En algún momento de este verano, las personas que se registren en el administrador de contraseñas de 1Password no necesitarán recordar una cadena alfanumérica especialmente crítica y compleja: la contraseña maestra que el servicio requiere hoy.
La compañía de Toronto anunció(Se abre en una nueva ventana) el jueves que, en cambio, invitará a los clientes a crear y desbloquear una cuenta con claves de acceso, tokens únicos y complejos generados en un dispositivo biométricamente seguro que solo funciona en la proximidad física de la computadora que aloja el intento de inicio de sesión.
Apple, Google y Microsoft anunciaron conjuntamente el soporte para este estándar de autenticación abierta(Se abre en una nueva ventana) en mayo pasado, pero un administrador de contraseñas que ofrece claves de paso como un sistema de autenticación principal es un gran paso adelante.
“En 2022, era raro que pasara un mes sin que se violara un servicio social, de identidad o de seguridad de alto perfil”, dice Steven Won, director de producto. “En lugar de jugar al whac-a-mole con las contraseñas, ¿por qué no eliminar esa vía de ataque por completo?”
En una demostración que se mostró durante una llamada de Zoom, un toque del botón Touch ID de una Mac en respuesta al mensaje «Iniciar sesión con clave de acceso» fue suficiente para crear una cuenta de 1Password.
La experiencia actual de una cuenta nueva(Se abre en una nueva ventana) es mucho más complicado: después de proporcionar un nombre y una dirección de correo electrónico, crea una contraseña maestra con al menos 10 caracteres que no puede olvidar bajo ninguna circunstancia. Luego, descarga un PDF de «Kit de emergencia» que contiene una «Clave secreta» generada aleatoriamente(Se abre en una nueva ventana) que se usó para codificar aún más su clave de cifrado privada, y que es posible que deba escribir para autenticar los inicios de sesión en nuevos dispositivos.
El argumento de venta de 1Password ($35,88 al año para individuos, $59,88 para familias) ha enfatizado la importancia de esa clave secreta para su seguridad. Especialmente después del empeoramiento de las revelaciones de una violación de datos en el administrador de contraseñas de la competencia LastPass que comprometió las bóvedas de datos de usuario encriptados y dejó las contraseñas maestras de los clientes como su última línea de defensa.
En una publicación del 28 de diciembre(Se abre en una nueva ventana)por ejemplo, el principal arquitecto de seguridad de 1Password, Jeffrey Goldberg, escribió que «si 1Password sufriera una infracción similar, el atacante no sería capaz de descifrar la combinación de la contraseña de la cuenta y la clave secreta, incluso si pusieran a trabajar todas las computadoras del mundo». el agrietamiento y los ejecutó durante millones de veces la edad del universo”.
Una publicación del 10 de enero(Se abre en una nueva ventana) del CTO Pedro Canahuati reiteró ese punto: «Nuestro cifrado de doble clave garantiza que una violación de los sistemas de 1Password no represente una amenaza para la información confidencial almacenada en sus bóvedas».
Entonces, ¿cómo puede 1Password justificar la caída de su segundo nivel de defensa?
En esa llamada de Zoom, el director ejecutivo Jeff Shiner dijo que esta nueva opción garantiza que «el juego de adivinanzas» de comprometer una contraseña maestra elegida por el usuario nunca pueda comenzar, mientras que el token generado aleatoriamente en el núcleo de la autenticación de contraseña es más complejo que la clave secreta de 1Password y produce un cifrado más difícil de descifrar que el enfoque actual.
“Ahora, en el mundo de las claves de paso, no tienes la fricción de tener que elegir y recordar una contraseña”, dijo. “Estás usando tu propio dispositivo como esa indicación de quién eres”.
La suposición en todo momento es que autenticará cada inicio de sesión con clave de paso con métodos biométricos como la huella dactilar o el reconocimiento facial, pero la especificación subyacente(Se abre en una nueva ventana) también permite un desbloqueo de PIN menos seguro.
¿Qué pasa si pierdes ese dispositivo? “Confiamos en las plataformas para que nos brinden una capa adicional de resiliencia y redundancia”, dijo el director de producto Mitchell Cohen en la llamada. Citando el ejemplo de ese inicio de sesión asistido por Touch ID, asintió con la cabeza sobre cómo iCloud de Apple almacena una copia cifrada de cada clave de acceso en el llavero de iCloud: «Podrás recuperar tu clave de acceso».
El hecho de que Apple, Google y Microsoft lideren el impulso inicial de la clave de paso ha aumentado la ansiedad por el bloqueo de la plataforma.(Se abre en una nueva ventana)pero 1Password permitirá transferencias de claves de acceso multiplataforma, como escanear un código QR en la pantalla del teléfono antiguo desde el teléfono nuevo.
Won señaló además que la verificación de proximidad de Bluetooth de la arquitectura de clave de acceso, que confirma que la persona que sostiene el teléfono con la clave de acceso está junto a la pantalla con el inicio de sesión solicitado, inutiliza un dispositivo perdido o robado.
Recomendado por Nuestros Editores
“Debido a que la solicitud de autenticación está vinculada específicamente al dispositivo, es una presencia comprobada del usuario”, dijo Won.
La función inicial de inicio de sesión con clave de acceso será un servicio beta opcional este verano.
“Vamos a hacer que sea opcional para empezar, para que la gente se sienta cómoda”, dijo Won. “Mi sueño es poder decir a fines de este año, oye, tenemos el mayor despliegue de claves de acceso en Internet”.
Eso puede no ser difícil, considerando la lenta aceptación de la autenticación con clave de acceso hasta el momento. El directorio de sitios habilitados para claves de paso(Se abre en una nueva ventana) que mantiene 1Password mostró solo 31 entradas el miércoles, una de ellas un sitio de demostración(Se abre en una nueva ventana) que 1Password creó el año pasado.
La compañía se ha estado moviendo hacia este objetivo durante algún tiempo. En noviembre, 1Password compró Passage, una empresa de autenticación de claves de acceso, para desarrollar su negocio de inicio de sesión empresarial.
En una entrevista con PCMag en la conferencia Web Summit poco después, Shiner describió el mensaje clave que 1Password traería a las empresas, uno que ahora se lee como una vista previa de su nueva propuesta para clientes individuales.
“Será más seguro para usted que el nombre de usuario y la contraseña, pero aún así será más conveniente para usted como usuario final”, dijo Shiner entonces.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.