Apple, Google y Microsoft ofrecerán acceso a sus servicios sin necesidad de contraseñas

Necesarias como puedan ser, las contraseñas resultan una verdadera incomodidad para millones de usuarios de todo el mundo. Mantener un registro de claves actualizado para cada página, plataforma y servicio es un trabajo farragoso a menos que se utilicen gestores como Bitwarden o KeePass, que no son una solución para los usuarios menos avezados. Apple, Google y Microsoft creen haber dado con la solución: sustituirlas por la autenticación desde el móvil.

Estas tres compañías han anunciado de forma conjunta que brindarán soporte para credenciales FIDO para las que son, de facto, las mayores plataformas del mundo. De esta forma será posible que el usuario se identifique en Android, iOS, Windows y macOS, así como los respectivos navegadores de cada compañía sin necesidad de utilizar contraseñas, utilizando únicamente el móvil.

La idea general es que el teléfono móvil mantendrá un token criptográfico único (passkey) que será compartido entre el dispositivo y los servicios en cuestión. Cuando el navegador web o una aplicación requiera un nombre de usuario y una contraseña, un mensaje en el móvil solicitará la introducción de un código pin, un dibujo en pantalla o una huella dactilar.

Imagen

Si bien la idea de identificar al usuario utilizando el teléfono móvil (ya sea mediante notificación push, SMS o aplicación) no es lo que se dice radicalmente nueva, lo interesante de la propuesta de hoy es que no solo elimina las claves durante la autenticación, sino también durante el proceso de registro de una cuenta. Por supuesto, el usuario podrá seguir identificándose aunque en ese momento no tenga un dispositivo con el token en cuestión (utilizando una conexión Bluetooth para preguntar desde el PC al teléfono si está intentando acceder a una web, por ejemplo), y la existencia de una identificación FIDO no descarta poder seguir utilizando contraseñas.

Apple, Google y Microsoft aseguran que el nuevo sistema de acceso estará disponible de forma general a lo largo del próximo año. Hasta entonces, los usuarios interesados en conocer en mayor detalle este sistema pueden consultar el whitepaper oficial (PDF).

Fuente: FIDO Alliance
El dia que perdamos/nos roben el movil va a ser divertido
Con el móvil... más coñazo pero más seguro.
Vivimos atados al movil, ahora seremos totalmente dependientes.

El movil es nuestra vida
@Ssd-_-bsS tenemos que perder el móvil y los dedos, porque de igual forma pedirá la huella o un patron de dibujo.
(mensaje borrado)
En el momento que tienes configurado un MFA, cosa bastante recomendable, perder el móvil o que se rompa es una liada por lo tedioso que pueda ser recuperar la cuenta. Esto no añade ni quita problemas. Y en cuanto a seguridad por robo, si tienes el móvil bloqueado con un pin y alguna autenticación biometrica tampoco debería ser mucho problema.
Gracias pero no, gracias.
Prefiero la doble autenticación.
Pasando, el móvil se queda en la mesita de noche desde que llego a casa hasta el día siguiente, y únicamente lo uso para ver cosas mientras estoy en el baño. Ni de coña meto información sensible de ningún tipo en un trasto que no miro el 99% del tiempo.
Quíen me ha llamado?

Soy el hermano de FIDO, podéis darme vuestras contraseñas, os prometo que estarán a salvo. Si las perdéis, únicamente tenéis que poneros en contacto conmigo XD XD XD
Y ya de paso empiezan a asociar dispositivos con cuentas personales y a hacer negocio... o estoy pensando yo demasiado mal?
Siempre me dio cague pensar en el improbable escenario de que se te joda/pierdas el móvil... entre que clonas la sim y te llega un móvil nuevo, estarías literalmente desconectado de todo
El triángulo de la seguridad pierde una arista.
Teuti escribió:Siempre me dio cague pensar en el improbable escenario de que se te joda/pierdas el móvil... entre que clonas la sim y te llega un móvil nuevo, estarías literalmente desconectado de todo


La idea es que desde ya mismo todos tengamos esim, vamos, que se acabó el "trocito de plástico" con el chip, por lo que esa espera, que sería realmente la larga, se acabaría (a no ser que el movil lo pidas a china, en ese caso la otra espera ya es cosa tuya).
No mola.
En España no se puede tener móvil sin dar tus datos personales reales.
Así que cualquiera que use el móvil como identificación se estará conectando con sus datos reales y además tendrán un tracker único de ese usuario para esos servidores y para todo lo demás para lo que use el móvil.
Adios privacidad.
Y como pierdas el móvil no piedes ni comunicarte por correo electrónico. No tengo la autenticación en dos pasos activada, como para activar esto.
Donde esté Keepass con una contraseña horriblemente larga, fea y diferente para cada servicio, que se quite todo.
killer-x escribió:En el momento que tienes configurado un MFA, cosa bastante recomendable, perder el móvil o que se rompa es una liada por lo tedioso que pueda ser recuperar la cuenta. Esto no añade ni quita problemas. Y en cuanto a seguridad por robo, si tienes el móvil bloqueado con un pin y alguna autenticación biometrica tampoco debería ser mucho problema.


