El vostre telèfon aviat pot substituir moltes de les vostres contrasenyes: Krebs on Security


poma, Google i Microsoft va anunciar aquesta setmana que aviat donaran suport a un enfocament de l’autenticació que evita completament les contrasenyes i, en canvi, requereix que els usuaris simplement desbloquegin els seus telèfons intel·ligents per iniciar la sessió a llocs web o serveis en línia. Els experts diuen que els canvis haurien d’ajudar a derrotar molts tipus d’atacs de pesca i alleujar la càrrega general de contrasenyes per als usuaris d’Internet, però adverteixen que un veritable futur sense contrasenya encara pot estar a anys de distància per a la majoria de llocs web.

Imatge: Blog.google

Els gegants tecnològics formen part d’un esforç liderat per la indústria per substituir les contrasenyes, que s’obliden fàcilment, sovint es roben per programari maliciós i esquemes de pesca, o es filtren i es venen en línia arran de violacions de dades corporatives.

Apple, Google i Microsoft són alguns dels col·laboradors més actius a un estàndard d’inici de sessió sense contrasenya elaborat per l’Aliança FIDO (“Fast Identity Online”) i la Consorci World Wide Web (W3C), grups que han estat treballant amb centenars d’empreses tecnològiques durant l’última dècada per desenvolupar un nou estàndard d’inici de sessió que funcioni de la mateixa manera en diversos navegadors i sistemes operatius.

Segons l’Aliança FIDO, els usuaris podran iniciar la sessió als llocs web mitjançant la mateixa acció que fan diverses vegades al dia per desbloquejar els seus dispositius, inclòs un PIN del dispositiu o una biomètrica, com ara una empremta digital o una exploració facial.

“Aquest nou enfocament protegeix contra la pesca i l’inici de sessió serà radicalment més segur en comparació amb les contrasenyes i les tecnologies multifactorials heretades, com ara les contrasenyes d’una sola vegada enviades per SMS”, va escriure l’aliança el 5 de maig.

Sampath Srinivasdirector d’autenticació de seguretat de Google i president de l’Aliança FIDO, va dir que amb el nou sistema el vostre telèfon emmagatzemarà una credencial FIDO anomenada “clau d’accés” que s’utilitza per desbloquejar el vostre compte en línia.

“La clau d’accés fa que l’inici de sessió sigui molt més segur, ja que es basa en la criptografia de clau pública i només es mostra al vostre compte en línia quan desbloquegeu el telèfon”, va escriure Srinivas. “Per iniciar la sessió en un lloc web al vostre ordinador, només necessitareu el vostre telèfon a prop i només se us demanarà que el desbloquegeu per accedir-hi. Un cop hagis fet això, no tornaràs a necessitar el teu telèfon i pots iniciar la sessió només desbloquejant l’ordinador”.

Com ZDNet notes, Apple, Google i Microsoft ja admeten aquests estàndards sense contrasenya (per exemple, “Inicieu la sessió amb Google”), però els usuaris han d’iniciar la sessió a tots els llocs web per utilitzar la funcionalitat sense contrasenya. Amb aquest nou sistema, els usuaris podran accedir automàticament a la seva clau d’accés en molts dels seus dispositius, sense haver de tornar a registrar tots els comptes, i utilitzar el seu dispositiu mòbil per iniciar sessió en una aplicació o lloc web en un dispositiu proper.

Johannes Ulrichdegà de recerca de la Institut Tecnològic SANSva anomenar l’anunci “, amb diferència, l’esforç més prometedor per resoldre el repte d’autenticació”.

“La part més important d’aquest estàndard és que no requerirà que els usuaris comprin un dispositiu nou, sinó que poden utilitzar dispositius que ja tenen i saben com utilitzar-los com a autenticadors”, va dir Ullrich.

Steve Bellovinprofessor d’informàtica a la Universitat de Columbia i un primer Internet investigador i pionerva anomenar l’esforç sense contrasenya un “gran avanç” en l’autenticació, però va dir que necessitarà molt de temps perquè molts llocs web es posin al dia.

Bellovin i altres diuen que un escenari potencialment complicat en aquest nou esquema d’autenticació sense contrasenya és el que passa quan algú perd el seu dispositiu mòbil o el seu telèfon es trenca i no poden recordar la seva contrasenya d’iCloud.

“Em preocupen les persones que no poden pagar un dispositiu addicional o que no poden substituir fàcilment un dispositiu trencat o robat”, va dir Bellovin. “Em preocupa la recuperació de la contrasenya oblidada per als comptes al núvol”.

Google diu que, fins i tot si perds el telèfon, “les teves claus de contrasenya se sincronitzaran de manera segura amb el teu nou telèfon des de la còpia de seguretat del núvol, cosa que us permetrà reprendre exactament on ho va deixar el vostre dispositiu antic”.

Apple i Microsoft també tenen solucions de còpia de seguretat al núvol que els clients que utilitzen aquestes plataformes podrien utilitzar per recuperar-se d’un dispositiu mòbil perdut. Però Bellovin va dir que molt depèn de la seguretat amb què s’administrin aquests sistemes al núvol.

“Quan fàcil és afegir la clau pública d’un altre dispositiu a un compte, sense autorització?” es va preguntar Bellovin. “Crec que els seus protocols ho fan impossible, però altres no estan d’acord”.

Nicholas Weaverprofessora del departament d’informàtica de Universitat de Califòrnia, Berkeleyva dir que els llocs web encara han de tenir algun mecanisme de recuperació per a l’escenari “vau perdre el telèfon i la contrasenya”, que va descriure com “un problema molt difícil de fer de manera segura i ja és una de les majors debilitats del nostre sistema actual”.

“Si oblideu la contrasenya i perdeu el telèfon i el podeu recuperar, ara aquest és un objectiu enorme per als atacants”, va dir Weaver en un correu electrònic. “Si oblideu la contrasenya i perdeu el telèfon i NO POT, ara heu perdut el vostre testimoni d’autorització que s’utilitza per iniciar sessió. Haurà de ser aquest últim. Apple té la infraestructura establerta per donar-hi suport (clauer d’iCloud), però no està clar si Google ho fa”.

Tot i així, va dir, l’enfocament global de FIDO ha estat una gran eina per millorar tant la seguretat com la usabilitat.

“És un pas endavant molt, molt bo, i estic encantat de veure-ho”, va dir Weaver. “Aprofitar la forta autenticació del propietari del telèfon (si teniu una contrasenya decent) és molt agradable. I almenys per a l’iPhone, podeu fer-ho robust fins i tot amb el compromís del telèfon, ja que és l’enclavament segur el que s’encarregaria d’això i l’enclavament segur no confia en el sistema operatiu amfitrió.

Els gegants tecnològics van dir que les noves capacitats sense contrasenya s’habilitaran a les plataformes Apple, Google i Microsoft “al llarg de l’any que ve”. Però els experts van dir que probablement trigaran uns quants anys més perquè les destinacions web més petites adoptin la tecnologia i abandonin les contrasenyes per complet.

Les investigacions recents mostren que molta gent encara reutilitza o recicla contrasenyes (modificant lleugerament la mateixa contrasenya), cosa que presenta un risc d’adquisició del compte quan aquestes credencials acaben exposant-se en una violació de dades. A informe al març de l’empresa de ciberseguretat SpyCloud va trobar que el 64% dels usuaris reutilitzen contrasenyes per a diversos comptes i que el 70% de les credencials compromeses en incompliments anteriors encara estan en ús.

Hi ha disponible un llibre blanc de març de 2022 sobre l’enfocament FIDO aquí (PDF). Una PMF al respecte és aquí.