Apple, Google i Microsoft s’uneixen per donar suport als inicis de sessió FIDO sense contrasenya


El 5 de maig, Dia Mundial de la Contrasenya, potser hauríem fet un pas més a prop que les contrasenyes fossin cosa del passat.

En un esforç conjunt, gegants tecnològics pomaGoogle i Microsoft anunciat dijous al matí que s’han compromès a crear suport per a l’inici de sessió sense contrasenya a totes les plataformes mòbils, d’escriptori i de navegador que controlen l’any que ve. Efectivament, això vol dir que autenticació sense contrasenya arribarà a totes les principals plataformes de dispositius en un futur no gaire llunyà: sistemes operatius mòbils Android i iOS; navegadors Chrome, Edge i Safari; i els entorns d’escriptori Windows i macOS.

“De la mateixa manera que dissenyem els nostres productes perquè siguin intuïtius i capaços, també els dissenyem perquè siguin privats i segurs”, va dir Kurt Knight, director sènior de màrqueting de productes de plataforma d’Apple. “Treballar amb el sector per establir mètodes d’inici de sessió nous i més segurs que ofereixin una millor protecció i eliminen les vulnerabilitats de les contrasenyes és fonamental per al nostre compromís de crear productes que ofereixin la màxima seguretat i una experiència d’usuari transparent, tot amb l’objectiu de mantenir els usuaris. “informació personal segura”.

Una representació de l’inici de sessió sense contrasenya
imatge: FIDO Alliance

Un procés d’inici de sessió sense contrasenya permetrà als usuaris triar els seus telèfons com a dispositiu d’autenticació principal per a aplicacions, llocs web i altres serveis digitals, tal com detalla Google en un entrada al blog publicat dijous. Desbloquejar el telèfon amb qualsevol que s’estableixi com a acció predeterminada (introduir un PIN, dibuixar un patró o utilitzar el desbloqueig d’empremtes digitals) serà suficient per iniciar la sessió als serveis web sense necessitat d’introduir mai una contrasenya, fet possible gràcies a l’ús de un testimoni criptogràfic únic anomenat clau de pas que es comparteix entre el telèfon i el lloc web.

En fer que els inicis de sessió depenguin d’un dispositiu físic, la idea és que els usuaris es beneficiïn simultàniament de la simplicitat i la seguretat. Sense contrasenya, no hi haurà cap obligació de recordar les dades d’inici de sessió en tots els serveis o comprometre la seguretat reutilitzant la mateixa contrasenya en diversos llocs. De la mateixa manera, un sistema sense contrasenya farà que sigui molt més difícil que els pirates informàtics comprometin les dades d’inici de sessió de forma remota, ja que la sessió requereix accés a un dispositiu físic; i, teòricament, els atacs de pesca en què els usuaris es dirigeixen a un lloc web fals per capturar contrasenyes seran molt més difícils de muntar.

Vasu Jakkal, vicepresident de seguretat, compliment, identitat i privadesa de Microsoft, va destacar el grau de compatibilitat entre plataformes. “Amb les claus d’accés al dispositiu mòbil, podeu iniciar la sessió a una aplicació o servei a gairebé qualsevol dispositiu, independentment de la plataforma o del navegador que s’executi el dispositiu”, va dir Jakkal en un comunicat enviat per correu electrònic. “Per exemple, els usuaris poden iniciar la sessió en un navegador Google Chrome que s’executa a Microsoft Windows, fent servir una clau d’accés en un dispositiu Apple”.

La funcionalitat multiplataforma està sent possible gràcies a a estàndard anomenat FIDO, que utilitza els principis de la criptografia de clau pública per permetre l’autenticació sense contrasenya i l’autenticació multifactor en diversos contextos. El telèfon d’un usuari pot emmagatzemar una clau de pas única compatible amb FIDO i la compartirà amb un lloc web per a l’autenticació només quan el telèfon estigui desbloquejat. Segons la publicació de Google, les claus també es poden sincronitzar fàcilment amb un dispositiu nou des de la còpia de seguretat al núvol en cas que es perdi un telèfon.

Tot i que ja hi ha moltes aplicacions populars inclòs suport per a l’autenticació FIDOl’inici de sessió ha requerit l’ús d’una contrasenya abans de poder configurar FIDO, cosa que significa que els usuaris encara eren vulnerables als atacs de pesca que veuen les contrasenyes interceptades o robades al llarg del camí.

Però els nous procediments eliminaran el requisit inicial d’una contrasenya, tal com va dir Sampath Srinivas, director de gestió de productes per a l’autenticació segura de Google i president de l’Aliança FIDO, en un comunicat per correu electrònic enviat a El Verge.

“Aquest suport FIDO ampliat que s’anuncia avui farà possible que els llocs web implementin, per primera vegada, una experiència sense contrasenya d’extrem a extrem amb seguretat resistent a la pesca”, va dir Srinivas. “Això inclou tant el primer inici de sessió a un lloc web com els inicis de sessió repetits. Quan el suport de claus de contrasenya estigui disponible a tot el sector el 2022 i el 2023, finalment tindrem la plataforma d’Internet per a un futur realment sense contrasenya”.

Fins ara, Apple, Google i Microsoft han dit que esperen que les noves capacitats d’inici de sessió estiguin disponibles a totes les plataformes l’any vinent, tot i que no s’ha anunciat un full de ruta més específic. Encara que el traça per matar la contrasenya fa anys que està en marxa, hi ha indicis que, aquesta vegada, potser finalment ho ha aconseguit.