Google, Microsoft i Apple han anunciat que volen eliminar les contrasenyes, que seran reemplaçades pel sistema FIDO. Expliquem què és i com funciona.
Google, Microsoft i Apple han escollit el Dia Mundial de la Contrasenya (5 de maig de 2022) per a anunciar el seu compromís per posar fi a les contrasenyes a partir de l'any que ve. Les contrasenyes seran reemplaçades pel nou sistema de seguretat FIDO, basat en l'autenticació a través del dispositiu mòbil.
Font: Google
Recordes aquell document on tens apuntades totes les teves contrasenyes? Aviat te'n podràs desfer. Potser ets de les persones que fan servir la mateixa contrasenya per a tot... una espècie de mantra religiós que ocupa un lloc sagrat en la teva memòria juntament amb el teu nom, la teva data de naixement i el teu DNI.
Sigui quin sigui el teu cas, aviat podràs alliberar aquest racó del teu cervell i ocupar-lo amb quelcom més útil.
Google, Microsoft i Apple acaben d'anunciar el seu compromís per a posar fi a les contrasenyes com a mètode d'autenticació i inici de sessió. Aquesta iniciativa pretén que la web sigui un lloc més segur per als usuaris i acabar amb fenòmens de suplantació de la identitat en línia com el phishing.
Segons ha explicat Google en un comunicat oficial, les contrasenyes són una de les principals amenaces per a la seguretat a Internet: "són fàcils de robar, són difícils de recordar i la seva gestió és tediosa."
Ja fa força temps que les companyies tecnològiques estan intentant lluitar contra el phishing i altres formes de sostracció de la identitat digital basades en el robatori de contrasenyes. Els registres en línia cada vegada demanen contrasenyes més complexes que, com que són difícils de recordar, acabem fent-les servir en múltiples dispositius o websites. Si ets de les persones que fa servir la mateixa contrasenya per a tot, segurament hauràs rebut un avís de Google que t'informa que la teva contrasenya està en perill perquè l'estàs usant en diversos llocs i hauries de canviar-la.
Segons Google, l'any 2020, les cerques de <<com de forta és la meva contraseña>> van augmentar un 300%. D'altra banda, l'empresa apunta que "el 66% dels estatunidencs admet utilitzar la mateixa contrasenya en diversos llocs, cosa que provoca que tots aquests comptes siguin vulnerables si algun cau."
Google ha intentat posar solució a aquesta problemàtica a través del 2 Step Verification (2SV) —verificació en dos passos— que concedeix a l'usuari un segon mètode de verificació en cas que la seva contrasenya hagi estat suplantada per una tercera persona.
Ara aquesta proposta agafa força amb Apple i Microsoft sumant-se a l'aposta de Google per l'autenticació a través del mòbil com a substitució definitiva de les contrasenyes: el FIDO.
Aquest projecte ens porta un pas més enllà en els esforços de les companyies tecnològiques per a reforçar la seguretat de dades. L'any passat, Google ja va causar un gran enrenou quan va anunciar la fi de les cookies de tercers a Google Chrome que, entre altres coses, implica l'obsolescència de les estratègies de recopilació de dades de moltes empreses.
- Com sobreviure en un món sense cookies? Descarrega't la nostra guia completa amb tot el que necessites saber sobre la fi de les cookies de tercers i un full de ruta per a sobreviure sense elles.
Fast Identity Online (FIDO): Què és i com funciona?
El Fast Identity Online (FIDO) és un nou sistema d'inici de sessió sense contrasenyes creat per l'Aliança FIDO i el World Wide Web Consortium (W3C).
Amb l'acord entre Google, Apple i Microsoft per adoptar-lo com a estàndard, el nou mètode d'autenticació funcionarà tant en Android com a iOS, en els sistemes operatius Windows i macOS i en els navegadors Chrome, Safari i Edge.
Per a iniciar sessió en qualsevol lloc web o app només hauràs de desbloquejar el mòbil
El FIDO es basa en les credencials multidispositiu. Aviat, l'inici de sessió en qualsevol dispositiu, app o lloc web es farà a través del telèfon mòbil. És a dir, la clau d'accés de desbloqueig del dispositiu mòbil —l'empremta digital o el reconeixement facial— serà compatible amb totes les pàgines web i dispositius.
