Piense dos veces antes de iniciar sesión de Facebook, Google o Apple desde cualquier lugar

Las llamadas opciones de inicio de sesión único ofrecen una gran comodidad. Pero tienen desventajas que no tienen los buenos administradores de contraseñas antiguos.

Si se está ahogando en los inicios de sesión del sitio web y utiliza constantemente las indicaciones de Olvidé mi contraseña para ingresar a cuentas aleatorias, el botón “Iniciar sesión con Google” o “Iniciar sesión con Facebook” puede parecerse mucho a un salvavidas. Los servicios brindan una manera rápida de continuar con lo que esté haciendo sin tener que configurar una cuenta completa y elegir una nueva contraseña para protegerla. Pero, aunque estas herramientas de “inicio de sesión único” son convenientes y ofrecen algunos beneficios de seguridad, no son la formula mágica que podría pensar.

Los esquemas de SSO ofrecidos por las grandes empresas de tecnología tienen algunas ventajas obvias. Por ejemplo, son desarrollados y mantenidos por empresas con los recursos necesarios para incorporar sólidas funciones de seguridad. Inicie sesión con Apple, que le permite usar TouchID o FaceID para iniciar sesión en cualquier número de sitios.

Pero a pesar de su conveniencia, el SSO del consumidor también tiene algunos inconvenientes reales. Crea un único punto de falla si algo sale mal. Si su contraseña o token de acceso es robado de una cuenta que usa para SSO, todos los demás sitios con los que lo usó para iniciar sesión podrían quedar expuestos. Y no solo debe confiar en las empresas que ofrecen SSO para proteger su privacidad y seguridad, también debes confiar en todos los sitios web de terceros que ofrecen estas opciones para implementarlas correctamente.

“Es difícil”, dice Wendy Knox Everette, asesora senior de seguridad de la firma de consultoría de seguridad y gestión de riesgos Leviathan Security. “Si la gente fuera realmente buena con el uso de contraseñas de un solo sitio, tal vez tendría más sentido crear cuentas únicas en sitios de terceros. Pero la gente los reutiliza.


Los riesgos inherentes no son solo hipotéticos


Si una de sus contraseñas de uso se ve comprometida, los credential stuffers y phishers pueden acceder a todas las cuentas que protegió con esa contraseña. La mejor manera de evitarlo es utilizar un administrador de contraseñas, que crea contraseñas sólidas y seguras donde sea que las necesite. Al igual que SSO, los administradores de contraseñas también pueden convertirse en un único punto de falla si un atacante toma el control de sus dispositivos o roba su contraseña maestra única. Pero a diferencia de las configuraciones de inicio de sesión único, un administrador de contraseñas no requiere que dependa de varias entidades aleatorias en la web.

Los riesgos inherentes no son solo hipotéticos. En septiembre de 2018, Facebook reveló una violación masiva de datos que afectó al menos a 50 millones de sus usuarios y, entre otras cosas, expuso cualquier otra cuenta a la que las personas iniciaron sesión usando Facebook SSO. Facebook anuló los tokens de acceso tan pronto como detectó la infracción, pero el incidente subrayó los posibles efectos en cadena de cualquier infracción de SSO del consumidor.

Un estudio de 2018 también encontró numerosos errores en cómo 95 servicios web y móviles implementaron SSO para consumidores. En más de una docena de sitios, un usuario que haya iniciado sesión podría cambiar la dirección de correo electrónico asociada con la cuenta sin necesidad de volver a ingresar la contraseña. Si accidentalmente dejó abierta su sesión en una cuenta en una liberia de la computadora, o si su token de acceso de Facebook se filtrara en una violación masiva, los atacantes podrían tomar el control de su cuenta de manera oportunista. En otros casos, los investigadores descubrieron que muchos sitios habían implementado el inicio de sesión único, de modo que creaban la posibilidad de que un pirata informático lance ataques de suplantación de identidad.

“En general, estoy en contra de los esquemas de SSO de los consumidores porque no solo presentan un único punto de falla, sino porque también permiten ataques adicionales que no son factibles con la autenticación tradicional basada en contraseñas”, dice Jason Polakis, investigador de la Universidad de Illinois en Chicago y uno de los autores del estudio. “Siento que estamos en un punto en el que los administradores de contraseñas han madurado y son lo suficientemente fáciles de usar como para que podamos comenzar a educar a los usuarios sobre ellos y presionar para su adopción”.

Muchos esquemas de SSO para consumidores también presentan problemas prácticos con la recuperación de cuentas. Si usa Twitter para iniciar sesión, digamos, en una plataforma de almacenamiento de fotos y años después pierde el rastro de su cuenta de Twitter, es difícil saber si Twitter o el sitio de fotos es responsable de ayudarlo a solucionar problemas. Es posible que no haya una forma de restaurar el acceso a sus fotos.

Un ejemplo del mundo real de esto surgió a principios de este mes cuando la compañía de juegos Epic advirtió que Apple iba a revocar la capacidad de Epic para ofrecer Iniciar sesión con Apple. Apple removio el juego Fortnite de Epic de la App Store en agosto y luego eliminó la membresía del programa de desarrolladores de Apple de la compañía por disputas de compra dentro del juego. Epic se apresuró a ofrecer recursos para que los usuarios transfirieran sus cuentas de Iniciar sesión con Apple a otros mecanismos de inicio de sesión para que no perdieran el acceso permanentemente. En última instancia, Apple extendió el soporte de Epic Sign In With Apple y dice que nunca tuvo la intención de revocarlo, pero el incidente destacó las desventajas de introducir a un tercero en el acceso a la cuenta.

Para el usuario web promedio, puede parecer que hay una cantidad abrumadora de factores en la elección de comprometerse con un administrador de contraseñas en lugar de usar SSO. De cualquier manera, el uso de la autenticación de dos factores en todos los lugares donde se ofrece hará que sus cuentas sean más seguras y mucho más difícil para los atacantes realizar suplantación de identidad-ya sea que esté agregando un segundo factor de autenticación a cuentas individuales o a una cuenta de alto valor que usa para el inicio de sesión único.

“Es imposible estar seguro de que uno es mejor que el otro, porque no podemos conocer todos los detalles sobre cómo las empresas administran internamente sus credenciales”, dice Teri Radichel, CEO de la empresa de seguridad en la nube 2nd Sight Lab. Además, cada usuario doméstico puede tener una red doméstica más o menos segura, y diferentes administradores de contraseñas pueden ser más o menos seguros. Elijo no contar con una única fuente para toda mi gestión de contraseñas “.

Sin embargo, si no tiene el tiempo o la energía para dedicarse a preocuparse por los matices, y mucho menos administrar diferentes contraseñas de diferentes maneras, un administrador de contraseñas es una solución integral que siempre es útil- si un determinado sitio ofrece SSO o no. ¿La única cosa en la que todos pueden estar de acuerdo? No reutilice las contraseñas. Simplemente no lo hagas.





Fuente de información: https://www.wired.com/story/single-sign-on-facebook-google-apple/



29 septiembre, 2020

0 responses on "Piense dos veces antes de iniciar sesión de Facebook, Google o Apple desde cualquier lugar"

Deja un mensaje

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

2020 © MAYORISTAS DE PARTES Y SERVICIOS S.A. DE C.V | TODOS LOS DERECHOS RESERVADOS
X