Elevar la seguridad sin contraseñas con AWS Nitro
Dashlane aprovecha la informática confidencial para el almacenamiento y el uso compartido de claves de acceso seguros
Ingresar en servicios con una clave de acceso es cómodo y seguro. A diferencia de las contraseñas, las claves de acceso siempre son únicas y seguras, y, críticamente, son resistentes al phishing.
Con la herramienta de administración de claves de acceso de Dashlane, los usuarios pueden crear y almacenar claves de acceso y usarlas fácilmente en diferentes plataformas. Aunque Apple y Google han proporcionado API que permiten administrar claves de acceso en iOS, macOS y Android, la plataforma Windows, hasta hace poco, carecía de dichas API. Debido a la popularidad de las extensiones de navegador, Dashlane implementó compatibilidad con claves de acceso directamente en nuestras extensiones.
Las claves de acceso usan criptografía de clave pública. Cuando las claves de acceso se guardan en Dashlane, la clave privada se encripta de forma segura en la caja fuerte de Dashlane, mientras que la clave pública se guarda en el servicio asociado con la credencial. Cuando un usuario ingresa con una clave de acceso, el servicio crea un reto aleatorio que se envía al dispositivo del usuario, y la clave privada se usa para firmar el reto, que entonces se devuelve al servicio y se verifica usando la clave pública. Hoy, la clave de acceso se gestiona en la memoria del cliente de Dashlane, pero hemos estado evaluando la forma de hacer que esto sea más resiliente desde una perspectiva de seguridad.
Sistema AWS Nitro
Dashlane usa entornos informáticos confidenciales y de nube seguros, como el sistema AWS Nitro, para capacidades como ingresar con el SSO. Con este conocimiento y experiencia, hacemos que el uso de claves de acceso sea aún más seguro. Hemos comenzado a trabajar en una solución en la que, en lugar de descifrar la clave de acceso directamente dentro de la extensión de navegador, se descifraría dentro de un entorno como el sistema AWS Nitro. De esta manera, la protección de la clave privada es mucho más confiable, lo que mejora la seguridad en general. En ambos casos, el usuario siempre está en posesión de las claves de encriptación, y se mantiene la confidencialidad.
Uso compartido de clave de acceso seguro
Las empresas suelen necesitar que los empleados compartan credenciales de forma segura. Enviar contraseñas usando plataformas de correo electrónico o mensajería expone esas credenciales a actores maliciosos, por lo que deben evitarse estos métodos de uso compartido de credenciales no seguros.
Los usuarios de Dashlane pueden compartir credenciales de forma segura usando criptografía de clave pública. Puede pensar en compartir credenciales como una forma de entregar copias de claves, al igual que lo haría con la llave de su casa. Compartir la llave de su casa conlleva el riesgo de que el prestatario pueda hacer copias de la llave compartida. Las contraseñas conllevan el mismo riesgo porque generalmente se comparten por valor: el valor de la contraseña se entrega a otra persona.
Las claves de acceso protegidas con AWS Nitro facilitan el uso compartido por referencia en lugar de por valor. Esto significa que no es necesario revelar la clave de acceso para compartirla. La clave de acceso solo se compartirá con aquellos que necesitan acceder a ella. Además, el uso de esa clave de acceso siempre será auditable porque se garantiza que cada uso se registrará para fines de auditoría. Las empresas no pueden hacer esto con las contraseñas porque una contraseña es un valor simple que se comparte con el servidor del sitio web para autenticar al usuario. Como las claves de acceso usan criptografía de clave pública, el monitoreo y la seguridad son mucho más robustos.
La beta llegará pronto
¿Quiere probar esta nueva capacidad de clave de acceso? Una versión beta estará disponible para final de año, y la función estará disponible en general en 2025.
Obtenga las últimas noticias sobre claves de acceso en Dashlane suscribiéndose a nuestro boletín de noticias o uniéndose a nuestra comunidad de Reddit.
Regístrese para recibir noticias y actualizaciones acerca de Dashlane