sábado, 21 de diciembre de 2024

Adiós a las contraseñas: Microsoft prepara un carpetazo que afectará a millones de usuarios

 


 

Ciencia y tecnología

 

La compañía norteamericana trabaja en convencer a sus clientes de que abandonen las contraseñas para siempre.

 

La actividad frenética de los hackers está motivando un cambio de paradigma entre las gigantes de la tecnología. Los ciberataques son cada vez más frecuentes y han demostrado que la seguridad de los usuarios y de los empleados está cada vez más en entredicho. Muchas de las grandes compañías ha sufrido en sus carnes las acciones de los piratas informáticos, así que Microsoft ha tomado la decisión de tomar cartas en el asunto. Los de Redmond se han convencido de que han de acabar con el sistema de contraseñas, aunque no se aplicará de la noche a la mañana. La solución de los norteamericanos es que los usuarios empiecen a utilizar passkeys.

“En Microsoft bloqueamos 7.000 ataques por segundo contra las contraseñas, casi el doble que hace un año”, informan en una entrada publicada en su bog oficial. “Al mismo tiempo, hemos detectado un incremento interanual del 146% en ataques phishing. Afortunadamente, nunca hemos tenido una mejor solución: las passkeys. Se trata de una clave criptográfica que se no puede compartir ni recordar, por lo que es mucho menos vulnerable a los ciberataques. Utilizan combinaciones de claves públicas y privadas para autentificar a los usuarios, todo ello sin exponer la información sensible

 

 



 

 

 Microsoft Security

@msftsecurity


We are prioritizing security above all else through 

our Secure Future Initiative (SFI). 

Explore SFI principles, pillars, and progress here ⬇️

 


 Descubra cómo Microsoft está reemplazando 

las contraseñas por claves de acceso para más de mil millones de usuarios. 

Descubra qué se necesita para ampliar este método 

de autenticación seguro y sin inconvenientes.

 🌐🔒 Lea el blog: https://msft.it/6019oP5dd #Passkeys

 

 

 

Microsoft intentará convencer a millones de usuarios para que usen passkey

El uso de información biométrica como las huellas dactilares, códigos PIN o el desbloqueo facial forma parte de estos nuevos métodos de autentificación. “Además, los passkeys eliminan las contraseñas olvidadas y los códigos de un solo uso”, lo que reduce asimismo las llamadas a servicios de atención al cliente. El dilema al que se enfrenta Microsoft es que debe convencer a millones de usuarios para que den el salto a estos nuevos sistemas. Estos son sus argumentos:

 

  • Conectarse con passkey es tres veces más rápido que usar contraseñas y ocho veces más rápido que una contraseña con un sistema tradicional de autentificación.
  • Los usuarios tienen tres veces más éxito a la hora de iniciar sesión que usando contraseñas (98% vs 32%).
  • El 99% de los usuarios que prueban passkey se quedan.

 

Sigue el canal de MeriStation en Twitter. Tu web de videojuegos y de entretenimiento, para conocer todas las noticias, novedades y última hora sobre el mundo del videojuego, cine, series, manga y anime. Avances, análisis, entrevistas, tráileres, gameplays, podcasts y mucho más. ¡Suscríbete!

 

 

Convencieran a mil millones de usuarios para amar las llaves de pase: UX diseños de Microsoft para impulsar la adopción y la seguridad

 


No hay duda de ello: La era de las contraseñas está terminando. Los malos actores lo saben, por eso están acelerando desesperadamente los ataques relacionados con la contraseña mientras todavía pueden.

En Microsoft, bloqueamos 7.000 ataques a contraseñas por segundo casi el doble de hace un año. Al mismo tiempo, hemos visto que los ataques de phishing adversarios en medio aumentan en un 146% año tras año.1 Afortunadamente, nunca hemos tenido una mejor solución a estos ataques generalizados: las disfrazanas.

