Siga ZDNET: Agréganos como fuente preferida en Google.
Conclusiones clave de ZDNET
- Microsoft está cumpliendo su promesa de admitir la sincronización de claves de acceso.
- El lanzamiento comienza con la disponibilidad en Edge para Windows.
- Parece que se está trabajando en una estrategia más holística y líder en la industria
Ya sea que esté utilizando sitios web o aplicaciones (a los que los profesionales de la ciberseguridad se refieren colectivamente como «partes de confianza») que requieren un inicio de sesión, eventualmente se le pedirá que elimine su contraseña en favor de una clave sin contraseña.
Bajo la dirección de múltiples proveedores Alianza FIDOel estándar de clave de acceso, considerado un tipo de credencial de inicio de sesión no susceptible de phishing, existe desde hace cinco años. Sin embargo, el cambio global hacia las claves de acceso se ha visto obstaculizado por la inmadurez de algunas tecnologías de soporte en los sistemas operativos y dispositivos actuales, así como en los diversos sistemas de gestión de identidad utilizados por las partes que confían.
El lanzamiento comienza con Edge en Windows 11
Sin embargo, la tasa de adopción de claves de acceso debería recibir un impulso ahora que una de las barreras (la falta de un medio ampliamente disponible ofrecido por Microsoft para sincronizar claves de acceso entre dispositivos Windows e instalaciones de su navegador web Edge) se está eliminando. El lanzamiento gradual de Microsoft comenzó la semana pasada.
Según Microsoft, la fase inicial de la implementación comenzó con la capacidad de sincronizar claves de acceso entre instalaciones de Edge versión 142 (o superior) que se ejecutan en dispositivos con Windows 10 y superiores.
También: Diez consejos para sobrevivir con claves de acceso: prepárese para un futuro sin contraseñas ahora
«Estamos apuntando a finales de año calendario para (la disponibilidad en Edge en) iOS», dijo un portavoz de Microsoft a ZDNET. Esa disponibilidad «será seguida posteriormente (por Edge) en Android y MacOS». La compañía aún no ha ofrecido un cronograma de soporte a través de Edge en Linux.
Anteriormente, los usuarios de Windows podían crear claves de acceso para aplicaciones y sitios web que las admitieran. Sin embargo, esas claves de acceso estaban vinculadas criptográficamente a una raíz de confianza única basada en hardware, como el Módulo de plataforma segura (TPM) que se encuentra en los sistemas modernos compatibles con Windows. Los TPM generalmente están integrados en el silicio que se monta en la superficie de la placa base de un dispositivo. Una vez creadas, dichas claves de acceso «vinculadas al dispositivo» están inextricablemente vinculadas a la raíz de confianza única basada en hardware utilizada para crearlas y no se pueden sincronizar con otros dispositivos respaldados por una raíz de confianza basada en hardware separada.
Claves de acceso vinculadas al dispositivo versus sincronizables
Se considera que las claves de acceso sincronizables son más fáciles de usar que sus contrapartes vinculadas al dispositivo. Cuando los usuarios pueden sincronizar sus claves de acceso en sus diversos dispositivos (computadoras, teléfonos inteligentes, tabletas, consolas de juegos, etc.), solo necesitan crear una clave de acceso por parte de confianza y pueden reutilizar esa única clave de acceso como credencial de inicio de sesión para esa parte de confianza desde cualquiera de sus dispositivos.
Sin embargo, con las claves de acceso vinculadas a dispositivos del tipo que Microsoft admitía principalmente hasta ahora, existe una mayor carga técnica para usted al tener que crear múltiples claves de acceso (una por dispositivo) para cada parte que confía o almacenar una única clave de acceso en un autenticador itinerante: una raíz de confianza portátil basada en hardware como un Yubico Yubikey o un Google Titan que debe estar conectado a cualquier dispositivo desde el que inicies sesión en ese momento.
También: Estoy deshaciéndome de las contraseñas por claves de acceso por una razón, y no es lo que piensas
Para que una clave de acceso se libere de estas limitaciones vinculadas al dispositivo, se debe crear utilizando una raíz de confianza portátil basada en software. Una vez que se crea una clave de acceso de esta manera, el enfoque típico es sincronizarla a través de una nube operada por el proveedor de la solución de administración de credenciales. Por ejemplo, las claves de acceso cuyo origen comienza con el llavero iCloud de Apple se pueden sincronizar con otros dispositivos Apple a través de iCloud de Apple. Lo mismo ocurre con las claves de acceso creadas con el administrador de contraseñas que se encuentra en el navegador web Chrome de Google; se sincronizan a través de la nube de Google con las otras copias de Chrome del usuario en otros dispositivos.
