Las contraseñas van a tener un costo.

 (fy.blackhats.net.au)
1 puntos por GN⁺ 2023-07-14 | 1 comentarios | Compartir por WhatsApp
  • Mucho interés en las "passkeys" y la posibilidad de un cambio en los métodos de autenticación
  • La obsesión con las passkeys puede volver innecesario el uso de llaves de seguridad
  • El problema está en la diferencia entre claves residentes y no residentes
  • Las claves residentes almacenan la clave privada en la propia llave de seguridad, mientras que las no residentes dependen de un ID de credencial para el descifrado
  • Las claves residentes consumen espacio en la llave de seguridad y pueden llenarla rápidamente
  • Las claves no residentes siguen siendo seguras y dependen de las mismas funciones de seguridad que TLS
  • La autenticación de usuarios es posible incluso sin claves residentes
  • El problema surge del bombo excesivo alrededor de las passkeys y de la confusión sobre su definición
  • Al principio, Apple presentó las passkeys como una forma de usar Touch ID/Face ID como autenticador web
  • La definición de passkey cambió y ahora significa una clave residente
  • Esta definición se ha extendido y está causando problemas a los usuarios de llaves de seguridad
  • Las llaves de seguridad tienen almacenamiento limitado y una gestión deficiente de credenciales, lo que dificulta el uso de claves residentes
  • Exigir claves residentes en todos los registros empeora la experiencia de usuario
  • Esto va en contra del objetivo de permitir que los usuarios elijan el autenticador que quieran
  • En el mundo de las passkeys, solo algunos tipos de autenticadores funcionan correctamente
  • Como propuesta para resolver el problema, se plantea excluir las llaves de seguridad del requisito de passkeys y hacer obligatorio el requisito de almacenamiento para dispositivos autenticados
  • En general, el bombo alrededor de las claves residentes como passkeys está perjudicando la capacidad de los usuarios para elegir el autenticador que prefieren.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2023-07-14
Opiniones de Hacker News
  • Las llaves de seguridad físicas podrían no ser la mejor opción como passkeys porque no tienen la función de autenticación de dos factores del teléfono o la computadora de escritorio.
  • Las passkeys se definen como pares de claves sincronizados mediante iCloud Keychain, y esa definición se ha ampliado a otros métodos de sincronización en la nube.
  • Las llaves de seguridad no son importantes para la mayoría de los usuarios, y las passkeys son una mejor opción para reemplazar las contraseñas.
  • El diseño del protocolo para passkeys y claves residentes ha sido criticado por posibles problemas de seguridad y compatibilidad.
  • La situación actual de las claves residentes y los elementos seguros es confusa y necesita mejorar.
  • Para las personas sin conocimientos de seguridad o criptografía, este artículo puede ser difícil de entender.
  • Para actualizarse al nuevo estándar de autenticación, podría ser necesario invertir dinero en nuevas llaves de hardware.
  • Las llaves de hardware tienen capacidad de almacenamiento limitada, y agregar procesadores seguros para almacenamiento masivo podría aumentar el costo.
  • Este artículo ofrece una explicación clara sobre las passkeys y sus implicaciones.
  • Algunos usuarios no quieren depender de Google, Apple o Microsoft para la sincronización de passkeys.
  • Se desea una solución centralizada para los tokens basados en hardware y la sincronización de claves residentes.
  • Si un dispositivo se pierde o es comprometido, la autenticación basada en poseer algo puede volverse problemática.
  • Algunos usuarios creen que las passkeys les dan demasiado control a los gobiernos y a las corporaciones, perjudicando la privacidad y la seguridad.