Un año después de que
Microsoft anunciara
la compatibilidad con claves de acceso (PassKey) para cuentas de particulares, ahora anunció un cambio importante que obliga
a quienes registren nuevas cuentas a usar el método de autenticación
resistente al phishing de forma predeterminada.
«Las nuevas cuentas de Microsoft ahora serán ‘sin contraseña de forma
predeterminada'»,
declararon
Joy Chik y Vasu Jakkal de Microsoft.
«Los nuevos usuarios tendrán varias opciones sin contraseña para iniciar
sesión en su cuenta y nunca necesitarán registrar una. Los usuarios
existentes pueden visitar la configuración de su cuenta para eliminarla».
El fabricante afirmó que también ha simplificado la experiencia de inicio de
sesión y registro al priorizar los métodos sin contraseña. Además, el proceso
de inicio de sesión ahora detecta automáticamente el mejor método disponible
en la cuenta del usuario y lo establece como predeterminado.
Por ejemplo, si una cuenta ofrece la opción de iniciar sesión con una
contraseña y un código de un solo uso, se le pedirá al usuario que inicie
sesión con un código de un solo uso en lugar de la contraseña. Una vez
iniciada la sesión, se le indicará que configure una clave de acceso para una
protección óptima.
La última iniciativa de Microsoft, junto con sus competidores Apple, Google,
Amazon y otros en los últimos años,
representa un avance firme hacia un futuro sin contraseñas. Dado que
los ciberataques basados en contraseñas siguen siendo un lucrativo vector de
acceso inicial para los ciberdelincuentes, la adopción de claves de acceso
supone un paso importante para la seguridad de las cuentas.
En septiembre de 2023,
Microsoft implementó
la compatibilidad de PassKey en Windows 11, prácticamente al mismo
tiempo que
Google las convirtió en su método de inicio de sesión predeterminado
para todos los usuarios a nivel mundial. El año pasado,
actualizó Windows Hello
para incorporar esta tecnología.
Las PassKey ofrecen una forma más segura de iniciar sesión en sitios
web y aplicaciones al eliminar la necesidad de contraseñas.
Con el respaldo de
Fast Identity Online (FIDO Alliance), las claves de acceso se basan en técnicas de criptografía de clave
pública/privada para autenticar a los usuarios.
Por lo tanto, cuando un usuario se registra en un servicio en línea, su
dispositivo cliente (es decir, teléfono o PC) genera un nuevo par de claves.
La clave privada se almacena de forma segura en el dispositivo del usuario,
mientras que la clave pública se registra en el servicio.
Durante el inicio de sesión, el dispositivo del cliente utiliza la clave
privada para firmar un desafío después de que el propietario del dispositivo
lo autentique utilizando su información biométrica (por ejemplo,
reconocimiento facial o huella dactilar).
En octubre de 2024, la Alianza
FIDO anunció
su colaboración con las partes interesadas para facilitar la exportación de
claves de acceso y otras credenciales entre diferentes proveedores y mejorar
la interoperabilidad entre estos. Desde diciembre del año pasado, más de
15.000 millones de cuentas
de usuario pueden iniciar sesión utilizando claves de acceso en lugar de
contraseñas.
La asociación de la industria abierta también
lanzó
el mes pasadoel grupo Payments Working Group (PWG) para definir e
impulsar soluciones FIDO para casos de uso de pagos. Se espera que el PWG
identifique y evalúe las soluciones existentes y emergentes para abordar los
requisitos de autenticación de pagos y establezca directrices para el uso de
claves de acceso o soluciones FIDO propuestas, junto con las tecnologías de
pago existentes.
Fuente:
THN