Per tant, per a iniciar sessió en qualsevol pàgina web o app només hauràs de desbloquejar el teu telèfon mòbil, sense contrasenyes.
Segons el comunicat oficial de Microsoft, escrit per Vasu Jakkal, vicepresident de seguretat, compliment, identitat i privacitat de Microsoft, "les credencials FIDO multidispositiu, conegudes comunament com passkeys, ofereixen als usuaris una forma nativa d'iniciar sessió de manera segura i ràpida en qualsevol dels seus dispositius sense necessitat de contrasenyes. És pràcticament impossible de suplantar i està disponible en tots els dispositius. És una clau d'accés que et permet iniciar sessió autenticant-te amb la cara, l'empremta digital o el PIN del teu telèfon mòbil."
La fortalesa del sistema FIDO és que, com que el procés d'autenticació requereix d'un dispositiu físic, impedeix fraus com el phishing que redirigeixen als usuaris a un lloc web per a obtenir la seva contrasenya.
A més de la seguretat, tant Google, com Apple, com Microsoft coincideixen que la fi de les contrasenyes també millora l'experiència d'usuari, evitant que els usuaris hagin de recordar diverses contrasenyes cada vegada més complexes i facilitant l'inici de sessió.
Aquest nou funcionament basat en la criptografia pública exigeix la plena compatibilitat entre dispositius i plataformes web, situant la integració cloud en el punt de mira i obligant a Google, a Microsoft i a Apple a fer els seus respectius sistemes més compatibles. La clau d'accés de desbloqueig del telèfon mòbil se sincronitzarà amb els altres dispositius mitjançant una còpia de seguretat en el núvol: "Per exemple, els usuaris podran iniciar sessió a Google Chrome que s'executa a Microsoft Windows, utilitzant una clau d'accés en un dispositiu Apple" assegura Vasu Jakkal.
¿Què passa si perdem el mòbil?
La pregunta del milió. Tant Google com Apple com Microsoft han decidit apostar pel FIDO perquè estan convençuts que és més segur que les contrasenyes. No obstant això, el nou estàndard està completament basat en els telèfons intel·ligents i, per tant, planteja un dubte: què passa si perdem el mòbil?
Google ha aclarit que això no suposarà un problema, ja que la clau d'accés FIDO estarà sincronitzada amb el nostre compte de Google. Per tant, si perdem el mòbil, les nostres credencials se sincronitzaran automàticament en el nou mòbil a través del compte de Google.
Perdre el mòbil no suposarà un problema. No obstant això, el sistema FIDO sí que suposarà un problema per al 16,28% de la població mundial que no disposa d'un telèfon mòbil intel·ligent, segons dades de 2022.
La fi de les contrasenyes: Quan es posarà en marxa?
Google, Apple i Microsoft han triat el 5 de maig de 2022, Dia Mundial de la Contrasenya, per a fer públic el seu acord per a acabar amb les contrasenyes.
No obstant això, el sistema de 'passkeys' o claus d'accés ja està en marxa. Compta amb suport en la segona beta de la versió 15.5 d'iOS i en la versió 22.15. 14 de Google Play (encara en modelatge).
Tot indica que les claus d'accés FIDO i la fi de les contrasenyes formaran part de totes les plataformes de Google, Apple i Microsoft de forma generalitzada l'any 2023, després d'un període de transició en el qual les contrasenyes aniran sent reemplaçades progressivament.
Google ja ha anunciat que donarà suport als desenvolupadors de pàgines web i apps perquè activin el nou sistema en els seus productes i serveis.
Conclusió
Acabem amb una reflexió de Kurt Knight, director sènior de màrqueting de producte a Apple: "Treballar amb la indústria per a establir nous mètodes d'inici de sessió més segurs que ofereixin una millor protecció i eliminin les vulnerabilitats de les contrasenyes és fonamental per al nostre compromís de crear productes que ofereixin la màxima seguretat i una experiència d'usuari transparent. Tot això amb l'objectiu de mantenir fora de perill la informació personal dels usuaris."