No y absolutamente no.El contexto del artículo es iniciar sesión con una credencial de Google con una clave de acceso. Los "3 grandes" y también varios otros ofrecen custodia y recuperación de claves, pero los sitios usan claves de acceso directamente, si usa un clave de acceso con Best Buy, no comprobarán con Google, por ejemplo (a menos que utilice "inicios de sesión sociales" de curso). En ese contexto, que Google borre tu cuenta solo significa que si tu teléfono se apaga, las cosas podrían ponerse peligrosas. Son básicamente un yubikey con una opción de recuperación, por lo que son un poco menos seguros porque existe la clave privada. en depósito de garantía que resuelve el 50% del problema con yubikeys (el precio y el soporte de la aplicación son el resto dolor).Cada sistema que parece ser capaz de almacenar claves de acceso parece requerir que usted confíe en que los tres grandes (Apple, Google, Microsoft) no eliminarán su cuenta sin previo aviso. En mi caso, si Apple elimina mi cuenta de iCloud y el llavero, pierdo el acceso a todo lo que está protegido con una clave de acceso. Compare eso con lo que sucede ahora, si destruyo mi Yubikey principal: voy a mi banco, les muestro dos formas de identificación, usar mi llave física para recuperar el Yubikey de respaldo de la caja de seguridad y seguir adelante. vida.
Hasta que no haya consecuencias graves y duraderas para las empresas que brindan servicios de infraestructura que actúan unilateralmente, no hay manera de que utilice esto. KeyPass/BitWarden puede generar contraseñas arbitrariamente seguras; puede comprar tantas claves Webauthn como desee de una variedad de proveedores. Con las claves de acceso, estás a una eliminación (automatizada, no negociable) de quedar excluido permanentemente de toda tu vida en línea.
Si quiere darle ese poder a una empresa, sea mi invitado. Esperaré hasta que se trate como si las compañías de agua o energía cortaran el servicio sin razón aparente: multas cuantiosas y dolorosas.
No estoy seguro de entender cómo funciona un flujo de trabajo que requiereSi estás copiando y pegando contraseñas (o escribiéndolas desde la memoria, lo que tiene otros problemas a escala), eres vulnerable al phishing. Por lo tanto, las claves de acceso serían una gran mejora de seguridad para usted.
agarrando tu teléfono,
accediendo a una aplicación,
tomar una fotografía de su pantalla y
tocando qué hacer con esa información......es una operación "más fácil" que ingresar una contraseña desde la memoria, o completar automáticamente con un administrador de contraseñas, o copiar y pegar con un administrador de contraseñas.
Puede haber otros beneficios, pero de ninguna manera es tan fácil.
Para mi cuenta de Google, volví a registrar mis YubiKeys que estaba usando como 2FA como claves de acceso. Con 2FA, la autenticación fue la contraseña de Google + la clave de hardware FIDO U2F. Con las claves de acceso, es la clave de hardware FIDO2 + el PIN FIDO2 de la clave.
Ninguna de las “tres grandes” empresas de tecnología será la guardiana de sus claves de acceso. Las claves de acceso se guardan en un dispositivo. Si no desea sincronizar su clave de acceso a través de algún tipo de servicio, coloque la misma clave de acceso en varios dispositivos. ¿Solo tienes un dispositivo y ya no está? Ese es el mismo problema que los administradores de contraseñas sin sincronización. Al final, tendrás que volver a autentificarte con diferentes servicios tal como lo harías en cualquier caso similar de bloqueo. La mayoría de las personas sincronizarán sus claves de acceso como lo hacen con sus contraseñas. Y no, si Google cierra su cuenta, no podrán desactivar las claves de acceso que ya tiene en sus dispositivos. Perderás su servicio de sincronización, pero luego podrás empezar a utilizar otro.
