[13/07/2023] GitHub ha anunciado la beta pública de la autenticación mediante claves de acceso, que ofrece más flexibilidad a los desarrolladores a la hora de autenticarse en la plataforma. Optar por ella permite a los desarrolladores actualizar las claves de seguridad a passkeys y utilizarlas en lugar de sus contraseñas y métodos de autenticación 2FA, señaló la empresa. Se trata del último paso de GitHub hacia un futuro sin contraseñas, después de que el pasado mes de mayo anunciara nuevos requisitos 2FA para todos los contribuidores de código.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Las claves de acceso se consideran la alternativa moderna a las contraseñas, y suelen ser más seguras y fáciles de usar. Las empresas y compañías tecnológicas las están adoptando cada vez más para ayudar a elevar el listón de la seguridad en la autenticación y acabar con la excesiva dependencia de las contraseñas, una de las principales causas de la mayoría de las filtraciones de datos. En mayo, Google empezó a implantar la compatibilidad de las contraseñas con las cuentas de Google en las principales plataformas. El año pasado, varios gigantes tecnológicos anunciaron su apoyo a un estándar común de inicio de sesión sin contraseña creado por la Alianza FIDO y el Consorcio World Wide Web.
Las contraseñas, causa principal de las filtraciones de datos
La mayoría de las brechas de seguridad no son el resultado de ataques de día cero, sino de ataques de menor costo como la ingeniería social, el robo de credenciales o las filtraciones que proporcionan a los atacantes un amplio acceso a las cuentas de las víctimas y a los recursos a los que tienen acceso, escribió en un blog Hirsch Singhal, jefe de producto de GitHub. "De hecho, las contraseñas, en las que todos confiamos, son la causa raíz de más del 80% de las violaciones de datos".
Las passkeys se basan en el trabajo de las claves de seguridad tradicionales añadiendo una configuración más sencilla y una mayor capacidad de recuperación, ofreciéndote un método seguro, privado y fácil de usar para proteger sus cuentas a la vez que minimizas el riesgo de bloqueo de las mismas, añadió Singhal. "Lo mejor de todo es que las passkeys nos acercan a la autenticación sin contraseñas, ayudando a erradicar por completo las infracciones basadas en contraseñas", añadió.
Las passkeys de GitHub requieren la verificación del usuario, lo que significa que cuentan como dos factores en uno, escribió Singhal: algo que es o sabe (su huella dactilar, su cara o el conocimiento de un PIN) y algo que tiene (su llave de seguridad física o su dispositivo). Las claves pueden utilizarse en distintos dispositivos verificando la presencia de un teléfono, mientras que algunas también pueden sincronizarse entre dispositivos para garantizar que los usuarios nunca se queden sin acceso a su cuenta debido a la pérdida de la clave, añadió Singhal.
Proteger las cuentas de los desarrolladores es clave para asegurar la cadena de suministro de software
"Las cuentas de los desarrolladores son objetivos frecuentes de la ingeniería social y la toma de control de cuentas (ATO), y proteger a los desarrolladores de este tipo de ataques es el primer y más importante paso para asegurar la cadena de suministro", explicó Singhal. Las passkeys ofrecen la mejor combinación de seguridad y fiabilidad, y hacen que las cuentas de los desarrolladores sean mucho más seguras sin comprometer el acceso, lo que sigue siendo un problema con otros métodos de 2FA como SMS, TOTP y las claves de seguridad existentes para un solo dispositivo, afirmó. "La mayor seguridad de las passkeys evita el robo de contraseñas y ATO al eliminar la necesidad de contraseñas".
Basado en el artículo de Michael Hill (CSO) y editado por CIO Perú