Soporte de clave de seguridad FIDO2 habilitado para clientes móviles

El protocolo de autenticación sin contraseña FIDO2 facilita el inicio de sesión sin contraseña y sigue ganando adeptos como estándar del sector. Las actualizaciones de los sistemas operativos móviles añadieron compatibilidad nativa con el estándar, lo que permitió que la compatibilidad con Bitwarden FIDO2 aprovechara las ventajas de este protocolo seguro. Pero, ¿qué es FIDO2 y cómo le afecta?

FIDO son las siglas de Fast IDentity Online (no el nombre de un perro), como abreviatura del estándar de autenticación creado por la FIDO Alliance, una asociación abierta del sector. El grupo, que incluye a líderes de la industria de Internet, trabajó conjuntamente para desarrollar la norma y avanzar en la autenticación en línea, concretamente para reducir la dependencia de las contraseñas.

FIDO2 sirve de protocolo para que aplicaciones, servidores y otros dispositivos se comuniquen entre sí, garantizando que el usuario que intenta iniciar sesión se autentique adecuadamente. En otras palabras, son quienes dicen ser. Otras tecnologías incluidas en este término son WebAuthn, un estándar web abierto, y CTAP; ambas se ejecutan bajo el capó para ayudar a mantener todo seguro. En comparación con otros protocolos como OTP (códigos de acceso de un solo uso), FIDO2 ofrece una mayor protección porque es más fuerte contra el phishing y los sitios web falsos gracias al uso de un par de claves pública/privada como parte de su seguridad.

Un ejemplo de FIDO2 es una llave de seguridad de hardware, que es un dispositivo especial que puede parecer una memoria USB. Cuando se conecta a un ordenador o se acerca a un teléfono para ser leída por NFC (comunicación de campo cercano), la clave de seguridad autentica al usuario. Una llave hardware se considera muy segura ya que no puede ser duplicada y requiere que el usuario lleve consigo un dispositivo físico.

Con esta versión Bitwarden es ahora un gestor de contraseñas FIDO2 que soporta el uso de claves de seguridad de hardware FIDO2 en clientes móviles. Esto se suma a la línea de la bóveda web, las extensiones del navegador y los clientes de escritorio de Windows que soportan FIDO2 como una forma de inicio de sesión en dos pasos para ayudar a mantener su cuenta segura.

Es importante tener en cuenta que Bitwarden utiliza FIDO2 para el inicio de sesión en dos pasos, no como un medio para desbloquear su bóveda Bitwarden. La contraseña maestra se utiliza para iniciar sesión para descargar la bóveda cifrada en el cliente, y la clave derivada de la contraseña maestra se utiliza para descifrarlo. Puede encontrar más información sobre el cifrado en el documento de seguridad de Bitwarden.

Durante el inicio de sesión en dos pasos, Bitwarden le pedirá que conecte su llave de seguridad de hardware USB o que la sostenga (si está habilitada para NFC) cerca de su teléfono. Una vez leída la llave, Bitwarden utilizará los protocolos FIDO2 Webauthn para verificar su identidad. Si seleccionas Recuérdame, recordará tu dispositivo durante 30 días. Esta es una poderosa forma de inicio de sesión en dos pasos que Bitwarden ofrece.

El inicio de sesión en dos pasos, también conocido como autenticación de dos factores, 2FA y autenticación multifactor, es una forma de aumentar drásticamente la seguridad de cualquiera de tus cuentas. Es tan importante que, aunque ya se ha tratado ampliamente en un blog de Bitwarden, en un webcast y en una guía de campo, merece la pena revisarlo de nuevo aquí.

El inicio de sesión en dos pasos se puede pensar en términos de tener algo que sabes, y algo que tienes. Por ejemplo, para que un aventurero pueda entrar en la ciudad mística prohibida, debe pronunciar la frase mágica (que conoce) y presentar el medallón encantado (que tiene). Oír la frase mágica en una taberna no le dará acceso por sí solo.

