Ahora es claro para casi todos que la contraseña es una forma de autenticación débil y francamente sin sentido, sin embargo, la mayoría de nosotros todavía vive bajo la tiranía de la contraseña [VIDEO]. Esto, a pesar de que representa una carga para el usuario, es fácilmente robado y, en general, ineficaz. Hoy, dos cuerpos de estándares, FIDO y W3C anunciaron una mejor manera, un nuevo protocolo libre de #Contraseñas para la web [VIDEO]llamado #WebAuthn.

Los principales fabricantes de navegadores

Google, Mozilla y Microsoft, han acordado incorporar la versión final del protocolo, que permite a los sitios web eludir la molesta contraseña a favor de un autentificador externo como una clave de seguridad o su teléfono móvil.

Estos dispositivos se comunicarán directamente con el sitio web a través de Bluetooth, USB o NFC. El organismo de estándares se ha referido a esto como 'prueba de phishing'.

¿Será bueno cambiar de método?

Sí, al cambiar a este método, no solo eliminará la necesidad de una contraseña, tampoco creará una de 20 caracteres cada pocas semanas para complacer a los dioses de la seguridad, sino que desaparecerá todo el motivo de ese tipo de farsas de seguridad. Sin contraseñas, podemos eliminar muchas de las amenazas de seguridad comunes, como el phishing, los ataques de intermediarios y el abuso general de credenciales robadas. Eso es porque usando un sistema como este, no habría nada que robar. El token de autenticación solo durará tanto como sea necesario para autenticar al usuario y no más, y requeriría un dispositivo específico para autenticarse.

La especificación WebAuthn ofrece varios ejemplos de cómo esto podría funcionar

En un ejemplo, está trabajando en una computadora portátil y accede a un sitio web que requiere que inicie sesión. En lugar de un nombre de usuario y contraseña, recibe un mensaje para que verifique su teléfono. Toca el indicador en su teléfono y está conectado sin necesidad de ingresar nada. Brett McDowell, director ejecutivo de la Alianza FIDO ciertamente vio la belleza de este nuevo enfoque. "Después de años de violaciones de datos cada vez más graves y robo de credenciales de contraseñas, ahora es el momento de que los proveedores de servicios pongan fin a su dependencia de contraseñas vulnerables y códigos de acceso únicos y adopten autenticación FIDO resistente a phishing para todos los sitios web y aplicaciones", dijo McDowell en una declaración.

WebAuthn todavía no está listo para la versión final

El mismo ha alcanzado la etapa de "Recomendación del candidato (CR)", lo que significa que se recomienda a los organismos de estándares para su aprobación final.

Ningún método de seguridad es infalible, por supuesto, y probablemente no le tome mucho tiempo a alguien encontrar un agujero en este enfoque también, pero al menos es un paso en la dirección correcta. Ya es hora de que inventemos una nueva técnica de autenticación sin contraseña y WebAuthn podría ser la respuesta al problema de contraseñas de larga data. #Solución