Apple, Google y Microsoft son miembros de la Alianza FIDO y son los tres mayores defensores mundiales de las claves de acceso (oficialmente conocidas como Credencial FIDO2). También existe una gran industria artesanal de soluciones de gestión de contraseñas (incluidos 1Password, BitWarden, Dashlane, LastPass y NordPass), muchos de los cuales también admiten la sincronización de claves de acceso a través de sus nubes operadas de forma independiente. Fiel a su estilo, Microsoft confía en su nube para facilitar la sincronización de claves de acceso (así como de otras credenciales, como ID de usuario y contraseñas).
También: Los mejores administradores de contraseñas: probados por expertos
«En lugar de estar anclada a un TPM específico, la clave privada (asociada con la clave de acceso) ahora está protegida dentro de un enclave de nube seguro respaldado por hardware y cifrada usando claves HSM (Módulo de seguridad de hardware)», dijo el portavoz de Microsoft a ZDNET. «Esto garantiza que las claves de acceso permanezcan fuertemente protegidas no sólo en reposo y durante la sincronización, sino también mientras se utilizan dentro del enclave seguro».
El enfoque holístico de Microsoft
Sin embargo, a medida que avanzan los autenticadores de plataformas de claves de acceso, la estrategia de claves de acceso sincronizables de Microsoft hace más que expandir la disponibilidad gratuita e integrada de la capacidad de claves de acceso sincronizables para la huella gigante de los usuarios existentes de Windows y Edge. También lleva la idea de un autenticador de plataforma a un nivel completamente nuevo para la industria. Aunque la visión completa se está logrando en pequeños pasos, comenzando con la cambio de compatibilidad con contraseñas de Microsoft Authenticator a Edge este julio, incluirá capacidades clave que no se encuentran en otras soluciones de administración de credenciales (especialmente las gratuitas e integradas).
El aspecto más significativo y gratamente sorprendente de estos es la visión holística de que la creación de claves de acceso y su uso posterior debe ser un servicio integrado ofrecido a otras aplicaciones por el sistema operativo. Supongamos que depende de una parte de confianza que ofrece su funcionalidad a través de una aplicación web y una aplicación nativa de Windows. Según el enfoque de Microsoft, tanto Edge como la aplicación nativa de Windows pueden depender de los mismos componentes subyacentes del sistema operativo para la infusión de registro de clave de acceso y autenticación capacidades.
También: Microsoft Authenticator ya no administrará sus contraseñas, ni la mayoría de las claves de acceso
Por ejemplo, digamos que crea, a través de su navegador Edge, una clave de acceso sincronizable para iniciar sesión en LinkedIn. Una vez creada, la misma clave de acceso también estará disponible para la aplicación nativa de Windows para LinkedIn. O viceversa. A través de la aplicación nativa de Windows para LinkedIn, debería poder registrar una clave de acceso que posteriormente estará disponible para la autenticación con LinkedIn a través de Edge.
Esta capacidad no es sólo para aplicaciones nativas de Windows que son específicas de una única parte dependiente. Según Microsoft, los usuarios de otros navegadores, como Firefox, también tendrán acceso al servicio proporcionado por el sistema operativo. En un caso como este, se podría usar Firefox para visitar y autenticarse en LinkedIn.com usando la misma clave de acceso (para LinkedIn) que está disponible a través de Windows to Edge, así como la aplicación nativa de LinkedIn para Windows.
Según Microsoft, esta capacidad se activará para los usuarios de Windows 11 que hayan realizado la configuración única del administrador de contraseñas en Edge (al que Microsoft se refiere como «Administrador de contraseñas de Microsoft»).
También: ¿Qué sucede realmente durante el inicio de sesión con clave de acceso «sin contraseña»?
Finalmente, sólo porque Microsoft ahora esté aplicando su estrategia integral de claves de acceso sincronizables no significa que esté eliminando el soporte para las antiguas claves de acceso vinculadas al dispositivo.
«Siempre que un usuario encuentre la creación de una clave de acceso (flujo de trabajo) dentro de Edge, se le mostrará una 'pantalla de selección' donde los usuarios pueden elegir entre guardarla en Microsoft Password Manager (sincronizado) o almacenarla localmente (como una clave de acceso vinculada al dispositivo) a través de Windows Hello», dijo el portavoz de Microsoft a ZDNET. «Dependiendo de lo que seleccionen los usuarios, se invocan los siguientes pasos apropiados». Dentro de Windows, Windows Hello consta de varios componentes que forman parte del subsistema de seguridad de Windows más grande.