Las claves de acceso no pueden ser objeto de phishing, no pueden olvidarse, no pueden obtenerse mediante filtraciones de datos y son inherentemente únicas y seguras. Esas son mejoras realmente grandes. También son más fáciles de usar porque una vez que están en su dispositivo, la autenticación es sencilla.
Estoy usando Yubikey para esto, no Android ni iOS. Esto significa que no estoy en deuda con Google/Apple para poder administrar mi clave, ni tengo que preocuparme de que mi cuenta se vea comprometida y, por lo tanto, se filtre la clave de acceso.
Como punto de comparación con el inicio de sesión de la cuenta de Google, también he estado usando este Yubikey para acceder a mi cuenta de Microsoft desde hace un tiempo.
Microsoft funciona en todos los principales navegadores de escritorio (excepto Safari en MacOS la última vez que lo verifiqué). Google parece necesitar Chrome.
Microsoft tiene una opción debajo del campo de nombre de usuario para iniciar sesión de una manera diferente, luego selecciona Windows Hello o Clave de seguridad, coloca la clave en un puerto USB, ingresa el PIN y presiona el botón en la parte superior. Luego le preguntará qué cuenta (si tiene varias cuentas guardadas) y podrá iniciar sesión directamente. Ni siquiera necesita recordar su nombre de usuario/dirección de correo electrónico.
Google requiere que ingrese su nombre de usuario/correo electrónico, luego le solicita que inserte la clave. Luego deberá ingresar el PIN y se iniciará sesión.
Desde una perspectiva de usabilidad, Microsoft es mejor porque no necesita recordar su correo electrónico. Para el público de Ars, esto probablemente sea negativo. Pero si apoyas a abuelos de 70 años, cuantas menos cosas necesiten recordar, mejor. No lo he confirmado, pero una desventaja del sistema MS es que Yubikey solo admite una cantidad específica de credenciales almacenadas, mientras que Por lo que pude ver en mi investigación, el método de Google básicamente hace que Yubikey genere una clave privada específicamente para ese sitio basado en una clave privada interna, su PIN y cierta información proporcionada por el sitio y el navegador, cada vez que necesita ejecutar el autenticación. Ambos parecen utilizar una clave privada interna específica de Yubikey, su PIN, cierta información sobre el dominio proporcionada por el navegador y datos específicos. información proporcionada desde el sitio que está visitando para realizar el protocolo de enlace, lo que evita que los ataques MITM tengan éxito ya que no pueden falsificar todo eso datos.
No estoy seguro de qué falta en Firefox para la implementación de Google frente a la de Microsoft, por qué no es compatible con el nuevo sistema de clave de acceso. ¿O es simplemente que Google no solicita la clave de acceso porque Firefox no ha implementado la parte Bluetooth, que tiene la efecto secundario de no admitir Yubikeys/tokens de hardware porque el inicio de sesión de Google no lo solicita a Firefox sitio.
--
Si pierde la clave de acceso y no tiene una clave de respaldo, la alternativa de seguridad es iniciar sesión de la misma manera que lo hacía antes de la clave de acceso. Por lo general, contraseña + OTP. Si bien esto significa que el sitio admite un sistema de autenticación menos seguro, una ventaja es que no estás usar la contraseña de forma regular, por lo que es menos probable que sea filtrada o interceptada por un phishing/MITM ataque.
--
Desde una perspectiva de seguridad, puede ver las claves de acceso como una billetera de contraseñas con soporte de sitio limitado. Si usa Yubikey, la billetera es un dispositivo de hardware en su bolsillo, protegido por un PIN. Si usa la clave de acceso de Android/iOS, la billetera se sincroniza en un sistema en la nube y está protegida por la contraseña de su cuenta + datos biométricos. Si pierde el dispositivo, es similar a perder el archivo de contraseña.
