[04/05/2023] Google ha comenzado a implementar la compatibilidad de las contraseñas con las Cuentas de Google en las principales plataformas, añadiendo una nueva opción de inicio de sesión que puede utilizarse junto con las contraseñas y la verificación en dos pasos. El gigante tecnológico anunció la disponibilidad de las claves de acceso en vísperas del Día Mundial de la Contraseña, con el objetivo de introducir opciones de inicio de sesión más seguras y fiables.
El despliegue se produce tras las actualizaciones de Google sobre la introducción de experiencias de contraseña en Chrome y Android, así como el apoyo de la industria tecnológica a un estándar común de inicio de sesión sin contraseña creado por la Alianza FIDO y el Consorcio World Wide Web.
Las claves de acceso son una forma de autenticación sin contraseña que está llamada a convertirse en un elemento clave de la seguridad. Las Passkeys representan una base de autenticación más segura para la seguridad empresarial y, aunque no son infalibles, son mucho más fiables que las contraseñas para clientes, empleados y socios.
Las claves de acceso para las cuentas de Google ya están disponibles y pueden configurarse fácilmente, según Google. Para las cuentas de Google Workspace, los administradores pronto tendrán la opción de habilitar las claves de acceso para sus usuarios finales durante el inicio de sesión. Las contraseñas y la autenticación en dos pasos seguirán funcionando para las Cuentas de Google, según la empresa.
La autenticación mediante contraseña es un grave problema de seguridad para las empresas
La autenticación basada únicamente en contraseñas es uno de los mayores problemas de seguridad a los que se enfrentan las empresas. La escasa higiene de las contraseñas, su reutilización, la debilidad de las credenciales y su robo llevan años afectando a las organizaciones, exponiéndolas a importantes amenazas y ataques, como la apropiación de cuentas, la violación de datos y el robo de identidades.
El sector lleva tiempo buscando medios de autenticación alternativos y más seguros, y las claves de acceso son uno de los principales objetivos de los últimos esfuerzos. Las claves de acceso son un método de autenticación multifactorial que hace hincapié en el dispositivo como primer factor. Al unir el dispositivo con otro factor, las passkeys evolucionan del estilo de seguridad "lo que sabe" representado por las contraseñas a un enfoque "lo que posee y lo que sabe".
Las passkeys resisten los ataques de phishing, pero no son infalibles
"A diferencia de las contraseñas, las claves de acceso son resistentes a ataques en línea como el phishing, por lo que son más seguras que los códigos de un solo uso por SMS", se lee en una publicación de Google. Las claves de acceso ofrecen varias ventajas de seguridad a las empresas, sobre todo porque son claves criptográficas que eliminan el problema de las contraseñas débiles. No comparten información vulnerable, por lo que se eliminan muchos vectores de ataque a las contraseñas, y también son resistentes al phishing y a otros ataques de ingeniería social. La propia infraestructura de la passkey negocia el proceso de verificación y no se deja engañar por un buen sitio web falso, lo que erradica la introducción accidental de una contraseña en el formulario equivocado.
Sin embargo, las passkeys no son infalibles. Las preocupaciones de seguridad de la empresa incluyen garantizar que los empleados y otras personas sigan la política de seguridad de los dispositivos utilizados con passkeys. Además, la recuperación de la contraseña puede ser un problema en caso de pérdida, robo o destrucción del dispositivo. El proceso requiere volver a solicitar una clave a cada servicio. Por otro lado, un dispositivo robado no es una vulnerabilidad de seguridad, ya que el propio dispositivo debe desbloquearse para acceder a la clave.
Basado en el artículo de Michael Hill (CSO) y editado por CIO Perú