Cuatro ideas imprescindibles de Authenticate 2024 desde la perspectiva de un experto en claves de acceso de Dashlane
Las claves de acceso son una forma más segura y cómoda de acceder a sitios web y aplicaciones que las contraseñas, y son resistentes al phishing por su diseño. Fuimos el primer administrador de contraseñas en admitir claves de acceso en 2022, y seguimos entusiasmados por garantizar que nuestros clientes puedan aprovechar los más recientes y mejores desarrollos en seguridad de credenciales.
Por eso Dashlane asistió a la Conferencia Authenticate 2024, dedicada al tema de la autenticación de usuarios y centrada en las claves de acceso, los días 14 y 16 de octubre en Carlsbad, California.
Además de copatrocinar la Fiesta sin contraseñas de la conferencia junto con Google, Dashlane envió representantes de los equipos de producto, diseño, ingeniería, marketing y ventas. Como Director de producto principal, tuve la oportunidad de hablar durante una sesión, al igual que mi colega Rew Islam, Director de innovación de productos. Además, Nuno Silva, Diseñador de producto principal, participó en un panel de discusión del Pleno de los miembros de la Alianza FIDO celebrado después de la conferencia.
Se habló de muchos temas en solo tres días, por lo que he recogido las conclusiones principales de Authenticate 2024 de mi parte y de la de mis colegas sobre el presente y el futuro de la autenticación de usuarios.
N.º 1: la adopción de claves de acceso crece pero aún no lo bastante
Hemos progresado en nuestra misión colectiva de claves de acceso, pero aún queda mucho camino por recorrer en términos del aumento de la adopción, la reducción del riesgo de phishing y la transformación del panorama de ingresos.
- En junio de 2022 se anunciaron las claves de acceso sincronizadas. Las claves de acceso sincronizadas se pueden usar para acceder a servicios desde cualquier dispositivo, en contraste con las claves de acceso vinculadas a dispositivos que otorgan acceso desde un dispositivo físico concreto, como si fueran una llave de hardware. (Dashlane guarda y rellena automáticamente claves de acceso sincronizadas que se pueden usar para ingresar desde cualquier dispositivo de escritorio o móvil).
- La adopción de claves de acceso ha crecido. Las charlas de apertura informaron de que 1000 millones de personas ya se inscribieron y usaron claves de acceso en todo el mundo. Varios participantes de la conferencia hablaron sobre las ventajas observadas del uso de claves de acceso, como la reducción del tiempo de ingreso, menos bloqueos de cuentas y menores costes de operación (debido a que se elimina la necesidad de servicios OTP de SMS, por ejemplo, que también crean riesgo de phishing).
- A pesar de estos alentadores números, el consenso abrumador es que aún es temprano en el viaje de adopción de claves de acceso. Esto no solo se expresó en varias sesiones de conferencias, sino también en conversaciones casuales con los participantes de las conferencias. Claro que hay mil millones de personas que usan al menos una clave de acceso, pero la mayoría de sus ingresos probablemente sigan dependiendo de una contraseña.
Dashlane fue el primer administrador de contraseñas en admitir claves de acceso en la web, Android e iOS. Miremos atrás en nuestro viaje.
N.º 2: los usuarios son más propensos a adoptar claves de acceso cuando se les advierte
El desarrollo de estándares de autenticación seguros y la implementación de claves de acceso en el servicio no es suficiente. Es necesario cambiar el comportamiento de los usuarios a escala para de verdad eliminar el riesgo de phishing y cosechar las prometidas ventajas de las claves de acceso. Las advertencias son una posible vía para lograr este cambio de comportamiento.
- La adopción de claves de acceso podría mejorar con desarrollos que eliminen aún más la carga de los usuarios individuales para cambiar sus hábitos de seguridad de credenciales, como la generación automática de claves de acceso en los sitios web y las aplicaciones compatibles (y su guardado automático en la caja fuerte de Dashlane, que se producirá pronto).
- ¡En Authenticate había advertencias por doquier! El concepto de advertir con gentileza a los usuarios para mejorar sus hábitos de ingreso se mencionó en charlas de representantes de Google, Microsoft, Amazon y muchos otros.