Los pastos no sólo ofrecen una experiencia de usuario mejorada al permitirte iniciar sesión más rápido con tu cara, huella dactilar o PIN, sino que también son susceptibles a los mismos tipos de ataques que las contraseñas. Además, los contraseñas eliminan las contraseñas olvidadas y los códigos de una sola vez y reducen las llamadas de soporte.

En este blog, compartiremos cómo Microsoft acercó esta oportunidad única para llevar llaves de acceso a los consumidores.

 

Abraza la oportunidad de mejorar las insicadas

En mayo de 2024, Microsoft anunció que puede iniciar sesión en sus aplicaciones y servicios de consumo favoritos, como Xbox, Microsoft 365 o Microsoft Copilot, utilizando una llave de acceso. Dado que las llaves de acceso siguen siendo una tecnología relativamente nueva, cuando comenzamos este viaje, nos preguntamos: Cómo vamos a convencer a más de mil millones de personas de que amen a las contraspies tanto como a nosotros?

De alguna manera, tuvimos que convencer a una población increíblemente grande y diversa para que cambiara permanentemente un comportamiento familiar y nos entusiasmar con ello.

Para asegurarnos de que tenemos nuestra experiencia de disepa, adoptamos una metodología simple: Iniciar pequeño, experimentar, luego escala como loco. Los resultados han sido alentadores:

 

  • La firma con una llave de acceso es tres veces más rápido que usar una contraseña tradicional y ocho veces más rápido que una contraseña y autenticación multifactor tradicional.

 

  • Los usuarios tienen tres veces más éxito firmando con las contraseñas que con contraseñas (98% frente a 32%).

 

  • El 99% de los usuarios que inician el flujo de registro de la llave de acceso lo completan.

 

Paso 1: Comience pequeño

Nuestro primer paso fue generar soporte para las llaves de acceso que pudieran funcionar a través de nuestras aplicaciones. En mayo de 2024, añadimos una opción sencilla a la página de configuración de cuenta de Microsoft para inscribir una llave de acceso:

 


 

También añadimos una nueva opción para autenticar con una llave de acceso en nuestra página de inicio de sesión:

 

Cuadro de diálogo "Operas de inicio de sesión de Microsoft" con tres opciones: Cara, huella dactilar, PIN o llave de seguridad: Utilice un dispositivo para iniciar sesión con una llave de acceso (acompañado por una persona e icono de tecla). Inicia sesión con GitHub: Authentique usando una cuenta de GitHub (representada por el logotipo de GitHub). Olvidé mi nombre de usuario: Asistencia para la recuperación de un nombre de usuario (representado con un icono de signo de interrogación). Un botón de "Volta" se encuentra en la parte inferior derecha.

 

A medida que miles de personas comenzaban a matricularse y a usar llaves todos los días, aprendía mucho. Por ejemplo, mientras que el término "passkey" a veces era desconocido, la frase "face, huella dactilar," o PIN era generalmente bien entendida, por lo que era importante conectar estos dos conceptos en nuestra experiencia de usuario (UX).

 

Paso 2: Experimento

Con una buena base en su lugar, comenzamos a experimentar. No queríamos que las discrepaciones fueran sólo otra forma de iniciar sesión. Queríamos que fueran la mejor manera de iniciar sesión.

Para ello, tuvimos que averiguar cuándo, dónde y cómo acercarnos a los usuarios para inscribir una llave de acceso. Desarrollamos una hipótesis de que un enfoque pasivo (que requiere que los usuarios visiten la configuración de su cuenta por su cuenta para inscribir una llave de acceso) nunca daría los resultados que queríamos, así que necesitábamos invitar proactivamente a los usuarios a inscribir una llave de acceso.

 

Cuándo y dónde empujar a los usuarios

La oportunidad de inscripción más natural es cuando un usuario crea inicialmente una cuenta. Pero cuándo y dónde sería el mejor momento para que los usuarios existentes creen una llave de acceso? Justo después de que se inscriban? Durante un restablecimiento de contraseña?

