En su último movimiento para alentar a los usuarios a adoptar mecanismos de autenticación sólidos para cuentas en línea, Google está agregando soporte para claves de acceso a su Programa de Protección Avanzada (APP).
APP es un dispositivo de ciberdefensa destinado a proteger las cuentas de objetivos de alto riesgo, como altos ejecutivos, funcionarios públicos y miembros de la sociedad civil. Esta medida significa que las personas con alto riesgo de sufrir ataques cibernéticos pueden renunciar a contraseñas fáciles de robar o adivinar en favor de una clave de acceso, que es una forma virtual del sistema de claves de seguridad de hardware FIDO2.
Las claves de acceso son fáciles de usar: los usuarios almacenan una clave privada en una terminal de hardware utilizando un enclave de hardware seguro o un administrador de contraseñas, que luego se utiliza para autenticarse en servicios en la nube y sitios web resolviendo un problema criptográfico. Esta resolución ocurre en segundo plano y, para el usuario, simplemente necesita usar una huella digital, un escaneo facial o un PIN para iniciar sesión.
Las claves de acceso también pueden frustrar los ataques de phishing y de adversario en el medio (AitM) porque verifican que los sitios web a los que el usuario intenta acceder son legítimos.
En el caso de aplicación de googleAdmite todas las claves de acceso compatibles con FIDO, incluidas las almacenadas en dispositivos que los usuarios ya poseen, o claves de seguridad externas que contienen claves de acceso (como la mayoría de las claves de seguridad FIDO2 actuales). Los usuarios pueden utilizar claves de acceso para proteger cualquier cuenta de Google, incluidas Google Cloud Platform, Gmail y Google Workspace.
«Los individuos siempre han sido blanco de ataques sofisticados y este fenómeno sigue creciendo», explica a Dark Reading Shuvo Chatterjee, director de producto de la aplicación de Google. “Google presentó la aplicación como un producto de protección para personas de alto riesgo mucho antes que nadie, debido a nuestro trabajo continuo para proteger a quienes enfrentan estas amenazas elevadas. »
Aunque el programa admitió claves de hardware FIDO2 desde el principio, «este anuncio de compatibilidad con claves de acceso como opción de inscripción es importante para las muchas personas de alto riesgo de las que hemos oído hablar y que simplemente no pueden acceder a las claves de seguridad de hardware», dice Chatterjee. Cita el ejemplo de un periodista que cubre una zona de guerra que físicamente no puede tomarse el tiempo para colocar una llave voluminosa, o un miembro del personal de campaña de nivel inferior que viaja por el país y trabaja, tal vez con un presupuesto limitado y no puede permitirse el lujo de adquirir el hardware. ruta.
“Hemos visto las dificultades a las que se enfrentan las personas que quieren protección adicional pero no pueden registrarse por diversos motivos”, explica. “Para periodistas, activistas, políticos, líderes empresariales y otras personas con mayor riesgo de ser atacados, esto potencialmente elimina un obstáculo adicional en su camino. »
Junto con el anuncio de la clave de acceso, Google lanzó una asociación con Internews para brindar apoyo de seguridad a periodistas y defensores de derechos humanos en todo el mundo a través de la red global de capacitadores de seguridad de Internews. El programa abarcará 10 países, incluidos Brasil, México y Polonia.
Las claves de acceso se infiltran en la conciencia pública
A pesar de las medidas adoptadas por los principales proveedores de servicios, incluidos Amazonas, Manzana, El negocio de consumo de GoogleY microsoft para implementar la tecnología, conocimiento y uso de las claves de acceso Los precios siguen bajos. Eso es algo que Chatterjee de Google espera que cambie.
“Uno de los beneficios es que las claves de acceso son una herramienta que toda la industria está promocionando”, explica. “Ya sea Google, Apple o Microsoft, o sitios web individuales que admitan claves de acceso, será más común para las personas. Se necesita tiempo para hacer esta transición. »
Dijo que en menos de un año desde que las claves de acceso estuvieron disponibles para los usuarios de Google, se han utilizado para autenticar personas más de mil millones de veces en más de 400 millones de cuentas de Google.
Cabe señalar que la tecnología no es infalible y puede ser vulnerable a ataques de eliminación de contraseñascomo explicó eSentire la semana pasada. En este caso, este tipo de estratagema resulta inútil para cualquiera que utilice sus claves de acceso de Google en una configuración de autenticación normal, señala Chatterjee.
«El principal obstáculo para este vector de ataque fue eliminar la opción de clave de acceso de los sitios web, lo que obligó a los usuarios a utilizar un método de autenticación degradado», explica. “Si está en la APLICACIÓN, no puede iniciar sesión con un método de autenticación degradado, por lo que se requerirá una clave de seguridad o una clave de acceso para iniciar sesión en un dispositivo nuevo. »
En general, también es una buena idea reforzar los métodos de recuperación de cuentas. La implementación particular de claves de acceso a aplicaciones, por ejemplo, permite a los usuarios de cuentas de Google agregar opciones de recuperación durante el registro en caso de que se pierda el dispositivo en el que está almacenada la clave de acceso. Las opciones incluyen usar un número de teléfono, dirección de correo electrónico u otra clave de acceso o clave de seguridad para recuperar la cuenta; Las dos últimas son definitivamente las opciones más seguras.