- Las partes que de ello dependen (los sitios web y las aplicaciones que admiten ingreso con claves de acceso) mencionaron una adopción mejorada de claves de acceso cuando pusieron en práctica flujos de registro de claves de acceso proactivos en contexto. Un ejemplo es ocultar la opción de crear una contraseña y mantener «crear una clave de acceso» como la opción predeterminada al registrar la cuenta. Se destacaron las advertencias como una forma de pedir a los usuarios que cambiaran a ingresos más cómodos (y seguros) en contexto.
- Los oradores de la conferencia informaron de que nunca se puede hablar de «demasiadas advertencias». Sus usuarios estaban ansiosos por inscribirse y comenzar a usar un método de ingreso más cómodo y seguro. Algunas grandes oportunidades de advertencias de claves de acceso descubiertas en investigaciones sobre usuarios son: durante la recuperación de cuenta o el restablecimiento de contraseña, al registrar una nueva cuenta e incluso al ingresar con una cuenta existente usando una contraseña.
Dashlane ayuda a las organizaciones a abrirse camino hacia puntuaciones del análisis de contraseñas más altas. Sepa cómo.
N.º 3: el sector está dispuesto a adoptar el Protocolo de intercambio de credenciales (CXP, por sus siglas en inglés)
El protocolo de intercambio de credenciales garantiza la transferencia segura de datos y ofrece la flexibilidad de adaptarse a diversos casos de uso más allá del movimiento en masa de artículos de la caja fuerte.
- Las especificaciones siguen siendo borradores de trabajo, pero esperamos que versiones más maduras estén disponibles el primer trimestre de 2025.
- Los estándares de intercambio de credenciales han sido desarrollados por varias empresas dentro de la Alianza FIDO, entre ellas, Dashlane. Este nivel de colaboración entre empresas es un signo claro de cómo el sector en pleno da prioridad a la elección del usuario y la portabilidad de los datos.
- Hemos hecho grandes progresos a pesar de los retos que suele suponer el desarrollo de estándares.
Trabajamos dentro de la Alianza FIDO para crear CXP y otro estándar público, el Formato de intercambio de credenciales. Sepa más sobre ambos.
N.º 4: la recuperación de cuenta sigue siendo un obstáculo para organizaciones y posibles partes dependientes
La recuperación de cuenta sigue siendo un reto para los actores principales de las claves de acceso. Esto no solo es cierto en referencia a sitios web y aplicaciones que buscan sustituir las contraseñas por las claves de acceso para sus usuarios, sino también para organizaciones que intentan ayudar a sus empleados a eliminar las contraseñas con despliegues internos de claves de acceso.
- FIDO está bien situada para explorar soluciones de recuperación resistentes al phishing en el futuro.
- Un flujo de recuperación de cuenta seguro y fácil de usar es un requisito previo para eliminar para siempre las contraseñas. Las claves de acceso son resistentes al phishing por su diseño, por lo que cambiar de contraseñas a claves de acceso crea menos brechas de acceso para los ciberatacantes. El flujo de recuperación de cuenta se convierte en la «fruta más accesible» para los ciberatacantes que intentan obtener acceso a una cuenta.
- Algunas historias sobre claves de acceso compartidas en la conferencia son solo éxitos parciales. Las claves de acceso están destinadas a sustituir a las contraseñas, pero algunas organizaciones que lanzaron claves de acceso siguen ofreciendo contraseñas para cada cuenta y no las eliminarán hasta que estén disponibles opciones de recuperación aceptables.
Dashlane tiene una solución de recuperación de cuenta segura y fácil de usar. Más información sobre la clave de recuperación de cuenta.
Ha transcurrido ya otra importante conferencia Authenticate, pero el trabajo de mejora de la seguridad y la comodidad de la autenticación del usuario continúa diariamente. A medida que las claves de acceso crecen en popularidad y la tecnología evoluciona, mis compañeros expertos de Dashlane y yo seguiremos centrados en la tarea en cuestión: optimizaar la autenticación de usuarios para todo el mundo.
Regístrese para recibir noticias y actualizaciones acerca de Dashlane