Una vez que hayan resuelto todos los problemas, esto tiene el potencial de cambiar muchas cosas en el panorama de la seguridad, ya que las personas que no son conscientes de la seguridad lo harán. Ya no tendrá que resistirse a los requisitos de contraseña segura ni tener que descubrir cómo usar correctamente una billetera de contraseña y cómo acceder a ella/sincronizarla en múltiples dispositivos. Básicamente, al convertirse en una billetera de contraseñas, las claves de acceso generan contraseñas realmente seguras y aleatorias para cada sitio en el que se utilizan, y están diseñadas teniendo en cuenta la resistencia al phishing.
¿Cómo se puede rechazar esto? Es 100% cierto.
Es OMS, no qué en la portada. No hay amor por Google en la portada, de modo que su apoyo ha vuelto a la multitud en contra. un estándar de la industria.
Es una tontería.
Nuevamente, lectores, no presten atención a estos comentaristas.
Usar una contraseña no debería ser la respuesta a algo destinado a reemplazar las contraseñas.
Esto es un poco ridículo. ¿De qué otra manera se autenticaría en un servicio existente? para actualizar su mecanismo de autenticación? Aparte del método QR y bluetooth ya discutido. Y si bien la superficie de ataque en el lado del servidor no se reduce necesariamente al habilitar el inicio de sesión con contraseña en lugar de requerirlo, sí significativamente reduce la superficie de ataque del lado del cliente, ya que participa estrictamente en un intercambio de claves, habilitado por la autenticación a nivel del sistema operativo. Y eso es una victoria para todos.
Si ha llegado al punto en que no puede confiar en ninguna de las funciones de seguridad de su sistema operativo, también podría tirar sus dispositivos informáticos e irse a vivir a una isla tropical o algo así. En algún punto Se debe dar cierto nivel de confianza a algún software.
Hay mucha confusión aquí, creo que porque se nos ha arrojado toda una pila de tecnología y se nos ha presentado como un hecho consumado. Permítanme, como ignorante, intentar deconstruirlo por analogía con lo que sí entiendo: pares de claves SSH. Invito a otros a encontrar lagunas en lo que me equivoco.1. Claves de autenticación públicas/privadas. Esto funciona más o menos igual que SSH. El sitio web solo conoce su clave pública y usted firma mensajes para demostrar que posee la clave privada.
2. Protección antiphishing. Las claves son específicas de un sitio, por lo que un sitio de phishing obtiene una clave diferente. SSH tiene claves de host para esto, ¿supongo que keypass usa algo que ver con las claves de host TLS? ¿Su navegador usa eso para seleccionar qué clave usar? ¿O simplemente por nombre DNS?
3. Medios para desbloquear las claves para demostrar que las está utilizando el usuario adecuado. SSH tiene frases de contraseña, supongo que aquí es donde entra en juego lo biométrico/Bluetooth. SSH también puede desbloquear claves con tarjetas inteligentes, por lo que supongo que el modo biométrico es un poco como otro modo de desbloqueo.
4. Sincronización de claves entre dispositivos. Probablemente aquí es donde entran los "ecosistemas" de la nube, como la sincronización de contraseñas de iCloud y Chrome. Para SSH no hay soporte, pero ¿puedes crear el tuyo propio con rsync o lo que sea?
¿Qué me equivoqué?
Si lo anterior es correcto en términos generales, podría imaginarme construir una pila abierta que básicamente haga lo mismo que SSH usando una pila de archivos en ~/.ssh y rsync para moverse entre dispositivos. Ese es el enfoque de "bicicleta", donde todas las partes móviles están expuestas y es fácil entender lo que está sucediendo.
