El
Centro Nacional de Ciberseguridad (NCSC)ha publicado una guía que recomienda el uso de gestores de contraseñas y
claves de acceso (PassKey), insistiendo en que estas últimas son el
«futuro de la autenticación». El
FBI ya viene haciendo la misma recomendación
hace años.
En una
entrada de blog
que describe las ventajas de ambos, la agencia de ciberseguridad señaló que
los gestores de contraseñas propios, basados en navegador, pueden ser una
herramienta útil para los usuarios gracias a su profunda integración con la
seguridad de la plataforma.
Navegadores como Chrome, Safari, Edge y Firefox ofrecen funciones integradas
de gestión de contraseñas, lo que los convierte en una opción práctica para
los usuarios. Las plataformas dedicadas a la gestión de contraseñas también
son una opción viable.
Cabe destacar que en los últimos años se han presentado problemas con los
gestores de contraseñas, con incidentes de vulneración de alto perfil que han
mermado la confianza del consumidor. Cabe destacar que la agencia afirmó que
los servicios de larga trayectoria probablemente solo habrán sobrevivido
gracias a su gran atención a las prácticas de seguridad.
Entonces, ¿qué hace que los gestores de contraseñas sean seguros? Según el
NCSC, los datos de las contraseñas se almacenan de forma segura mediante
funciones del dispositivo como chips de seguridad, cifrado o ambos.
Muchos gestores de contraseñas, tanto propios como de terceros, utilizan ahora
la huella dactilar o el reconocimiento facial antes de revelar las
contraseñas, añadió la agencia.
Una PassKey, por su parte, es un nuevo estándar desarrollado y respaldado por
gigantes tecnológicos como Apple, Google y Microsoft, que ofrece una
tecnología de inicio de sesión sin contraseña (passwordless) basada en
criptografía de clave pública.
En lugar de una contraseña, el dispositivo crea un par de claves secretas
complejas para cada sitio web en el que el usuario se registra, manteniendo
una en secreto y compartiendo la otra con el sitio web al registrarse. Dado
que la combinación del par de claves es única, la clave de acceso solo
funcionará en el sitio web o la aplicación para la que fue creada.
Cuando el usuario inicia sesión, el dispositivo comprueba que es la persona
correcta mediante el método habitual de desbloqueo y puede demostrar al sitio
web que posee la clave secreta, sin revelarla.
«Debido a su rapidez, suele ser ocho veces más rápido que iniciar sesión con
nombre de usuario, contraseña y código de dos factores, además de ser más
seguro», declaró el NCSC.
Las claves de acceso se están implementando rápidamente. Sitios web como
Google, eBay y PayPal ya las admiten. Son fáciles de usar, difíciles de
vulnerar y eliminan la fatiga de las contraseñas.
En primer lugar, el NCSC afirmó que es importante considerar la reputación de
una empresa al elegir herramientas como estas. Ofrecemos
una lista completa de administradores de contraseñas
que tanto particulares como empresas pueden elegir.
Si bien estas herramientas ofrecen comodidad, se insta a los usuarios a seguir
las mejores prácticas en términos de ciberseguridad y concienciación. La
agencia recomendó a los usuarios asegurarse de ejecutar actualizaciones, usar
biometría y copias de seguridad.
«No tema adoptar nuevas prácticas de seguridad como las PassKey: son más
fáciles y es hacia dónde se dirige internet», añadió la agencia.
Las contraseñas son fáciles de vulnerar, y a menudo difíciles de recordar. Las
investigaciones indican que más de la mitad de las personas tienen que
restablecer su contraseña una vez al mes porque no la recuerdan.
Crear una contraseña única y segura es difícil para cada cuenta; una persona
promedio tiene 170 contraseñas. Las PassKey ofrecen una excelente respuesta
técnica a los problemas con las contraseñas», afirmó. Quizás el atributo de
seguridad más importante de las PassKey es su resistencia al phishing. Un
atacante no puede robar su clave de acceso y posteriormente usarla para
acceder a su cuenta en línea. El NCSC tiene razón: es hora de pasar de las
contraseñas a los administradores de contraseñas y las claves de acceso.
Fuente:
ITPro