El nuevo “Passwordless by default” de Microsoft es excelente, pero tiene un costo

baeba · 2025-05-07T10:16:40+09:00

Microsoft introdujo un esquema que aplica por defecto el inicio de sesión sin contraseña (passkey) a las cuentas nuevas, pero en la práctica existe la limitación de que es obligatorio instalar la app Microsoft Authenticator. Las passkeys son un método de autenticación de nueva generación resistente al phishing y a las filtraciones, y se basan en el estándar WebAuthn (FIDO2), funcionando con pares de claves pública/privada. Esta medida refuerza la seguridad, pero una estructura dependiente de una app específica puede perjudicar en parte la experiencia de usuario y los beneficios de seguridad. 1. La política de Microsoft de “inicio de sesión sin contraseña por defecto” Desde 2025, las nuevas cuentas de Microsoft adoptarán la passkey como método de inicio de sesión predeterminado. Los usuarios existentes también serán incentivados a registrar una passkey al iniciar sesión. Objetivo: Reducir las amenazas de seguridad y la carga para el usuario asociadas con crear y administrar contraseñas. Intentar resolver los problemas de password spraying y filtraciones. 2. Resumen técnico y forma de implementación ¿Qué es una passkey? Autentica mediante un par de claves pública/privada generado con base en WebAuthn (FIDO2). La clave privada se guarda en el dispositivo del usuario (teléfono, PC, Yubikey, etc.) y no se filtra al exterior. Es intrínsecamente resistente al phishing, la reutilización de contraseñas y las filtraciones. Cómo funciona: El sitio envía un “challenge” basado en un valor aleatorio → el autenticador del dispositivo (Authenticator) firma → el servidor verifica con la clave pública. La clave queda vinculada a esa URL, por lo que no puede reutilizarse en sitios de phishing. 3. Restricciones y limitaciones Problema: aunque se configure una passkey, sin la app Microsoft Authenticator no es posible eliminar por completo la contraseña. Authy, Google Authenticator y otros no son compatibles. En la práctica, esto implica exigir al usuario instalar la app, lo que entra en conflicto con la afirmación de que es “passwordless por defecto”. Implicación de seguridad: Si la contraseña sigue existiendo, se pierde parte de las ventajas de seguridad de la passkey. WebAuthn sigue evolucionando actualmente y todavía presenta carencias en términos de usabilidad.

(arstechnica.com)

1 puntos por baeba 2025-05-07 | Aún no hay comentarios. | Compartir por WhatsApp

Microsoft introdujo un esquema que aplica por defecto el inicio de sesión sin contraseña (passkey) a las cuentas nuevas, pero en la práctica existe la limitación de que es obligatorio instalar la app Microsoft Authenticator.
Las passkeys son un método de autenticación de nueva generación resistente al phishing y a las filtraciones, y se basan en el estándar WebAuthn (FIDO2), funcionando con pares de claves pública/privada.
Esta medida refuerza la seguridad, pero una estructura dependiente de una app específica puede perjudicar en parte la experiencia de usuario y los beneficios de seguridad.

1. La política de Microsoft de “inicio de sesión sin contraseña por defecto”

Desde 2025, las nuevas cuentas de Microsoft adoptarán la passkey como método de inicio de sesión predeterminado.
Los usuarios existentes también serán incentivados a registrar una passkey al iniciar sesión.
Objetivo:
- Reducir las amenazas de seguridad y la carga para el usuario asociadas con crear y administrar contraseñas.
- Intentar resolver los problemas de password spraying y filtraciones.

2. Resumen técnico y forma de implementación

¿Qué es una passkey?
- Autentica mediante un par de claves pública/privada generado con base en WebAuthn (FIDO2).
- La clave privada se guarda en el dispositivo del usuario (teléfono, PC, Yubikey, etc.) y no se filtra al exterior.
- Es intrínsecamente resistente al phishing, la reutilización de contraseñas y las filtraciones.
Cómo funciona:
- El sitio envía un “challenge” basado en un valor aleatorio → el autenticador del dispositivo (Authenticator) firma → el servidor verifica con la clave pública.
- La clave queda vinculada a esa URL, por lo que no puede reutilizarse en sitios de phishing.

3. Restricciones y limitaciones

Problema: aunque se configure una passkey, sin la app Microsoft Authenticator no es posible eliminar por completo la contraseña.
- Authy, Google Authenticator y otros no son compatibles.
- En la práctica, esto implica exigir al usuario instalar la app, lo que entra en conflicto con la afirmación de que es “passwordless por defecto”.
Implicación de seguridad:
- Si la contraseña sigue existiendo, se pierde parte de las ventajas de seguridad de la passkey.
WebAuthn sigue evolucionando actualmente y todavía presenta carencias en términos de usabilidad.

El nuevo “Passwordless by default” de Microsoft es excelente, pero tiene un costo

1. La política de Microsoft de “inicio de sesión sin contraseña por defecto”

2. Resumen técnico y forma de implementación

3. Restricciones y limitaciones

Lecturas relacionadas

Aún no hay comentarios.