El Centro Nacional de Ciberseguridad (NCSC)ha publicado una guía que recomienda el uso de gestores de contraseñas y claves de acceso (PassKey), insistiendo en que estas últimas son el "futuro de la autenticación". El FBI ya viene haciendo la misma recomendación hace años.
En una entrada de blog que describe las ventajas de ambos, la agencia de ciberseguridad señaló que los gestores de contraseñas propios, basados en navegador, pueden ser una herramienta útil para los usuarios gracias a su profunda integración con la seguridad de la plataforma.
Navegadores como Chrome, Safari, Edge y Firefox ofrecen funciones integradas de gestión de contraseñas, lo que los convierte en una opción práctica para los usuarios. Las plataformas dedicadas a la gestión de contraseñas también son una opción viable.
Cabe destacar que en los últimos años se han presentado problemas con los gestores de contraseñas, con incidentes de vulneración de alto perfil que han mermado la confianza del consumidor. Cabe destacar que la agencia afirmó que los servicios de larga trayectoria probablemente solo habrán sobrevivido gracias a su gran atención a las prácticas de seguridad.
Entonces, ¿qué hace que los gestores de contraseñas sean seguros? Según el NCSC, los datos de las contraseñas se almacenan de forma segura mediante funciones del dispositivo como chips de seguridad, cifrado o ambos.
Muchos gestores de contraseñas, tanto propios como de terceros, utilizan ahora la huella dactilar o el reconocimiento facial antes de revelar las contraseñas, añadió la agencia.
Una PassKey, por su parte, es un nuevo estándar desarrollado y respaldado por gigantes tecnológicos como Apple, Google y Microsoft, que ofrece una tecnología de inicio de sesión sin contraseña (passwordless) basada en criptografía de clave pública.
En lugar de una contraseña, el dispositivo crea un par de claves secretas complejas para cada sitio web en el que el usuario se registra, manteniendo una en secreto y compartiendo la otra con el sitio web al registrarse. Dado que la combinación del par de claves es única, la clave de acceso solo funcionará en el sitio web o la aplicación para la que fue creada.
Cuando el usuario inicia sesión, el dispositivo comprueba que es la persona correcta mediante el método habitual de desbloqueo y puede demostrar al sitio web que posee la clave secreta, sin revelarla.
"Debido a su rapidez, suele ser ocho veces más rápido que iniciar sesión con nombre de usuario, contraseña y código de dos factores, además de ser más seguro", declaró el NCSC.
Las claves de acceso se están implementando rápidamente. Sitios web como Google, eBay y PayPal ya las admiten. Son fáciles de usar, difíciles de vulnerar y eliminan la fatiga de las contraseñas.
En primer lugar, el NCSC afirmó que es importante considerar la reputación de una empresa al elegir herramientas como estas. Ofrecemos una lista completa de administradores de contraseñas que tanto particulares como empresas pueden elegir.
Si bien estas herramientas ofrecen comodidad, se insta a los usuarios a seguir las mejores prácticas en términos de ciberseguridad y concienciación. La agencia recomendó a los usuarios asegurarse de ejecutar actualizaciones, usar biometría y copias de seguridad.
"No tema adoptar nuevas prácticas de seguridad como las PassKey: son más fáciles y es hacia dónde se dirige internet", añadió la agencia.
Las contraseñas son fáciles de vulnerar, y a menudo difíciles de recordar. Las investigaciones indican que más de la mitad de las personas tienen que restablecer su contraseña una vez al mes porque no la recuerdan.
Crear una contraseña única y segura es difícil para cada cuenta; una persona promedio tiene 170 contraseñas. Las PassKey ofrecen una excelente respuesta técnica a los problemas con las contraseñas", afirmó. Quizás el atributo de seguridad más importante de las PassKey es su resistencia al phishing. Un atacante no puede robar su clave de acceso y posteriormente usarla para acceder a su cuenta en línea. El NCSC tiene razón: es hora de pasar de las contraseñas a los administradores de contraseñas y las claves de acceso.
Fuente: ITPro