Un año después de que Microsoft anunciara la compatibilidad con claves de acceso para cuentas de particulares, el gigante tecnológico anunció un cambio importante que obliga a quienes registren nuevas cuentas a usar el método de autenticación resistente al phishing de forma predeterminada.

“Las nuevas cuentas de Microsoft ahora serán ‘sin contraseña de forma predeterminada'”, declararon Joy Chik y Vasu Jakkal de Microsoft. “Los nuevos usuarios tendrán varias opciones sin contraseña para iniciar sesión en su cuenta y nunca necesitarán registrar una. Los usuarios existentes pueden visitar la configuración de su cuenta para eliminarla”.

El fabricante de Windows afirmó que también ha simplificado la experiencia de inicio de sesión y registro al priorizar los métodos sin contraseña. Además, el proceso de inicio de sesión ahora detecta automáticamente el mejor método disponible en la cuenta del usuario y lo establece como predeterminado.

Por ejemplo, si una cuenta ofrece la opción de iniciar sesión con una contraseña y un código de un solo uso, se le pedirá al usuario que inicie sesión con un código de un solo uso en lugar de la contraseña. Una vez iniciada la sesión, se le indicará que configure una clave de acceso para una protección óptima.

La última iniciativa de Microsoft, junto con sus competidores Apple, Google, Amazon y otros en los últimos años, representa un avance firme hacia un futuro sin contraseñas. Dado que los ciberataques basados ​​en contraseñas siguen siendo un lucrativo vector de acceso inicial para los ciberdelincuentes, la adopción de claves de acceso supone un paso importante para la seguridad de las cuentas.

En septiembre de 2023, Microsoft implementó la compatibilidad con claves de acceso en Windows 11, prácticamente al mismo tiempo que Google las convirtió en su método de inicio de sesión predeterminado para todos los usuarios a nivel mundial. El año pasado, actualizó Windows Hello para incorporar esta tecnología.

Las claves de acceso ofrecen una forma más segura de iniciar sesión en sitios web y aplicaciones, eliminando la necesidad de contraseñas. Con el respaldo de la Fast Identity Online (FIDO Alliance), las claves de acceso se basan en técnicas de criptografía de clave pública/privada para autenticar a los usuarios.

Por lo tanto, cuando un usuario se registra en un servicio en línea, su dispositivo cliente (es decir, teléfono o PC) genera un nuevo par de claves. La clave privada se almacena de forma segura en el dispositivo del usuario, mientras que la clave pública se registra en el servicio.

Durante el inicio de sesión, el dispositivo cliente utiliza la clave privada para firmar un desafío después de que el propietario del dispositivo lo autentique utilizando su información biométrica (por ejemplo, reconocimiento facial o huella dactilar).

En octubre de 2024, la FIDO Alliance anunció que está trabajando con las partes interesadas para facilitar la exportación de claves de acceso y otras credenciales entre diferentes proveedores y mejorar la interoperabilidad entre ellos. A diciembre del año pasado, más de 15 000 millones de cuentas de usuario podían iniciar sesión utilizando claves de acceso en lugar de contraseñas.

La asociación de la industria abierta también lanzó el mes pasado un Grupo de Trabajo de Pagos (GTP) para definir e impulsar soluciones FIDO para casos de uso de pagos.

Se espera que el GTP identifique y evalúe soluciones existentes y emergentes para abordar los requisitos de autenticación de pagos y establezca directrices para el uso de claves de acceso o soluciones FIDO propuestas, junto con las tecnologías de pago existentes.

Fuente: thehackernews.com