jueves, 7 de diciembre de 2023

Passkeys, el nuevo estándar de la ciberseguridad para proteger tus contraseñas

Si repites las contraseñas en todas tus cuentas nuevas, esta herramienta te puede dar una capa de mayor seguridad sin tener que memorizar tantas claves.


Esta iniciativa forma parte de un proyecto de la Alianza FIDO, en la que también participan Apple y Microsoft. 

Cada vez que un usuario abre una cuenta nueva, se le pide que genere una contraseña y ante tal cantidad de servicios, la respuesta es tener una clave madre para todas ellas, lo cual representa un riesgo grande para la seguridad y la necesidad de nuevos estándares.

De acuerdo con una investigación de Digital Shadows, una empresa de protección de riesgos digitales, en 2022 más de 24,000 millones de nombres de usuarios y contraseñas estaban disponibles en la web oscura y es por ello que las empresas de tecnología están generando nuevas formas de proteger a los usuarios sin tener que generar tantas claves.

Una de las propuestas más comunes hasta la actualidad son los gestores de contraseñas, que guardan la información para un inicio de sesión más sencillo y están disponibles en sistemas operativos, como Apple. Sin embargo, las tecnológicas están apostando por un nuevo estándar: Passkey.


¿Qué son las Passkey?

Esta llave de acceso es una credencial almacenada en las computadoras o teléfonos de los usuarios que funciona a partir de criptografía de clave pública, es decir, se necesitará de una prueba de que el usuario posee la credencial que se muestra en su cuenta para desbloquearla.

Por ejemplo, si quiere iniciar sesión en un sitio web desde la computadora, sólo se requiere tener cerca el teléfono y se le solicitará que se desbloquee para otorgar el acceso en el ordenador.

Royal Hansen, vicepresidente de privacidad, seguridad e ingeniería en Google, explicó a Expansión que Passkey tiene un objetivo doble. Por una parte, optimiza la decisión de qué contraseña usar para evitar la repetición de las claves.

También mejora la seguridad porque, asegura, “es un sistema matemáticamente más poderoso, más seguro que aun los mejores gestores de claves. Con esto se podría pensar es que el próximo paso es remover o eliminar la contraseña, pero en una forma que sea fácil para el usuario”.

No obstante, Hansen acepta que se requiere como alfabetización para que los usuarios al final realmente lo entiendan y puedan usarlo. Hasta ahora, menciona, “no queremos hacer una mayor migración. Poco a poco, lo integraremos en las acciones más comunes para los usuarios para que lo utilicen de la forma más sencilla”.


Un nuevo estándar, pero no se debe bajar la guardia

Los especialistas de la ciberseguridad coinciden en que los passkeys ofrecen una sólida protección contra los intentos de phishing, al ser una opción tecnológica en línea con los estándares internacionales.

Sin embargo, Igor Kuznetsov, director del equipo global de investigación y análisis de Kaspersky, resalta que, a pesar de estas medidas de seguridad, las passkeys son susceptibles de sufrir la misma amenaza que afecta a cualquier método de autenticación, como la ingeniería social para engañar a los usuarios.

Por lo tanto, resalta complementar el uso de passkeys con prácticas de seguridad tradicionales hasta que se haya convertido en un aspecto normal en la forma en que se cuida la ciberseguridad en todo el panorama tecnológico.

Google, Microsoft y Apple son las compañías que están motivando las passkeys y, de acuerdo con Tal Zamir director de tecnología de la empresa de ciberseguridad, Perception Point, es probable que este método de seguridad sea común en todas las organizaciones dentro de unos cinco a 10 años.

Resalta que este método de seguridad no protege contra los malware que llegan a través de métodos como correos electrónicos y otros medios, por lo que se debe mantener la precaución en varios ámbitos.


Fuente: expansion.mx

No hay comentarios.:

Publicar un comentario

Las bandas de ransomware reclutan pentesters para mejorar la efectividad de sus ataques

 Estos grupos están contratando figuras de este tipo para probar si su software tendría la capacidad de penetrar en las organizaciones. Much...