La tecnología para eliminar contraseñas conocida como “claves de acceso” se ha generalizado en los últimos dos años, introducida por la organización de la industria tecnológica conocida como FIDO Alliance como un método de autenticación simple y seguro. Y si bien es difícil cambiar cualquier tecnología tan arraigada como las contraseñas, las nuevas funciones y herramientas introducidas esta semana están llevando las contraseñas al siguiente nivel de necesidad.
En la conferencia Authenticate de la Alianza FIDO en Carlsbad, California, el lunes, los investigadores anunciaron dos proyectos que facilitarán a las organizaciones la emisión de claves de acceso y su uso para todos. Una es una nueva especificación técnica llamada Credential Exchange Protocol (CXP) que hará que las claves de acceso sean portátiles entre entornos digitales, una característica que los usuarios exigen cada vez más. Uno es un sitio web, llamado Central de claves de accesodonde los desarrolladores y administradores de sistemas pueden encontrar herramientas como métricas y guías de implementación que facilitan la adición de soporte para claves de acceso a las plataformas digitales existentes.
“Para mí, ambos anuncios son parte de una historia más amplia de la industria trabajando junta para poner fin a nuestra dependencia de las contraseñas”, dijo a WIRED Andrew Shikiar, director ejecutivo de FIDO Alliance, antes de los anuncios del lunes. “Y cuando se trata de CXP, tenemos todas estas empresas que son feroces competidores dispuestos a asociarse con el intercambio de cartas”.
CXP consta de un conjunto de especificaciones formales desarrolladas por el “Grupo de interés especial de proveedores FIDO”. El desarrollo de estándares técnicos a menudo puede ser un proceso administrativo difícil, pero la creación de CXP parece ser buena y colaborativa. Investigadores de los administradores de contraseñas 1Password, Bitwarden, Dashlane, NordPass y Enpass han trabajado en CXP, al igual que los proveedores de datos Okta, así como Apple, Google, Microsoft, Samsung y SK Telecom.
Los comentarios son importantes por varias razones. CXP se creó para claves de acceso y tiene como objetivo abordar la crítica de larga data de que las claves de acceso pueden contribuir al bloqueo del usuario al dificultarle el movimiento entre proveedores de sistemas y tipos de equipos. Sin embargo, en muchos sentidos este problema ya existe con las contraseñas. Las funciones de exportación que le permiten mover sus contraseñas de un administrador a otro a menudo quedan peligrosamente expuestas y, esencialmente, volcan su lista de contraseñas en un archivo simple.
Ahora es muy fácil sincronizar contraseñas entre sus dispositivos con un único administrador de contraseñas, pero CXP tiene como objetivo garantizar el rendimiento técnico de transferirlas de forma segura entre plataformas para que los usuarios sean libres (y seguros) de recorrer el entorno digital. Es importante destacar que, si bien CXP se diseñó teniendo en cuenta las claves de acceso, es esencialmente una expresión que se puede adaptar para intercambiar de forma segura otros secretos, incluidas contraseñas u otros tipos de datos.