No se trata simplemente de arrojarlo a la gente: se trata de una actualización de FIDO2, que en sí es la segunda versión del estándar. U2F era FIDO1; esto es CTAP 2.2 ([editar: corregido de mi WAG de 2.4 que estaba mal, ¡gracias aún es incorrecto!]), parte de FIDO2/WebAuthn. Esto realmente no es nada complicado tal como dice... Han flexibilizado los requisitos del Autenticador para que la clave privada pueda (deba...) copiarse de forma segura y agregaron algunas características de Javascript para hacer la vida más fácil. ¿Inicios de sesión sin contraseña? Siempre ha sido posible con FIDO2. Esa es la parte interesante: FIDO1 solo podría ser MFA. ¿Agregar una clave privada a su navegador almacenada en el TPM o elemento seguro? Siempre ha sido posible y se implementó previamente en Chrome, Firefox y Safari. Lo nuevo es que se puede sincronizar y acceder a él a través del galimatías BT/QR. Anteriormente, se hacía referencia a ellas (y se las señalaba en los sitios web) como "claves específicas de plataforma", a diferencia de las portátiles, que eran dispositivos de hardware. Ahora son las claves de acceso.
Dado que el objetivo del sistema de claves de acceso parece ser deshacerse de las contraseñas, permítanme enumerar algunos de los beneficios de las contraseñas:
- son lo suficientemente simples de entender para cualquier persona mentalmente capaz de operar un dispositivo electrónico
- son fáciles de recordar si haces algún esfuerzo y los usas regularmente
- Funcionan en todos los sistemas operativos listos para usar.
- no requieren acceso a Internet (algunos sistemas están fuera de línea por una buena razón)
- No requieren la cooperación de ningún tercero.
- no requieren la presencia de un teléfono inteligente u otro dispositivo
- no requieren Bluetooth, WiFi, cámaras ni baterías
- En caso de emergencia, se pueden almacenar sin necesidad de electricidad.
- se pueden transmitir fácilmente a otra persona sin el uso de ningún dispositivo
- Si no eres discapacitado y no utilizas un smartphone, la autenticación con contraseña sólo te llevará unos segundos.
Sus puntos 1, 2 y 10 son simplemente incorrectos: pregúntele a cualquiera que trabaje en soporte técnico con qué frecuencia tiene que restablecer la contraseña porque alguien olvidó su contraseña, dejó la tecla de bloqueo de mayúsculas activada (o colocó mal la mano en el teclado) o la tocó con los dedos suficientes veces para quedar bloqueado afuera. Sí, sí, sé que personalmente siempre lo logras a la perfección, pero créeme, cualquiera que reciba llamadas al servicio de asistencia técnica tiene una visión... menos optimista... de la humanidad. También agregaré que admito muchos usuarios ciegos y el ingreso de contraseñas. macizamente Apesta para ellos porque muchos sitios tienen requisitos de complejidad que son difíciles para los usuarios de lectores de pantalla y, si no eres un mecanógrafo competente, decirlo en voz alta no es genial. Ese es un nicho, pero muchas personas que crean sistemas de autenticación también están obligadas legalmente a respaldarlo, y es una de las razones por las que estoy interesado. la tecnología desde "¿Quieres iniciar sesión con tu clave de acceso?" "Sí" es al menos un orden de magnitud más rápido y más fácil que cualquier forma de contraseña + MFA para muchos de ellos. usuarios.
El punto 3 es cierto para WebAuthn MFA, pero siempre claves de acceso: algo como Yubikey funciona en cualquier lugar donde tenga USB/NFC, pero es posible que necesita establecer un PIN o usar sus claves de serie biométricas para implementadores de claves de acceso como Google.com, que requieren más que una simple grifo.
Los puntos 5, 6, 7 y 8 también se aplican a todas las formas de WebAuthn, tanto MFA como claves de acceso. El punto 4 es válido excepto la primera vez que registra un dispositivo al sincronizar una clave existente. Después de la primera vez que haya sincronizado sus claves, no necesitará una conexión de red. Si no desea sincronizar, también puede comprar un par de llaves biométricas Yubikey que nuevamente funcionan completamente sin conexión en cualquier lugar donde tenga USB o NFC.
