Veniendo a Apple Oses: una forma segura y segura de importar y exportar Passkeeys
Como explica el video:
Este nuevo proceso es fundamentalmente diferente y más seguro que los métodos de exportación de credenciales tradicionales, lo que a menudo implican exportar un archivo CSV o JSON sin cifrar, y luego importarlo manualmente a otra aplicación. El proceso de transferencia es iniciado por el usuario, ocurre directamente entre las aplicaciones participantes de Credential Supervisor y está asegurado por autenticación native como Face ID.
Esta transferencia utiliza un esquema de datos construido en colaboración con los miembros de la Alianza FIDO. Estandariza el formato de datos para verses pasas, contraseñas, códigos de verificación y más tipos de datos.
El sistema proporciona un mecanismo seguro para mover los datos entre aplicaciones. No se crean archivos inseguros en el disco, eliminando el riesgo de filtraciones de credenciales de los archivos exportados. Es una forma moderna y segura de mover credenciales.
El impulso a las versas pasas se ve impulsado por los tremendos costos asociados con las contraseñas. Crear y administrar una contraseña suficientemente larga y generada aleatoriamente para cada cuenta es una carga para muchos usuarios, una dificultad que a menudo conduce a opciones débiles y contraseñas reutilizadas. Las contraseñas filtradas también han sido un problema crónico.
Passkeys, en teoría, proporciona un medio de autenticación inmune al phishing de credenciales, fugas de contraseña y pulverización de contraseñas. Según la última especificación «Fido2», crea un KeyPair de cifrado público/privado único durante cada sitio net o inscripción en la aplicación. Las claves se generan y almacenan en el teléfono de un usuario, la computadora, el yubikey o el dispositivo related. La parte pública de la clave se envía al servicio de cuenta. La clave privada permanece vinculada al dispositivo de usuario, donde no se puede extraer. Durante el inicio de sesión, el sitio net o el servidor de aplicaciones envían el dispositivo que creó el par de claves como un desafío en forma de datos pseudo-aleatorios. La autenticación ocurre solo cuando el dispositivo firma el desafío utilizando la clave privada correspondiente y lo envía hacia atrás.
Este diseño asegura que no haya ningún secreto compartido que alguna vez deje el dispositivo del usuario. Eso significa que no hay datos para olfatear en tránsito, impulsado o comprometido a través de otros métodos comunes.
Como yo Notado en diciembrelo más importante que se detiene en este momento es su falta de usabilidad. Las aplicaciones, los sistemas operativos y los sitios net son, en muchos casos, islas que no interoperan con sus compañeros. Además de encerrar a los usuarios de sus cuentas, la falta de interoperabilidad también hace que las veras pasas sean demasiado difíciles para muchas personas.
La demostración de Apple esta semana proporciona la mayor indicación de que los desarrolladores de PassKey están haciendo un progreso significativo en la mejora de la usabilidad.
