Google anunció el jueves que más de 400 millones de cuentas utilizan claves de acceso, autenticando a los usuarios más de 1.000 millones de veces en los últimos dos años.
Según Heather Adkins, vicepresidenta de ingeniería de seguridad de Google, las claves de acceso son fáciles de usar y resistentes al phishing, ya que se basan en una huella dactilar, un escaneo facial o un PIN, lo que las hace un 50% más rápidas que las contraseñas.
El gigante de las búsquedas destaca que las claves de acceso se utilizan ahora con más frecuencia que las formas heredadas de autenticación de dos factores, como las contraseñas de un solo uso (OTP) por SMS y las OTP basadas en aplicaciones combinadas.
Además, Google está ampliando la protección entre cuentas para incluir más aplicaciones y servicios, alertando sobre eventos sospechosos con aplicaciones y servicios de terceros conectados a la cuenta de Google de un usuario.
Se espera que Google también admita el uso de claves de acceso para usuarios de alto riesgo como parte de su Programa de Protección Avanzada (APP), destinado a proteger a personas como trabajadores de campaña y candidatos, periodistas y activistas de derechos humanos, entre otros.
La aplicación que anteriormente requería el uso de claves de seguridad de hardware como segundo factor, ahora permite la inscripción con cualquier clave de acceso junto con las claves de seguridad de hardware, o las utiliza como único medio de autenticación.
Google implementó claves de acceso en Chrome en diciembre de 2022 y desde entonces ha introducido la solución de autenticación sin contraseña en todas las cuentas de Google en todas las plataformas como configuración predeterminada.
1Password, Amazon, Apple, Dashlane, Docusign, eBay, Kayak, Microsoft, PayPal, Shopify, Uber y WhatsApp son solo algunas de las compañías líderes que han adoptado claves de acceso.
Este avance coincide con el anuncio de Microsoft el mismo día, donde la compañía revela sus planes para respaldar el estándar de autenticación para cuentas de consumidores que emplean biometría o PIN de dispositivo en las plataformas Windows, Google y Apple, tras integrar claves de acceso en Windows 11 en septiembre de 2023.
Las claves de acceso operan mediante la generación de un par de claves criptográficas: una clave privada almacenada en el dispositivo y una clave pública compartida con la aplicación o sitio web pertinente.
«Debido a que esta combinación de pares de claves es única, su clave de acceso solo funcionará en el sitio web o la aplicación para la que la creó, lo que impide cualquier intento de iniciar sesión en un sitio web malicioso similar», explicó Vasu Jakkal de Microsoft.
Además, las claves de acceso pueden ser almacenadas en soluciones de administración de contraseñas de terceros como 1Password y Dashlane, otorgando a los usuarios un mayor control sobre su almacenamiento, más allá de Google Password Manager, el llavero de iCloud y Windows.
«Las claves de acceso pueden operar como un primer y segundo factor simultáneamente», explicaron los gerentes de producto de Google, Sriram Karra y Christiaan Brand. «Al configurar una clave de acceso en su clave de seguridad, puede eliminar la necesidad de ingresar su contraseña. Esto sustituye la contraseña almacenada de forma remota con el PIN utilizado para desbloquear su clave de seguridad, mejorando así la seguridad del usuario».
Sin embargo, surgen preocupaciones sobre el uso de las claves de acceso por parte de las empresas como una estrategia para «retener usuarios y audiencias en una plataforma», y que «los intereses corporativos están primando sobre la experiencia del usuario».
«¿Qué mejor manera de fomentar la retención a largo plazo de los usuarios que bloquear todas sus credenciales en nuestra plataforma, y aún mejor, credenciales que no pueden ser extraídas o exportadas de ninguna manera?», señaló William Brown, un ingeniero de software implicado en el desarrollo de webauthn-rs.
Fuente: https://thehackernews.com
