iOS 15: Apple quiere sustituir las contraseñas por claves protegidas con Face ID y Touch ID

Apple, Microsoft y Google quieren cambiar el paradigma de las contraseñas. Si hoy el mundo está seguro por contraseñas, contraseñas y combinaciones de letras, números y símbolos, esto podría estar acabando.

En iOS 15, Apple quiere reemplazar las contraseñas con claves protegidas a través de Face ID y Touch ID.


Las empresas quieren el fin de las contraseñas

En los últimos años, Apple ha dedicado especial atención a la privacidad y la seguridad. Desde Face ID hasta el cifrado de datos en los dispositivos, pasando por Signing with Apple, y más recientemente con medidas como App Tracking Transparency, la compañía quiere fortalecer su ecosistema para que permita la “inviolabilidad” en varios niveles.

Apple no está solo en este desafío, sobre todo porque Microsoft lanzó recientemente un desafío para 2021 para dejar de usar contraseñas, y el propio Google ya tiene sistemas de autenticación bien ajustados.

Llavero de iCloud: iniciar sesión tan fácil, pero mucho más seguro

Apple ha comenzado a probar las claves de paso, una nueva tecnología de autenticación que dice es tan fácil de usar como las contraseñas, pero mucho más segura.

Parte de los llaveros de iCloud, una versión de prueba de la tecnología, llegará a los iPhone, iPad y Mac a finales de este año.

La clave de acceso de Apple en la demostración del llavero de iCloud permite al usuario configurar cuentas con solo un iPhone y Face ID (izquierda y centro). Al iniciar sesión en la aplicación o el sitio web más tarde, el sistema confirma el nombre de usuario y la aplicación, y verifica la identidad con Face ID (a la derecha).

Para configurar una cuenta en un sitio web o aplicación usando una contraseña, la persona primero elige un nombre de usuario para la nueva cuenta y luego usa Face ID o Touch ID para confirmar que la persona realmente está usando el dispositivo.

Por lo tanto, el usuario nunca elegirá una contraseña. En su lugar, su dispositivo generará y almacenará estas contraseñas dentro del almacén de claves de acceso. De esta forma, el llavero de iCloud se sincroniza en todos tus dispositivos Apple.

¿Y cómo se utilizará la tecnología?

Siempre que un servicio o aplicación solicite iniciar sesión, la persona deberá confirmar su nombre de usuario y verificar su identidad a través de Face ID o Touch ID.

Los programadores deben actualizar sus procedimientos de inicio de sesión para admitir claves de acceso, pero es un adaptación de la tecnología WebAuthn existente.

Debido a que es solo un toque para iniciar sesión, es simultáneamente más fácil, más rápido y más seguro que casi todas las formas comunes de autenticación en la actualidad.

Dijo Garrett Davidson, un ingeniero de Apple conectado al sistema de autenticación de Apple, en WWDC2021.

La tecnología detrás de las claves de acceso de Apple se basa en la tecnología WebAuthn que surgió de la Alianza FIDO (Fast Identity Online), un consorcio que está revisando la autenticación con claves de seguridad de hardware.

El enfoque de Apple abarca una parte fundamental de WebAuthn, la combinación de claves de cifrado públicas y privadas que ya están profundamente integradas en la seguridad de las comunicaciones y muchos otros procesos establecidos.

La tecnología solo funciona con dispositivos Apple, pero la compañía reconoce que las claves de acceso exitosas también requieren disponibilidad en computadoras con Windows y teléfonos inteligentes Android.

Con ese fin, Apple está colaborando con socios de la industria en FIDO y el Consorcio World Wide Web (W3C) en la tecnología.

Apple, Google y Microsoft en la lucha contra el Phishing

Las claves de acceso son el último ejemplo del creciente interés en la tecnología de inicio de sesión sin contraseña, diseñada para ser más segura que la lista de contraseñas que los usuarios pegan en el costado del monitor.

Las contraseñas convencionales están plagadas de fallas de seguridad, sobre todo nuestra incapacidad para crear y recordar combinaciones únicas. Por eso Apple, con Microsoft, Google y otras empresas, están trabajando para encontrar alternativas.

La vulnerabilidad de seguridad más común en la actualidad sigue siendo la de las contraseñas débiles. En última instancia, tenemos la misión de crear un futuro sin contraseñas.

Dijo Jen Fitzpatrick, vicepresidenta de sistemas centrales de Google, en la conferencia de desarrolladores I/O de Google en mayo.

Más de 200 millones de titulares de cuentas inician sesión sin contraseña en los servicios de Microsoft. En comparación, el sitio de seguridad Have I Been Pwned registró más de 613 millones de contraseñas robadas.

El administrador del sitio, Troy Hunt, es consultor de Microsoft, y en mayo comenzó a agregar contraseñas que el FBI descubrió que estaban comprometidas.

Contraseñas: bloquee los ataques de phishing

El phishing es un problema que las claves de acceso de FIDO, WebAuthn y Apple están diseñadas para solucionar. La tecnología de inicio de sesión está emparejada con una aplicación o sitio web específico, por lo que no funciona si alguien intenta engañarlo para que inicie sesión en un sitio falso.

Estos enfoques significan que los servidores que manejan el inicio de sesión no necesitan recibir claves que son tesoros ocultos para los piratas informáticos.

Los servidores son objetivos menos valiosos porque no hay secretos de autenticación que un atacante pueda robar.

Davidson de Apple explicó.

Las claves de seguridad de hardware también bloquean el phishing, pero tienen una serie de desventajas, por ejemplo, la necesidad de llevarlas consigo constantemente y la dificultad de recuperar los privilegios de inicio de sesión de la cuenta si el engañar está perdido.

Apple quiere un sistema de autenticación aún más fuerte

Las claves de acceso solucionan ambos problemas, afirma Apple. Todo el mundo ya las lleva en el móvil, en la cara y en los dedos. Las cuentas se pueden recuperar usando el llavero iCloud de Apple si los dispositivos de un usuario se pierden, dañan o son robados.

Todavía no está claro cómo funcionará este punto de claves de acceso más allá de los dispositivos Apple. (Apple encripta los datos del llavero de iCloud y reconstruirlos sin un dispositivo puede requerir una contraseña utilizada anteriormente).

Apple no ve las claves de acceso como autenticación de dos factores, un enfoque de protección de inicio de sesión sólido que comúnmente asocia las contraseñas con otros pasos de autenticación, como un escaneo biométrico. Sin embargo, la empresa cree que las claves de acceso son lo suficientemente sólidas como para reducir la necesidad de una autenticación de dos factores.

La empresa de Cupertino está poniendo a disposición una versión de muestra de las claves de acceso en las compilaciones para desarrolladores de los futuros iOS, iPadOS y macOS. Está deshabilitado de forma nativa mientras Apple y los programadores externos prueban la tecnología.

Publicaciones relacionadas

Botón volver arriba