Microsoft ha anunciado recientemente que sus casi 800 millones de usuarios de servicios como Outlook, Office o Skype ahora tienen la opción de iniciar sesión en estas plataformas sin usar una contraseña, según informan especialistas en forense digital del Instituto Internacional de Seguridad Cibernética.
El anuncio es parte de los planes de varias compañías para migrar al uso de Internet sin contraseña a través de la implementación de WebAuthn, la tecnología clave para completar esta transición. De acuerdo con los especialistas en seguridad digital y ciberseguridad, la implementación de esta tecnología implica el uso de datos biométricos (como reconocimiento facial o de huellas digitales) u otros métodos de autenticación en lugar de seguir utilizando el sistema de nombre de usuario y contraseña.
Si bien esta es una medida relevante para la seguridad de los usuarios de Internet, aún es necesario pasar por un largo proceso de implementación, en el cual los usuarios deberán ser persuadidos para adoptar nuevas formas de autenticación para acceder a las distintas plataformas digitales. El uso de la contraseña es relativamente simple para cualquier usuario de Internet, por lo que este método ha prevalecido como el más utilizado. On the other hand, la autenticación sin contraseña funciona de manera diferente, puede ser complicada de entender e implica la necesidad de aprender nuevos acrónimos o conceptos, como FIDO2, WebAuthn o CTAP, por lo que los especialistas en forense digital tratarán de explicar de manera general cómo funciona la autenticación sin contraseña.
Cuando alguien usa un sitio web, la forma más común de registrarse es elegir un nombre de usuario y una contraseña. Una vez que el usuario comparte estos datos con el sitio web, se pierde cualquier tipo de control sobre lo que hace el sitio con sus palabras clave, los usuarios solo pueden confiar en que el sitio web almacenará y procesará esa información de manera segura. Sobre la base de la cantidad de incidentes de seguridad de datos ocurridos recientemente, podemos deducir que esta expectativa no siempre se cumple.
Según los expertos en forense digital con la autenticación sin contraseña, Users will no longer have to rely on the website to store their information correctly. This is because public key cryptography is used, which authenticates the user through two cryptographic keys: a private key that is secret and a public key.
The user keeps their secret key and provides the public key to the website when registering. Since this key will be public, users do not need to worry about their sensitive information being compromised in the event of a data breach. The public key can only unlock things that were locked using the corresponding private key.
On the other hand, The user authenticates by using their private key to encrypt a “challenge” (a very large number selected at random) enviado al sitio web y luego hará que el sitio lo descifre con la clave pública. Si la secuencia de cifrado / descifrado funciona y el servidor web recupera el desafío del usuario, se completa el proceso de autenticación sin contraseña.
Para que esto funcione correctamente, el usuario necesitará un “autenticador”, un administrador de claves y un conjunto de reglas que permitan que su dispositivo, su navegador y los sitios web que visita completen el proceso.