Google presenta el proyecto OpenSK para ayudar a cualquiera a construir sus propias claves de seguridad para 2FA
Si está interesado en los últimos desarrollos de seguridad cibernética, debe haber estado familiarizado con la autenticación de dos factores desde hace bastante tiempo. Por otro lado, si aún no lo ha escuchado, puede llenar ese vacío revisando nuestra entrada sobre este método de autenticación aquí .
No vamos a cubrir los aspectos fundamentales de este método de autenticación en esta descripción porque nuestro objetivo es brindarle más información sobre OpenSK de Google y cómo Google fomenta el desarrollo de código abierto de la autenticación de dos factores con claves de seguridad. Este es claramente un nuevo desarrollo en el panorama de la seguridad cibernética, pero para resumirlo todo en una oración, podemos decir que Google anunció una implementación de clave de seguridad de código abierto que admite los estándares FIDO U2F y FIDO2. Suena un poco a griego, ¿no? Tomemos un término a la vez y veamos de qué se trata el alboroto entonces.
Table of Contents
¿Qué es el FIDO?
FIDO es una asociación de la industria lanzada en 2013. El objetivo de la asociación es desarrollar estándares de autenticación en diferentes plataformas. El desarrollo del método de autenticación es necesario para reducir la dependencia de las contraseñas. Varias compañías son miembros de la Alianza FIDO. Algunos de los nombres destacados incluyen Google, Bank of America, Alibaba Group, Amazon, NTT DoCoMo y otros.
El punto de FIDO es que realmente funciona en el desarrollo de autenticación de dos factores con claves de seguridad . La alianza crea protocolos de seguridad que son aplicados por sus miembros. Estos protocolos utilizan criptografía de clave pública que puede proporcionar una autenticación más sólida.
Digamos que una empresa se registra para un servicio en línea. El dispositivo del usuario creará un nuevo par de claves de seguridad. La clave privada permanece con el dispositivo, y la clave pública se registra con el servicio en línea. Entonces, cada vez que el usuario está a punto de acceder al servicio, su dispositivo prueba que tiene la clave privada. Hay varias formas de desbloquear la clave privada. Dependiendo de los métodos de autenticación que el dispositivo pueda ofrecer, el usuario puede necesitar deslizar su dedo, ingresar un código PIN, usar reconocimiento de voz, presionar un botón o insertar un dispositivo de autenticación de hardware.
Google OpenSK utiliza uno de esos métodos de autenticación: las claves de seguridad de hardware. Dado que cumple con los estándares de autenticación FIDO, el proyecto de código abierto puede ser utilizado por múltiples sitios web. En pocas palabras, todos pueden usar el mismo molde para crear sus claves únicas. Ahora, ¿cómo espera Google que la gente lo evite?
Dongle nórdico de Google OpenSK
Para implementar este proyecto de código abierto, Google ha elegido un dongle de chip nórdico. ¿Qué es un dongle nórdico? Bueno, un dongle es una pequeña pieza de hardware que te ayuda a conectar dos dispositivos. Por ejemplo, probablemente use dongles USB todos los días para conectar su teléfono a su computadora. O tal vez está utilizando un mouse Bluetooth que está conectado a su computadora portátil a través de un dongle Bluetooth. De cualquier manera, los dongles a menudo tienen funcionalidades adicionales. Por lo tanto, pueden funcionar fácilmente como tokens de seguridad.
El dongle nórdico se refiere a los dongles USB desarrollados por NORDIC Semiconductor. La razón por la que Google OpenSK emplea estos dispositivos es que los dongles nórdicos son asequibles y cumplen con los criterios FIDO.
Google OpenSK
La publicación de blog oficial de Google dice que están impulsando esta nueva plataforma de código abierto porque esperan que " sea utilizada por investigadores, fabricantes de claves de seguridad y entusiastas para ayudar a desarrollar características innovadoras y acelerar la adopción de claves de seguridad".
¿Cómo funciona Google OpenSK? El proyecto brinda a los usuarios el firmware que pueden usar para desarrollar su propia clave de desarrollador. Para eso, los usuarios deben actualizar el firmware de OpenSK en el dongle de chip nórdico antes mencionado. Si eso no fuera suficiente, Google también ofrece un estuche personalizado imprimible en 3D que puede proteger el dongle y facilitar su transporte. Según Google, el caso funciona en una variedad de impresoras 3D.
Cabe señalar, sin embargo, que Google OpenSK sigue siendo principalmente un proyecto de investigación experimental. Sí, es posible crear su propia clave de autenticación FIDO personal, pero sus esfuerzos de desarrollo siguen siendo parte de las pruebas e investigaciones que deberían ayudar a todos a mejorar los métodos de autenticación en el futuro.
Al igual que los dongles nórdicos fueron elegidos por su asequibilidad, el lenguaje de programación Rust fue elegido para el proyecto OpenSK porque tiene una fuerte seguridad de memoria y sus abstracciones de sistema operativo limpio lo hacen menos vulnerable a varios ataques. El proyecto se ejecuta en el sistema operativo TockOS que está diseñado para ejecutar múltiples aplicaciones en microcontroladores de baja memoria y baja potencia (que es lo que es una clave de seguridad de hardware). Además, Google dice que este sistema operativo permite mantener separados el applet de la clave de seguridad, los controladores y el kernel dentro del dongle. Mantener los elementos clave separados aumenta la seguridad general de una clave de seguridad.
Nos damos cuenta de que para un usuario normal, crear sus propias claves de seguridad y aprender a programar puede no ser algo cotidiano. Sin embargo, el hecho de que Google cree un proyecto de código abierto para algo así como la autenticación de dos factores muestra cuán importante es la autenticación en general. Además, demuestra que todos los interesados en la ciberseguridad están trabajando para garantizar un entorno más seguro para todos.
Además, un proyecto de código abierto significa que cada desarrollador puede tener una entrada en esta búsqueda hacia la autenticación segura. Como afirma Google en su publicación de blog, esperan que " OpenSK con el tiempo traiga características innovadoras, criptografía incrustada más fuerte y fomente la adopción generalizada de tokens confiables resistentes al phishing y una web sin contraseña". "
Antes de que nada de eso suceda, por supuesto, todavía dependemos en gran medida de una combinación de métodos de autenticación, incluidas las contraseñas, la autenticación de dos factores y otros. Y las contraseñas son ese eslabón débil en la cadena de autenticación que debes tomar en serio.
Es lo único que puedes manejar fácilmente. Sin mencionar que existen múltiples herramientas como Cyclonis Password Manager que pueden ayudarlo a crear y almacenar contraseñas seguras para múltiples cuentas. Olvídese de los días en que reciclaba sus contraseñas regularmente. Hasta que proyectos como Google OpenSK den como resultado métodos de autenticación sin contraseña fáciles y asequibles, el camino a seguir es una actitud seria y responsable hacia nuestras contraseñas personales.