerar la disponibilidad de los inicios de sesión y evitar al máximo el uso de contraseñas.
¿Qué es la Alianza Fido y como promete acabar con el uso de contraseñas?
Por: Gabriel E. Levy B.
www.galevy.com
La sigla FIDO hace referencia a una alianza promovida por PAYPAL, Lenovo, Google y otras grandes compañías tecnológicas, que desde 2013 se estructuró como una asociación industrial abierta, cuya misión es estandarizar los procesos de autenticación en sistemas de acceso digital, ayudando a reducir la dependencia excesiva de las contraseñas y los riesgos que le subyacen.
En términos simples, la Alianza FIDO promueve el desarrollo, el uso y el cumplimiento de estándares para la autenticación y certificación de dispositivos digitales, especialmente aquellos que se conectan a la red[1].
Los mayores esfuerzos de FIDO se concentran en cambiar la naturaleza de la autenticación con estándares abiertos que son más seguros que las contraseñas y las OTP de SMS, más simples de usar para los consumidores y más fáciles de implementar y administrar para los proveedores de servicios, aumentando la confiabilidad de los sitios y mejorando las experiencias de los usuarios.
De igual forma la alianza, desarrolla especificaciones técnicas que definen un conjunto de mecanismos abiertos, escalables e interoperables que reducen la dependencia de las contraseñas para autenticar a los usuarios.
El anunció de Microsoft, Google y Apple
El pasado 5 de mayo de 2022, las compañías Google, Apple y Microsoft, anunciaron de forma conjunta que implementarán planes para ampliar el soporte de un estándar común de inicio de sesión sin contraseña, el cual ha sido encomendado a FIDO Alliance y el Consorcio World Wide Web.
“La nueva capacidad permitirá que los sitios web y las aplicaciones ofrezcan inicios de sesión sin contraseña consistentes, seguros y fáciles a los consumidores en todos los dispositivos y plataformas”. Comunicado conjunto de las tres compañías[2].
El Objetivo: erradicar las contraseñas
La autenticación de solo contraseña es uno de los mayores problemas de seguridad en la web, y administrar tantas contraseñas es engorroso para los consumidores, lo que a menudo lleva a los usuarios a reutilizar las mismas claves en todos los sitios webs que frecuentan, lo cual constituye un enorme riesgo de seguridad, pues en caso de una filtración de datos, no solo su identidad será robada, sino que quedará expuesta toda su vida digital ante los piratas informáticos.
Si bien los administradores de contraseñas y las formas heredadas de autenticación de dos factores han mejorado sustancialmente la seguridad en muchos sitios web, existe consenso por parte de Google, Apple y Microsoft, que se debe crear una tecnología de inicio de sesión que sea más conveniente y segura.
¿En qué consiste la iniciativa?
Las capacidades ampliadas basadas en estándares darán a los sitios web y aplicaciones la capacidad de ofrecer una opción sin contraseña de extremo a extremo.
Los usuarios iniciarán sesión a través de la misma acción que realizan varias veces al día para desbloquear sus dispositivos, como una simple verificación de su huella digital o rostro, o un PIN del dispositivo.
Este nuevo enfoque protegerá de forma mucho más efectiva contra el phishing y otras prácticas delictivas informáticas.
Una expansión del soporte estándar sin contraseña
Cientos de empresas de tecnología y proveedores de servicios de todo el mundo trabajaron con FIDO Alliance y W3C para crear los estándares de inicio de sesión sin contraseña que ya son compatibles con miles de millones de dispositivos y todos los navegadores web modernos. Apple, Google y Microsoft han liderado el desarrollo de este conjunto ampliado de capacidades y ahora están incorporando soporte en sus respectivas plataformas.
Las plataformas de estas empresas ya son compatibles con los estándares de la Alianza FIDO para permitir el inicio de sesión sin contraseña en miles de millones de dispositivos líderes en la industria, pero las implementaciones anteriores requieren que los usuarios inicien sesión en cada sitio web o aplicación con cada dispositivo antes de que puedan usar la funcionalidad sin contraseña.
¿Qué es lo que cambia?
La nueva iniciativa amplía las implementaciones de plataforma para brindar a los usuarios dos nuevas capacidades para inicios de sesión sin contraseña más seguros y sin problemas, los cuales operarán de la siguiente forma:
- Permitirá que los usuarios accedan automáticamente a sus credenciales de inicio de sesión de FIDO (al que algunos se refieren como «clave de acceso») en muchos de sus dispositivos, incluso en los nuevos, sin tener que volver a inscribir cada cuenta.
- Permitirá que los usuarios usen la autenticación FIDO en su dispositivo móvil para iniciar sesión en una aplicación o sitio web en un dispositivo cercano, independientemente de la plataforma del sistema operativo o el navegador que estén ejecutando.
- El amplio apoyo de este enfoque basado en estándares permitirá a los proveedores de servicios ofrecer credenciales FIDO sin necesidad de contraseñas como método alternativo de inicio de sesión o recuperación de cuenta.
Se espera que estas nuevas capacidades estén disponibles en las plataformas en los próximos 12 meses.
“Los estándares desarrollados por la Alianza FIDO y el Consorcio World Wide Web y dirigidos en la práctica por estas empresas innovadoras es el tipo de pensamiento progresista que, en última instancia, mantendrá a los estadounidenses más seguros en línea. Aplaudo el compromiso de nuestros socios del sector privado con los estándares abiertos que añaden flexibilidad a los proveedores de servicios y una mejor experiencia de usuario para los clientes”, Jen Easterly, directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU.
“Estamos trabajando para elevar la base de ciberseguridad para todos los estadounidenses. Hoy es un hito importante en el viaje de la seguridad para fomentar las mejores prácticas de seguridad integradas y ayudarnos a ir más allá de las contraseñas. El cibernético es un deporte de equipo y nos complace continuar nuestra colaboración”. Jen Easterly, directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU[3].
En Conclusión, El uso de contraseñas demostró que ya no es seguro y se hace necesario implementar otro tipo de sistemas de autenticación, esta es la razón por la cual Microsoft, Apple y Google le han confiado a la Asociación y estándar de industria FIDO el desarrollo de un método de autenticación mucho más seguro y confiable, el cual se implementará en menos de un año en alianza con el consorcio de la Word Wide Web.
Pingback: La promesa de la industria para acabar con las contraseñas – Prensa Caribe