Si bien fuimos cautos con cualquier cambio que pudiera impedir que nuestros usuarios accedan rápidamente a sus cuentas, descubrimos que los usuarios estaban muy entusiasmados con la invitación a inscribir un contrascrio cuando no lo esperaban. Alrededor del 25% de los usuarios que vieron un empuje comprometido con él.cinco veces nuestras expectativas previas al lanzamiento. También aprendimos que la opción de crear una llave de acceso donde los usuarios manejan sus credenciales representaron menos del 1% del total de matriculaciones. Estos resultados confirmaron nuestra hipótesis. 

 

Un gráfico de comparación titulado "Activo vs Pasivo" con dos secciones: Activo: Tres iconos que representan: Creación de cuentas (persona con un icono de maleta) Después de la sesión (puerta con un icono de flecha) Reset de contraseña (ícono clave) Una gran estadística del "99%" mostrada en la parte inferior. Pasivo: Un icono que representa la Configuración de la Cuenta (icono de engranaje y documento). Una estadística mostrada como "un 1%" en la parte inferior. El gráfico utiliza un fondo de gradiente azul-verde con círculos blancos para los iconos.

 

Figura 3. Los empujes proactivos en puntos clave de la UX resultaron más eficaces para conseguir que los usuarios inscronieran una llave de acceso.

 

La mejor manera de empujar a los usuarios

A medida que empezamos a entender dónde y cuándo invitar a los usuarios a inscribir llaves de pase, también exploramos el "how". Hicimos varios estudios de usuario y probamos cada píxel en nuestra pantalla de empuje para responder a la pregunta, "Qué motivaría a un usuario a detener lo que están haciendo e inscribir una llave de acceso?"

Primero, queríamos entender qué propuesta de valor resonaría más. Sorprendentemente, un signo más fácil en no resonó con los usuarios con tanta fuerza como una sesión más rápida o segura. Tal vez menos sorprendente fue descubrir que la seguridad y la velocidad resonaron casi por igual. Aproximadamente 24% de los usuarios mostraron un mensaje enfatizado en el que se hacía clic en la seguridad, mientras que aproximadamente el 27% de los usuarios mostraron mensajería sobre la velocidad haciendo clic.

 

Dos capturas de pantalla de un signo de Microsoft en la página de un dispositivo móvil, cada una promoviendo el uso de una llave de acceso para iniciar sesión. La captura de pantalla izquierda destaca la seguridad con el texto "Alinear de forma más segura con una llave pasada" y un icono de seguridad, mostrando un aumento de la seguridad del 24,07%. La captura de pantalla derecha enfatiza la velocidad con el texto "Regístrate más rápido con una llave pasada" y un icono de velocidad, mostrando un aumento del 26,93% en la velocidad. Ambas capturas de pantalla incluyen la dirección de correo electrónico aliceh88-outlook.com y opciones de "Skip for now" o "Next".

 

Figura 4. La mensajería sobre la mejor seguridad y el inicio de sesión de entrada de "faster) seducidos a más usuarios para inscribir una llave de acceso que la facilidad de uso.

 

Si un usuario ve un empuje y elige inscribir una llave de acceso, genial. Pero, si ven el empuje y deciden que ahora no es el momento adecuado, queríamos enmarcar su decisión de una manera positiva. El texto del botón, "Skip por ahora", respeta que el usuario no está listo para inscribir una llave de acceso todavía y les permite continuar con lo que estaban haciendo, pero también establece la expectativa que vamos a pedir de nuevo. Estamos implementando la lógica que determina con qué frecuencia mostrar un empuje para no abrumar a los usuarios, pero no los dejamos optar permanentemente por no participar de las invitaciones de dispados. Queremos que los usuarios se sientan cómodos con la idea de que las llaves de acceso serán la nueva normalidad.

