15 mil millones de usuarios pueden iniciar sesión con claves de acceso en lugar de contraseñas
Un año después de que Microsoft anunciara la compatibilidad con claves de acceso para cuentas de consumidores, el gigante tecnológico anunció un gran cambio que obliga a las personas que se registran en nuevas cuentas a utilizar de forma predeterminada el método de autenticación resistente al phishing.
"Las nuevas cuentas de Microsoft ahora serán 'sin contraseña por defecto'", declararon Joy Chik y Vasu Jakkal de Microsoft. "Los nuevos usuarios tendrán varias opciones sin contraseña para iniciar sesión en su cuenta y nunca necesitarán registrar una. Los usuarios existentes pueden acceder a la configuración de su cuenta para eliminar su contraseña".
El fabricante de Windows afirmó que también ha simplificado la experiencia de inicio de sesión y registro al priorizar los métodos sin contraseña. Además, el proceso de inicio de sesión detecta automáticamente ahora el mejor método disponible en la cuenta del usuario y lo establece como predeterminado.
Por ejemplo, si una cuenta permite iniciar sesión con una contraseña y un código de un solo uso, se le pedirá al usuario que inicie sesión con un código de un solo uso en lugar de la contraseña. Una vez iniciada la sesión, se le pedirá que configure una clave de acceso para una protección óptima.
El último movimiento de Microsoft, junto con sus pares Apple, Google, Amazon y otros en los últimos años, representa una marcha constante hacia un futuro sin contraseñas. Dado que los ciberataques basados en contraseñas siguen siendo un lucrativo vector de acceso inicial para los actores maliciosos, la adopción de claves de acceso anuncia un paso importante para la seguridad de las cuentas.
En septiembre de 2023, Microsoft implementó la compatibilidad con claves de acceso en Windows 11, casi al mismo tiempo que Google las convirtió en su método de inicio de sesión predeterminado para todos los usuarios a nivel mundial. El año pasado, actualizó Windows Hello para que fuera compatible con esta tecnología.
Las claves de acceso ofrecen una forma más segura de iniciar sesión en sitios web y aplicaciones, eliminando la necesidad de contraseñas. Con el respaldo de Fast Identity Online Alliance (FIDO), las claves de acceso se basan en técnicas de criptografía de clave pública/privada para autenticar a los usuarios.
Así, cuando un usuario se registra en un servicio en línea, su dispositivo cliente (es decir, teléfono o PC) genera un nuevo par de claves. La clave privada se almacena de forma segura en el dispositivo del usuario, mientras que la clave pública se registra en el servicio.
Durante el inicio de sesión, el dispositivo cliente utiliza la clave privada para firmar un desafío después de que el propietario del dispositivo lo autentica utilizando su información biométrica (por ejemplo, reconocimiento facial o huella digital).
En octubre de 2024, la Alianza FIDO anunció su colaboración con las partes interesadas para facilitar la exportación de claves de acceso y otras credenciales entre diferentes proveedores y mejorar la interoperabilidad entre ellos. Desde diciembre del año pasado, más de 15 000 millones de cuentas de usuario pueden iniciar sesión con claves de acceso en lugar de contraseñas.
El mes pasado, la asociación de la industria abierta también lanzó un Grupo de Trabajo de Pagos (PWG) para definir e impulsar soluciones FIDO para casos de uso de pagos.
Se espera que el PWG "identifique y evalúe las soluciones existentes y emergentes para abordar los requisitos de autenticación de pagos" y establezca "directrices para el uso de claves de acceso y/o soluciones FIDO propuestas junto con las tecnologías de pago existentes".
