Un año después de que Microsoft anunció el soporte de PassKeys para las cuentas de los consumidores, el gigante de la tecnología ha anunciado un gran cambio que empuja a las personas que se registran para que las nuevas cuentas usen el método de autenticación resistente a phishing por defecto de forma predeterminada.
«Las nuevas cuentas de Microsoft ahora serán ‘sin contraseña de forma predeterminada'», dijeron Joy Chik y Vasu Jakkal de Microsoft. «Los nuevos usuarios tendrán varias opciones sin contraseña para iniciar sesión en su cuenta y nunca necesitarán inscribir una contraseña. Los usuarios existentes pueden visitar la configuración de su cuenta para eliminar su contraseña».
El fabricante de Windows dijo que también ha simplificado la experiencia del usuario de inicio de sesión y registrado al priorizar los métodos sin contraseña. Además, el proceso de inicio de sesión ahora detecta automáticamente el mejor método disponible en la cuenta de un usuario y establece eso como el valor predeterminado.
Por ejemplo, si una cuenta tiene la opción de iniciar sesión a través de una contraseña y un «código de tiempo», se le pedirá al usuario que inicie sesión a través de un código de tiempo en lugar de la contraseña. Una vez firmado, se les indicará que establezcan un PassKey para una protección óptima.
El último movimiento de Microsoft, junto con sus pares Apple, Google, Amazon y otros en los últimos años, representa una marcha constante hacia un futuro sin contraseña. Con los ataques cibernéticos basados en contraseña que continúan siendo un vector de acceso inicial lucrativo para los malos actores, la adopción de Passkeys anuncia un paso importante para la seguridad de la cuenta.
En septiembre de 2023, Microsoft implementó soporte para PassKeys en Windows 11, aproximadamente al mismo tiempo cuando Google hizo de PassKeys su método de inicio de sesión predeterminado para todos los usuarios a nivel mundial. Luego, el año pasado, actualizó Windows Hello para admitir la tecnología.
PassKeys ofrece una forma más segura de iniciar sesión en sitios web y aplicaciones eliminando la necesidad de contraseñas. Respaldado por la Alianza Fast Identity Online (FIDO), PassKeys depende de técnicas de criptografía clave/privada para autenticar a los usuarios.
Por lo tanto, cuando un usuario se registra con un servicio en línea, su dispositivo cliente (es decir, teléfono o PC) genera un nuevo par de claves. La clave privada se almacena de forma segura en el dispositivo del usuario, mientras que la clave pública está registrada con el servicio.
Durante el inicio de sesión, el dispositivo cliente utiliza la clave privada para firmar un desafío después de que el propietario del dispositivo lo autentica utilizando su información biométrica (por ejemplo, reconocimiento facial o huella digital).
En octubre de 2024, la Alianza FIDO dijo que está trabajando con las partes interesadas para hacer que las veras pasas y otras credenciales sean más fáciles de exportar en diferentes proveedores y mejorar la interoperabilidad del proveedor de credenciales. Más de 15 mil millones de cuentas de usuario pueden iniciar sesión usando PassKeys en lugar de contraseñas a partir de diciembre del año pasado.
La Asociación de la Industria Abierta, el mes pasado, también lanzó un Grupo de Trabajo de Payments (PWG) para definir y generar soluciones FIDO para los casos de uso de pagos.
Se espera que el PWG «identifique y evalúe las soluciones existentes y emergentes para abordar los requisitos de autenticación de pago» y establecer «pautas para el uso de verses pasas y/o soluciones FIDO propuestas junto con las tecnologías de pago existentes».
