(https://i.imgur.com/RKAN9IC.png)
Casi cinco meses después de que Google agregara soporte para claves de paso a su navegador Chrome, el gigante tecnológico ha comenzado a implementar la solución sin contraseña en todas las cuentas de Google en todas las plataformas.
Las claves de paso, respaldadas por FIDO Alliance, son una forma más segura de iniciar sesión en aplicaciones y sitios web sin tener que usar una contraseña tradicional. Esto, a su vez, se puede lograr simplemente desbloqueando su computadora o dispositivo móvil con sus datos biométricos (por ejemplo, huella digital o reconocimiento facial) o un PIN local.
"Y, a diferencia de las contraseñas, las claves de paso son resistentes a los ataques en línea como el phishing, lo que las hace más seguras que cosas como los códigos de un solo uso de SMS", señaló Google.
Las claves de paso, una vez creadas, se almacenan localmente en el dispositivo y no se comparten con ninguna otra parte. Esto también evita la necesidad de configurar la autenticación de dos factores, ya que demuestra que "tiene acceso a su dispositivo y puede desbloquearlo".
Los usuarios también tienen la opción de crear claves de paso para cada dispositivo que utilizan para iniciar sesión en la cuenta de Google. Dicho esto, una clave de paso creada en un dispositivo se sincronizará con todos los otros dispositivos de los usuarios que ejecuten la misma plataforma de sistema operativo (es decir, Android, iOS / macOS o Windows) y si han iniciado sesión en la misma cuenta. Visto desde esa perspectiva, las claves de paso no son verdaderamente interoperables.
Vale la pena señalar que tanto Google Password Manager como iCloud Keychain utilizan cifrado de extremo a extremo para mantener las claves de acceso privadas, evitando así que los usuarios se bloqueen en caso de que pierdan el acceso a sus dispositivos o facilitando la actualización de un dispositivo a otro.
(https://i.imgur.com/nMuQgBT.gif)
Además, los usuarios pueden iniciar sesión en un nuevo dispositivo o usar temporalmente un dispositivo diferente seleccionando la opción "usar una clave de paso desde otro dispositivo", que luego usa el bloqueo de pantalla y la proximidad del teléfono para aprobar un inicio de sesión único.
"El dispositivo luego verifica que su teléfono está cerca usando un pequeño mensaje Bluetooth anónimo y configura una conexión cifrada de extremo a extremo al teléfono a través de Internet", explicó la compañía.
"El teléfono utiliza esta conexión para entregar su firma de clave de paso de un solo uso, que requiere su aprobación y el paso biométrico o de bloqueo de pantalla en el teléfono. Ni la clave de paso en sí ni la información de bloqueo de pantalla se envían al nuevo dispositivo".
Si bien este puede ser el "comienzo del fin de la contraseña", la compañía dijo que tiene la intención de continuar apoyando los métodos de inicio de sesión existentes, como las contraseñas y la autenticación de dos factores en el futuro previsible.
Google también recomienda que los usuarios no creen claves de paso en dispositivos que se comparten con otros, una medida que podría socavar efectivamente todas sus protecciones de seguridad.
Fuente: https://thehackernews.com