Pronto, no necesitará ingresar contraseñas si usa un dispositivo Android 7. ¿Eso es seguro?

Android 7+ Devices Become FIDO Certified

El lunes, Google anunció que muy pronto, prácticamente todos los dispositivos con Android 7 y más nuevos estarán certificados por FIDO. Esto, como descubrirá en un minuto, es una gran noticia, pero apreciamos que en este momento, algunos de ustedes estén un poco confundidos, por lo que probablemente deberíamos continuar explicando qué es FIDO y por qué. es tan importante

¿FIDO y el problema de la contraseña?

FIDO significa Fast Identity Online, y es un protocolo de autenticación desarrollado por un consorcio de algunas de las compañías de tecnología más grandes del mundo. La idea es hacer la autenticación más fácil y más segura. La mejor manera de entender cómo lo va a hacer es compararlo con lo que tenemos en este momento: el sistema de nombre de usuario y contraseña.

El procedimiento estándar cuando se suscribe a un servicio en línea es bastante sencillo. Al registrarse, creará un conjunto de credenciales de inicio de sesión que el proveedor de servicios recibe y almacena. Cuando intenta iniciar sesión en su cuenta, ingresa su nombre de usuario y contraseña, el proveedor del servicio los compara con lo que tiene en el archivo, y si hay una coincidencia, se le permite ingresar. Hay varios problemas fundamentales con esto. mecanismo.

Dado que su nombre de usuario está disponible públicamente y a menudo coincide con su correo electrónico, la seguridad de su cuenta depende más o menos de su contraseña, que, como todos sabemos, puede ser ( y en muchos casos es ) débil. También puede ser ( y en muchos casos es ) reutilizado o pirateado , y ni siquiera hemos mencionado la forma en que se transmite la contraseña entre el cliente y el servidor o la forma en que los proveedores de servicios la almacenan . Las personas que diseñan FIDO se han dado cuenta de que la única forma de resolver todos estos problemas es eliminar la contraseña por completo.

¿Cómo funciona FIDO?

FIDO hace uso de la criptografía pública, un enfoque completamente diferente. Durante el proceso de registro, su dispositivo FIDO crea un par de claves criptográficas, una pública que se envía al proveedor del servicio y una privada que permanece en el dispositivo. El proveedor de servicios envía un desafío y su dispositivo usa su clave privada para firmarlo. El desafío firmado se envía de vuelta al proveedor que utiliza su clave pública para descifrarla y confirmar que realmente está usted en el otro extremo de la línea.

Es un proceso algo complicado, especialmente si no está tan familiarizado con el funcionamiento de la criptografía, pero el resultado es que si los piratas informáticos quieren hacerse cargo de su cuenta, necesitarán ambas claves criptográficas: la pública y la privada.. Ya que están almacenados en dos ubicaciones diferentes, robarlos es extremadamente difícil, adivinarlos es básicamente imposible, y el diseño del protocolo hace que la suplantación de proveedores de servicios sea muy difícil, lo que significa que los ataques de phishing regulares tampoco funcionarán.

Implementar FIDO en un servicio en línea es tan simple como activar una API, lo que significa que su privacidad depende menos de lo que el proveedor haga (o no haga). Más importante aún, por primera vez en mucho tiempo, tenemos lo que parece una alternativa viable a la contraseña difícil de recordar.

¿Dónde entra Android?

Google está implementando una actualización del componente Servicios de Google Play para dispositivos Android que ejecutan la versión 7.0 o más reciente. Cuando los usuarios lo obtengan, podrán usar sus teléfonos móviles como dispositivos FIDO.

Lo que esto significa es que el inicio de sesión en aplicaciones y servicios compatibles con la autenticación FIDO no requerirá nada más que usar el escáner de huellas dactilares de su dispositivo o ingresar un PIN o un patrón de deslizamiento. No necesitará ingresar contraseñas para estas aplicaciones y sitios web.

¿Son estas buenas noticias?

Sí lo es. Estamos tan acostumbrados a proteger nuestros datos con contraseñas que la idea de eliminarlos está obligada a hacer que algunas personas se sientan un poco aprensivas, pero como ya establecimos, el uso de claves criptográficas en lugar de una contraseña memorizada es una solución mucho mejor. Tanto de comodidad como de seguridad. Aún necesitará usar uno de los mecanismos de autenticación de su dispositivo para identificarse, pero todo esto sucede localmente, lo que hace que un posible ataque sea mucho más difícil. Estamos bastante seguros de que cualquier persona que haya tenido que ingresar una contraseña larga y compleja en un pequeño teclado en pantalla también agradecerá el cambio.

¿Dónde está la trampa, entonces?

La participación de tantos gigantes de la tecnología líder significa que el diseño de FIDO probablemente ha sido cuidadosamente pensado, pero no debemos dejarnos llevar. Hace algún tiempo, usar el nombre de su perro como su contraseña era lo suficientemente bueno, pero en este momento no lo es. De la misma manera, es probable que el paisaje evolucione, y cuanto mayor sea el número de servicios que adopte FIDO, mayor será el número de personas que intentarán atacarlo. Hablando de adopción, todavía es relativamente bajo.

Muchos servicios han implementado tokens basados en FIDO como una de las opciones para la autenticación de dos factores (2FA), pero pocos le permiten usar el protocolo como método de inicio de sesión principal. El hecho es que todavía es relativamente nuevo, y la gente no entiende del todo cómo pueden beneficiarse de él. Hay otro problema.

Según Wired , cerca de mil millones de dispositivos Android obtendrán la certificación FIDO, lo que acercará el protocolo a muchas personas, pero cuando piense en cuántos teléfonos y tabletas más funcionan con versiones anteriores del sistema operativo móvil de Google, " Veré que esto está lejos de ser suficiente. Si la gente va a comenzar a usar FIDO, el protocolo debe ser compatible con cualquier cosa, desde relojes inteligentes hasta computadoras de escritorio, y los proveedores también deben pensar en lo que harán con las montañas de los dispositivos de Internet de las cosas que salen de las líneas de producción en todo el mundo. a un ritmo realmente sorprendente. En otras palabras, FIDO debe volverse tan ubicuo como la contraseña. Y eso es poco probable que suceda pronto.

Las contraseñas están aquí para quedarse, y debes aprender a tratarlas con respeto. Haga clic aquí para saber cómo nuestro Administrador de contraseñas de Cyclonis puede ayudarlo a hacerlo.

February 28, 2019
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.