La tecnología para eliminar contraseñas conocida como “claves de acceso” ha proliferado en los últimos dos años, desarrollada por la asociación de la industria tecnológica conocida como FIDO Alliance como una alternativa de autenticación más fácil y segura. Y aunque es difícil reemplazar cualquier tecnología tan arraigada como las contraseñas, las nuevas funciones y recursos que se lanzarán esta semana están llevando las claves de acceso a un punto de inflexión.
En la Conferencia de Autenticación de la Alianza FIDO en Carlsbad, California, el lunes, los investigadores anunciaron dos proyectos que harán que las claves de acceso sean más fáciles de ofrecer para las organizaciones y más fáciles de usar para todos. Una es una nueva especificación técnica llamada Credential Exchange Protocol (CXP) que hará que las claves de acceso sean portátiles entre ecosistemas digitales, una característica que los usuarios han exigido cada vez más. El otro es un sitio web, llamado Central de claves de accesodonde los desarrolladores y administradores de sistemas pueden encontrar recursos como métricas y guías de implementación que facilitan la adición de soporte para claves de acceso en plataformas digitales existentes.
“Para mí, ambos anuncios son parte de una historia más amplia de la industria trabajando junta para detener nuestra dependencia de las contraseñas”, dijo a WIRED Andrew Shikiar, director ejecutivo de FIDO Alliance, antes de los anuncios del lunes. “Y cuando se trata de CXP, tenemos todas estas empresas que son feroces competidores dispuestos a colaborar en el intercambio de credenciales”.
CXP comprende un conjunto de borradores de especificaciones desarrollados por el “Grupo de interés especial de proveedores de credenciales” de FIDO Alliance. El desarrollo de estándares técnicos puede ser a menudo un proceso burocrático complicado, pero la creación de CXP parece haber sido positiva y colaborativa. En CXP trabajaron investigadores de los administradores de contraseñas 1Password, Bitwarden, Dashlane, NordPass y Enpass, al igual que los de los proveedores de identidad Okta, Apple, Google, Microsoft, Samsung y SK Telecom.
Las especificaciones son importantes por varias razones. CXP se creó para claves de acceso y está destinado a abordar una crítica de larga data de que las claves de acceso podrían contribuir al bloqueo del usuario al hacer que sea prohibitivamente difícil para las personas moverse entre proveedores de sistemas operativos y tipos de dispositivos. Sin embargo, en muchos sentidos este problema ya existe con las contraseñas. Las funciones de exportación que le permiten mover todas sus contraseñas de un administrador a otro a menudo están peligrosamente expuestas y esencialmente simplemente descargan una lista de todas sus contraseñas en un archivo de texto sin formato.
Se ha vuelto mucho más fácil sincronizar claves de acceso entre sus dispositivos a través de un único administrador de contraseñas, pero CXP tiene como objetivo estandarizar el proceso técnico para transferirlas de forma segura entre plataformas para que los usuarios sean libres y seguros de recorrer el panorama digital. Es importante destacar que, si bien CXP se diseñó teniendo en cuenta las claves de acceso, en realidad es una especificación que se puede adaptar para intercambiar de forma segura otros secretos, incluidas contraseñas u otros tipos de datos.