Eso deja el punto 9, que es una mala práctica y debe evitarse en la medida de lo posible. Los sistemas modernos tienen cosas como la autenticación basada en roles, donde las personas nunca comparten contraseñas pero a varias personas se les permite asumir un rol determinado, o cosas como heredadas o delegadas. Cuentas en las que nunca vuelves a compartir contraseñas, pero le das a una o, mejor aún, a varias personas requeridas en combinación la capacidad de hacer algo como restablecer tu contraseña o obtener control de tus archivos.
Sólo porque algo sea nuevo y no hayas aprendido cómo funciona no significa que sea malo o que debas evitarlo. Las claves de acceso son un gran cambio para la mayoría de nosotros, excepto .gov, ya que PIV/CAC se remonta al siglo anterior, aunque en pocos lugares más. lo adoptaron, pero tienen una serie de mejoras de usabilidad además de los beneficios de seguridad, y hay un camino claro para desarrollar algunas de las partes que faltan (por ejemplo, realmente quiero poder sincronizar una clave de acceso de Apple/Google con un Yubikey para poder guardarla en mi caja fuerte justo en el momento). caso).
Obviamente debe estar disponible no sólo durante la sincronización, sino también durante la autenticación, ya que se utiliza para ello. Y también tiene que estar disponible durante el registro inicial.Y eso es lo que intento explicarles: sería fácil autenticarse con un dispositivo existente y usarlo. dispositivo para agregar otra clave pública, que se genera en otro dispositivo nuevo y se envía al dispositivo anterior mediante algún medio. Por ejemplo, podría crear un nuevo par de claves secretas/clave pública en mi máquina de escritorio, enviar la clave pública a mi computadora portátil, iniciar sesión con mi computadora portátil y agregar la clave pública de escritorio. Hago cosas similares con SSH todo el tiempo.
Aquí no hay ningún obstáculo técnico. Si eso no es posible con las claves de acceso, entonces es por elección propia.
La clave privada no es accesible. ¿Por qué no buscarlo en lugar de repetir una falsedad una y otra vez?
Y ahora estoy más confundido que antes de comenzar: le envié el artículo a mi media naranja o estudiante de informática para que le explique las cosas, pero puede que eso no sea suficiente.
Las contraseñas se digieren fácilmente. 2FA es fácil de explicar. Las claves de acceso tienen sentido, pero justo cuando creo que podría conseguirlas, leo el siguiente párrafo y me pierdo más.
Que el cielo ayude a mis hermanos y padres.
Gracias por decir eso. Las respuestas de Dan y otros (por ejemplo, @WbdEl comentario promocionado que cita el mío) se basa en una mala interpretación fundamental del comentario.Te das cuenta de que tanto 1Password como Bitwarden están trabajando para admitir claves de acceso, ¿verdad?No quiero confiarle las claves de acceso a mi proveedor de sistema operativo (Apple en mi caso, tanto para dispositivos móviles como de escritorio) y la respuesta es repetidamente "Pero usted YA CONFÍA EN GOOGLE CON TU CONTRASEÑA." Sí, bien, ingreso una contraseña larga y aleatoria de BitWarden/KeePass, conecto mi Yubikey y presiono el botón. En ningún momento depende de mi proveedor de sistema operativo.
Y claro, en este momento existe la opción de no usar claves de acceso y usar una contraseña como antes, pero todo el tren tecnológico está en camino a "NO MÁS CONTRASEÑAS, CONTRASEÑAS PARA TODOS" y si digo, "pero espera, si me bloquean el acceso a todas las demás cuentas porque mi proveedor de sistema operativo decide que no le agrado, ¿qué pasa?" Me llaman troll y mal informado. También hay tantos casos extremos en los que puedo pensar en los que esto no funciona y en lugar de decir "sí, esos son preocupaciones válidas en el futuro de sólo claves de acceso que queremos", existe esta crítica sostenida a cualquier interrogatorio.
1Password ha llegado a decir que las claves de acceso son "el futuro de la autenticación": https://www.future.1password.com/passkeys/
