Microsoft ha puesto en marcha la compatibilidad con passkeys para las cuentas de los consumidores. Las claves de acceso son un método de inicio de sesión sin contraseña diseñado para evitar la apropiación de cuentas reduciendo o eliminando el uso de contraseñas. En lugar de contraseñas, se utiliza el reconocimiento facial, el escaneado de huellas dactilares o números PIN para iniciar sesión en las cuentas.
Métodos actuales para proteger las cuentas en línea
Las contraseñas de las cuentas en línea suelen requerir una odiosa combinación de letras minúsculas y mayúsculas, números y símbolos que se olvida fácilmente y resulta tediosa de teclear, pero que puede ser robada por piratas informáticos mediante phishing, malware y otros métodos.
Una forma de aumentar la seguridad de las cuentas es exigir códigos PIN textuales junto con las contraseñas. Aunque es más seguro que una contraseña sola, los piratas informáticos aún pueden interceptar el código a través de la clonación ilegal de SIM https://theintercept.com/2020/09/25/surveillance-sim-cloning-protests-protect-phone/, intercambios de SIM , hackeos de teléfonos móvilesy sniffing de redes celulares cuando tienen como objetivo a personalidades como el Presidente. No obstante, la mayoría de las cuentas protegidas con PIN siguen estando mejor protegidas.
Otra forma de aumentar la seguridad de las cuentas es utilizar dispositivos y software de dos factores (2FA)(como éste de Amazon) que generan un código único que debe introducirse junto con una contraseña. Mientras que el software 2FA es vulnerable al malware y a la clonación, el hardware 2FA es difícil de copiar, lo que lo hace popular para asegurar las cuentas. Aun así, los piratas informáticos también han encontrado formas de burlar la seguridad 2FA.
Claves de acceso
El problema de las contraseñas olvidadas existe en los métodos anteriores, por lo que las claves de acceso están siendo promovidas por grandes empresas como Apple, Google y Microsoft como alternativa al hardware 2FA. Para la mayoría de los usuarios, los inicios de sesión con passkeys suelen autenticarse mediante reconocimiento facial, escaneado de huellas dactilares o introducción del PIN en el smartphone de la persona. Microsoft afirma que todos los datos biométricos permanecen en el dispositivo del usuario y nunca se le envían.
Una de las ventajas del sistema passkey es que se crea un par de claves criptográficas para cada cuenta en línea, que son únicas. Un inicio de sesión para una cuenta no funcionará para otra. Los lectores que deseen probar el nuevo mundo de los inicios de sesión sin contraseña pueden leer sobre la configuración de las claves de acceso para las cuentas de consumidores de en Microsoft, Apple, y Google.
Los lectores que no deseen utilizar claves de acceso pueden seguir utilizando códigos PIN o dispositivos de hardware 2FA como éste de Amazon (recuerde comprar una copia de seguridad adicional).
Problemas potenciales de las passkeys
Las passkeys introducen problemas y vulnerabilidades potenciales. El primero es la falta de dos datos diferentes para el inicio de sesión: sólo se requiere el teléfono o el dispositivo 2FA, por lo que los dispositivos robados poseen toda la capacidad para iniciar sesión en todas las cuentas. Los niños saben cómo asomarse por encima del hombro para robar un código PIN, y los piratas informáticos han vulnerado el reconocimiento facial de Microsoft https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery y la verificación de huellas dactilares con anterioridad. Además, muchas cuentas protegidas con claves siguen siendo vulnerables porque las contraseñas se utilizan como método de recuperación. Y lo que es más importante, si sus datos biométricos, como la huella dactilar, son clonados, no podrá cambiarlos a menos que se someta a una intervención quirúrgica, por lo que los piratas informáticos podrán hacerse pasar por usted mientras siga utilizando la misma huella para autenticarse.
La pérdida de bases de datos de claves de acceso también es un problema importante. Si se eliminan por completo las contraseñas, la pérdida de la base de datos de claves de acceso sin un método seguro para la recuperación de la cuenta puede bloquear instantáneamente a los usuarios de sus cuentas para siempre, como han experimentado muchos titulares de bitcoins tras perder sus smartphones. El problema sigue siendo tan grande que incluso el autor de de webauthn-rs sigue sin estar convencidoal igual que muchos usuarios que informaron de que sus claves de acceso habían sido destruidas por error por Apple y otras empresas. Además, la NSA sabe que la criptografía no cuántica actual, , está en peligropor lo que los usuarios inteligentes deberían desconfiar de las copias de seguridad en la nube de las claves de acceso.
Estrategias seguras de contraseñas y cuentas
Gestores de contraseñas como 1password y LastPass han sido pirateados en repetidas ocasiones, por lo que incluso permitir que los navegadores web recuerden sus secretos puede ser una mala idea, ya que un pirateo exitoso puede comprometer todas las cuentas. En su lugar, utilice una estrategia de creación de contraseñas que pueda recordar fácilmente. Por ejemplo, frase larga favorita + “inicial del nombre del sitio” + número + “símbolo”.
Otra buena estrategia es aislar y dividir. Por ejemplo, utilice una cuenta de correo electrónico sólo para las finanzas y otra para la correspondencia habitual, con contraseñas diferentes. Los ordenadores portátiles son lo suficientemente baratos(como éste en Amazon) como para que pueda comprar uno sólo para las finanzas.
Porque los intercambios de SIM de son una amenaza para todos los usuarios que aseguran cuentas utilizando sus teléfonos, lea cómo asegurar su tarjeta SIM para T-Mobile, Verizon, o AT&T usuarios.