Un año después de que Microsoft anunciara la compatibilidad con claves de acceso (PassKey) para cuentas de particulares, ahora anunció un cambio importante que obliga a quienes registren nuevas cuentas a usar el método de autenticación resistente al phishing de forma predeterminada.
"Las nuevas cuentas de Microsoft ahora serán 'sin contraseña de forma predeterminada'", declararon Joy Chik y Vasu Jakkal de Microsoft. "Los nuevos usuarios tendrán varias opciones sin contraseña para iniciar sesión en su cuenta y nunca necesitarán registrar una. Los usuarios existentes pueden visitar la configuración de su cuenta para eliminarla".
El fabricante afirmó que también ha simplificado la experiencia de inicio de sesión y registro al priorizar los métodos sin contraseña. Además, el proceso de inicio de sesión ahora detecta automáticamente el mejor método disponible en la cuenta del usuario y lo establece como predeterminado.
Por ejemplo, si una cuenta ofrece la opción de iniciar sesión con una contraseña y un código de un solo uso, se le pedirá al usuario que inicie sesión con un código de un solo uso en lugar de la contraseña. Una vez iniciada la sesión, se le indicará que configure una clave de acceso para una protección óptima.
La última iniciativa de Microsoft, junto con sus competidores Apple, Google, Amazon y otros en los últimos años, representa un avance firme hacia un futuro sin contraseñas. Dado que los ciberataques basados en contraseñas siguen siendo un lucrativo vector de acceso inicial para los ciberdelincuentes, la adopción de claves de acceso supone un paso importante para la seguridad de las cuentas.
En septiembre de 2023, Microsoft implementó la compatibilidad de PassKey en Windows 11, prácticamente al mismo tiempo que Google las convirtió en su método de inicio de sesión predeterminado para todos los usuarios a nivel mundial. El año pasado, actualizó Windows Hello para incorporar esta tecnología.
Las PassKey ofrecen una forma más segura de iniciar sesión en sitios web y aplicaciones al eliminar la necesidad de contraseñas. Con el respaldo de Fast Identity Online (FIDO Alliance), las claves de acceso se basan en técnicas de criptografía de clave pública/privada para autenticar a los usuarios.
Por lo tanto, cuando un usuario se registra en un servicio en línea, su dispositivo cliente (es decir, teléfono o PC) genera un nuevo par de claves. La clave privada se almacena de forma segura en el dispositivo del usuario, mientras que la clave pública se registra en el servicio.
Durante el inicio de sesión, el dispositivo del cliente utiliza la clave privada para firmar un desafío después de que el propietario del dispositivo lo autentique utilizando su información biométrica (por ejemplo, reconocimiento facial o huella dactilar).
En octubre de 2024, la Alianza FIDO anunció su colaboración con las partes interesadas para facilitar la exportación de claves de acceso y otras credenciales entre diferentes proveedores y mejorar la interoperabilidad entre estos. Desde diciembre del año pasado, más de 15.000 millones de cuentas de usuario pueden iniciar sesión utilizando claves de acceso en lugar de contraseñas.
La asociación de la industria abierta también lanzó el mes pasadoel grupo Payments Working Group (PWG) para definir e impulsar soluciones FIDO para casos de uso de pagos. Se espera que el PWG identifique y evalúe las soluciones existentes y emergentes para abordar los requisitos de autenticación de pagos y establezca directrices para el uso de claves de acceso o soluciones FIDO propuestas, junto con las tecnologías de pago existentes.
Fuente: THN