En términos actuales, después de activar el inicio de sesión en dos pasos en cualquiera de tus cuentas, iniciar sesión con un nombre de usuario y una contraseña desde un dispositivo no reconocido activará el segundo paso. Dependiendo del sitio, se te puede pedir una secuencia de códigos que te hayan enviado por mensaje de texto o correo electrónico, o una contraseña de un solo uso (TOTP) desde una aplicación de autenticación, por ejemplo.

Los distintos tipos de métodos de inicio de sesión en dos pasos tienen diferentes niveles de seguridad y resistencia a los ataques. Los códigos de mensajes de texto (SMS) suelen considerarse los menos seguros, ya que los números de teléfono pueden ser vulnerables a ataques de intercambio de SIM. Las claves de hardware se consideran la forma más segura de verificar la identidad.

Cualquier tipo de inicio de sesión en dos pasos proporciona mucha más seguridad que dejar la cuenta desprotegida. Sin el inicio de sesión en dos pasos, su cuenta está protegida por una sola contraseña. Las violaciones de datos y las filtraciones de contraseñas pueden revelar una contraseña reutilizada accidentalmente, o un ataque de fuerza bruta podría intentar adivinar su contraseña millones de veces por minuto. El inicio de sesión en dos pasos detiene a estos malos actores en su camino.

En la página de ayuda encontrará instrucciones detalladas paso a paso para habilitar FIDO2 WebAuthn en Bitwarden.

Desde la bóveda web, vaya a la pestaña Configuración y, a continuación, a la página Inicio de sesión en dos pasos. Desde allí puedes seleccionar qué forma de inicio de sesión en dos pasos utilizar. Tenga en cuenta que la opción FIDO2 está disponible en el plan Bitwarden Premium.

Cualquier clave de seguridad FIDO2 puede ser configurada para su uso. Algunas marcas comunes son YubiKey, SoloKey, y Nitrokey. Tenga en cuenta que YubiKey puede ser apoyado de dos maneras diferentes por Bitwarden: OTP (contraseña de un solo uso) y FIDO2. Asegúrese de hacer la selección correcta para sus necesidades.

Los usuarios gratuitos pueden tener hasta cinco claves de seguridad en su cuenta para la autenticación de dos factores y los usuarios de Bitwarden de pago pueden tener hasta diez claves. Sea cual sea el plan que elijas, es una buena idea registrar más de una para tener una contigo y otra en un lugar seguro. Además, debes generar un código de recuperación y guardarlo también en un lugar seguro por si pierdes tus llaves hardware. Recuerda que corres el riesgo de que te bloqueen la cuenta para siempre si pierdes las llaves y el código de recuperación, aunque conserves la contraseña maestra.

Hay dos pasos importantes que cualquiera puede hacer hoy para mejorar la seguridad en Internet. El primero es implementar cualquier forma de inicio de sesión en dos pasos (2FA, autenticación de dos factores, autenticación multifactor) en cada cuenta que lo ofrezca. Bitwarden puede ayudar con una herramienta llamada "Informe 2FA inactivo" que comprobará todos los inicios de sesión en la bóveda con una lista de sitios que ofrecen TOTP como inicio de sesión en dos pasos y marcará los inicios de sesión que no lo han configurado.

La segunda es practicar buenos hábitos con las contraseñas: utilizar contraseñas fuertes, únicas y generadas aleatoriamente para cada cuenta. El generador de contraseñas incorporado en Bitwarden es una herramienta útil para hacer esto más fácil, junto con el almacenamiento de esas contraseñas en una bóveda segura para que no tengan que ser recordadas.

Además, el Bitwarden Authenticator, que está disponible con el plan Bitwarden Premium, puede ayudar con el inicio de sesión en dos pasos TOTP mediante la generación de códigos y hacer que sea más conveniente para verificar las identidades en los sitios web.

Active el inicio de sesión en dos pasos en todas sus cuentas hoy mismo.

Vea cómo Bitwarden puede ayudar a mejorar la seguridad en Internet con la gestión de contraseñas. Regístrese para una demostración en vivo y explore los planes en bitwarden.com.

Nota del editor: Este artículo fue escrito originalmente el 28 de septiembre de 2021 y fue actualizado el 23 de julio de 2022.