imágenes falsas
Google está facilitando que las personas bloqueen sus cuentas con una sólida autenticación multifactor al agregar la opción de almacenar claves criptográficas seguras en forma de claves de acceso en lugar de dispositivos token físicos.
El programa de protección avanzada de Google, introducido En 2017, se requiere una forma más sólida de autenticación multifactor (MFA). Si bien muchas formas de MFA se basan en códigos de acceso de un solo uso enviados por SMS o correos electrónicos o generados por aplicaciones de autenticación, las cuentas inscritas en Protección Avanzada requieren MFA basada en claves criptográficas almacenadas en un dispositivo físico seguro. A diferencia de los códigos de acceso de un solo uso, las claves de seguridad almacenadas en dispositivos físicos son inmunes al phishing de credenciales y no se pueden copiar ni detectar.
Una APP democratizadora
APP, abreviatura de Programa de Protección Avanzada, requiere que el usuario agregue una clave junto con una contraseña cada vez que inicia sesión en una cuenta en un dispositivo nuevo. La protección previene los tipos de apropiación de cuentas que permitieron a los piratas informáticos respaldados por el Kremlin acceder a las cuentas de Gmail de funcionarios demócratas en 2016 y filtrar correos electrónicos robados para interferir en las elecciones presidenciales de ese año.
Hasta ahora, Google exigía que las personas tuvieran dos llaves de seguridad físicas para registrarse en la APP. Ahora, la empresa permite a las personas utilizar dos claves de acceso o una clave de acceso y un token físico. Quienes quieran más seguridad pueden registrarse utilizando tantas claves como quieran.
«Estamos ampliando Aperture para que las personas tengan más opciones a la hora de inscribirse en este programa», dijo a Ars el líder del proyecto APP, Shuo Chatterjee. Dijo que la medida fue en respuesta a los comentarios que Google recibió de algunos usuarios que no podían pagar las llaves físicas o vivían o trabajaban en áreas donde no estaban disponibles.
Como siempre, los usuarios deben tener ambas claves para registrarse para evitar que se les bloquee el acceso a las cuentas si una de ellas se pierde o se daña. Si bien los bloqueos son siempre un problema, son aún peores para los usuarios de la aplicación porque el proceso de recuperación es más difícil y lleva mucho más tiempo que para las cuentas que no están inscritas en el programa.
PassKeys es la creación de FIDO Alliance, un grupo intersectorial de cientos de empresas. Se almacenan localmente en el dispositivo y también en un token de hardware del mismo tipo que almacena las claves MFA. Las claves de acceso no se pueden extraer del dispositivo y requieren un PIN o un escaneo de una huella digital o un rostro. Proporcionan dos factores de autenticación: algo que el usuario conoce (la contraseña subyacente utilizada cuando se generó la clave por primera vez) y algo que el usuario tiene (en forma de un dispositivo que almacena la clave).
Por supuesto, los requisitos relajados sólo pueden durar mientras los consumidores sigan exigiendo tener dos dispositivos. Pero al ampliar los tipos de dispositivos necesarios, la aplicación será más accesible ya que muchas personas ya tienen un teléfono y una computadora, dijo Chatterjee.
«Si estás en un lugar donde no puedes conseguir las llaves de seguridad, es más conveniente», explica. «Este es un paso hacia la democratización del acceso que existe [users] Alcanza este nivel más alto de seguridad que ofrece Google.
Google está renovando su recomendación de que los usuarios proporcionen un número de teléfono y una dirección de correo electrónico como respaldo, a pesar del mayor escrutinio del proceso de recuperación de las cuentas de APP.
«Lo más resistente es tener varias cosas en el archivo, de modo que si pierde esa clave de seguridad o si la clave se estropea, tiene una manera de volver a acceder a su cuenta», dijo Chatterjee. No revela los detalles de la «salsa secreta» de cómo funciona el proceso, pero dice que implica toneladas de señales que observamos para descubrir qué está pasando realmente.
«Incluso si tienes un teléfono de recuperación, un teléfono de recuperación por sí solo no obtiene acceso a tu cuenta», dijo. “Entonces, si cambias la SIM, no significa que alguien haya obtenido acceso a tu cuenta. Es una combinación de varios factores. Su resumen le ayudará en su camino hacia la recuperación. «
Los usuarios de Google pueden registrarse en la APP visitando Este enlace.
«Orgulloso pionero de Twitter. Analista. Comunicador. Geek web profesional. Especialista en música de por vida».