Depende la empresa es mas o menos complicado. Hay codigos para recuperar el mail y a traves de eso habilitar la verificacion en dos pasos a otro dispositivo.

Mr.Gray Fox escribió:Pasando, el móvil se queda en la mesita de noche desde que llego a casa hasta el día siguiente, y únicamente lo uso para ver cosas mientras estoy en el baño. Ni de coña meto información sensible de ningún tipo en un trasto que no miro el 99% del tiempo.


No usas la verificacion en dos pasos? Quieres decir que toda tu informacion sensible de la red esta protegida solo por una contraseña? Eso es dejar un agujero de seguridad bastante grande la verdad.

Un saludo.
Prefiero memorizar contraseñas a que estas empresas oligopolistas tengan huellas biométricas mías.
Parece una forma de unificar para facilitárselo al público, porque con MS al menos eso ya se puede hacer desde hace tiempo con Authenticator.

@coyote-san la biometría se gestiona en tu terminal, usará el Touch ID o Face ID del dispositovo y SO en cuestión, como ya hacen tantas cosas que usamos a diario.
Los que renegáis de usar el móvil para la identificación, sabéis que al final todos vamos a pasar por el aro, si o si. A mi el banco me insiste y de forma muy cansina que pague con el móvil, pero tardo menos en sacar la tarjeta de crédito / débito que desbloquear el móvil, abrir la lenta app del banco e ir a la sección de pago, pero al final de todo pasaremos por ahí.

coyote-san escribió:Prefiero memorizar contraseñas a que estas empresas oligopolistas tengan huellas biométricas mías.

La biometría en un móvil es un simple si coincide lo registrado manda un Ok a la app de turno o pantalla de bloqueo de que eres tú, no envía tu huella a nadie, queda cifrada en el móvil (o esa es la teoría).
coyote escribió:Los que renegáis de usar el móvil para la identificación, sabéis que al final todos vamos a pasar por el aro, si o si. A mi el banco me insiste y de forma muy cansina que pague con el móvil, pero tardo menos en sacar la tarjeta de crédito / débito que desbloquear el móvil, abrir la lenta app del banco e ir a la sección de pago, pero al final de todo pasaremos por ahí.

coyote-san escribió:Prefiero memorizar contraseñas a que estas empresas oligopolistas tengan huellas biométricas mías.

La biometría en un móvil es un simple si coincide lo registrado manda un Ok a la app de turno o pantalla de bloqueo de que eres tú, no envía tu huella a nadie, queda cifrada en el móvil (o esa es la teoría).


Jajajaja ya claro...nadie se queda tu huella, nadie trafica con tus datos, nadie te espia y tienes absoluta privacidad

Que a estas alturas de la pelicula la gente siga pensando tan inocentemente... [+risas]
killer-x escribió:En el momento que tienes configurado un MFA, cosa bastante recomendable, perder el móvil o que se rompa es una liada por lo tedioso que pueda ser recuperar la cuenta. Esto no añade ni quita problemas. Y en cuanto a seguridad por robo, si tienes el móvil bloqueado con un pin y alguna autenticación biometrica tampoco debería ser mucho problema.

Con Latch tus códigos TOTP se graban en la nube, con lo cual con tu correo y password lo recuperas al momento tus códigos TOTP.

Teuti escribió:Siempre me dio cague pensar en el improbable escenario de que se te joda/pierdas el móvil... entre que clonas la sim y te llega un móvil nuevo, estarías literalmente desconectado de todo

A parte de lo que te han dicho de la esim, sería recomendable tener un sistema backup, de hecho existen llaves de USB fido (ejemplo) por nombrar 1 tipo de backup.

Al final todo es prepararte y hacer las cosas con cabeza. Lo que dices es como cambiarse la puerta de tu casa (o comprarte un coche por poner otro ejemplo) y en lugar de asegurarte de tener varias copias bien seguras tan solo tienes 1 llave y cuando la pierdas a cambiar el bombín/puerta/coche de nuevo. Verdad que eso no es normal? Pues en lo digital tampoco (si lo haces bien, claro).
La solucion a los que dicen de si pierdes el movil, supongo que será tener otro de backup linkado y ya está. Coñazo pero es a lo que vamos, creo yo. Saludos
23 respuestas