 

Una comparación de diferentes opciones probadas para aplazar un aviso en una pantalla de Microsoft. El lado izquierdo muestra varios botones con opciones de texto como "Más tarde", "No ahora", "Quizás más tarde", "Skip", "No gracias", y "Skip por ahora". El lado derecho muestra un signo de Microsoft en pantalla con la dirección de correo electrónico aliceh88-outlook.com y un aviso para "Iniciar más rápido con una llave de acceso". Debajo del símbolo, hay una opción de "Skip por ahora" resaltada con una flecha que apunta a él, y a la derecha de ese botón, un botón "Sigual".

 

Figura 5. No dejamos que los usuarios opten permanentemente por las invitaciones de llaves de acceso, pero mantenemos el amistoso de mensajería.

 

Los emocionantes resultados de nuestros experimentos nos están ayudando a crear la mejor experiencia posible para nuestros usuarios, y seguimos evolucionando. Te animamos a dirigir tus propios experimentos también. Sus productos y usuarios son diferentes a los nuestros y usted puede descubrir diferentes resultados. Sin embargo, si estás buscando un buen lugar para empezar, la mensajería sobre la velocidad y la seguridad es probablemente una apuesta segura. También le animamos a que haga referencia a la fantástica investigación que ha realizado la Alianza FIDO, junto con las directrices de UX que han publicado.

 

Paso 3: Escala

A medida que nuestros usuarios comenzaron a inscribir las claves de acceso a escala, nuestra experiencia de inicio necesitó comportarse más inteligentemente para fomentar el uso de la llave de acceso. Al rediseñar la experiencia, seguimos estos principios rectores:

 

  • Seguro : Una gran experiencia de inicio de sesión debe priorizar la seguridad sin sacrificar la usabilidad.

 

  • Baja carga cognitiva: Una gran experiencia de inicio de sesión debe tener baja carga cognitiva. La gente no quiere mirar fijamente una lista de opciones de inicio para tratar de decidir cuál usar. Sólo quieren entrar, y deberíamos ponerlo fácil.

 

  • Evolución : Una gran experiencia de inicio de sesión no sólo debe priorizar el mejor método disponible, sino también mover continuamente a los usuarios a métodos más seguros.

 

Con estos principios en mente, se nos ocurrió una experiencia de inicio de sesión completamente reimaginada. Si el usuario tiene una llave de acceso disponible, siempre el método preferido. No enumeramos todas las diferentes maneras en que el usuario puede iniciar sesión y pedirles que elijan uno, sólo mostramos el signo de la llave de acceso en la interfaz de usuario (UI) y eso es. Están seguros y rápidamente firmados.

Un signo de Microsoft en pantalla que muestra las opciones para iniciar sesión con TouchID firma.

 

Figura 6. La experiencia de inicio de sesión predetermina la llave de acceso si el usuario tiene uno disponible.

 

Si el usuario no tiene una llave de acceso todavía, determinamos la siguiente credencial disponible. Una vez que el usuario autenticada con éxito, inmediatamente los invitamos a inscribir una llave de acceso. Si lo hacen, entonces la próxima vez que inicien sesión, su llave de acceso será la mejor credencial disponible y se establece como el nuevo defecto. Nuestro lanzamiento inicial de este nuevo diseño vio una caída del 10% en el uso de contraseñas y un aumento del 987% en el uso de la llave de acceso.

 

Con los datos para apoyar nuestras decisiones de diseño, comencé a establecer por defectos e introducir llaves de pase a escala global:

 

  • Se invita a los nuevos usuarios a inscribir una llave de acceso cuando creen una cuenta.

 

  • Se invita a los usuarios existentes a inscribir llaves en puntos clave de pivote, como después de iniciar sesión o durante un restablecimiento de contraseña.

 

  • Los pastos se establecen como la opción de inicio de sesión por defecto para los usuarios que las tienen.

 

Sobre la base de la tasa actual de adopción, proyectamos que cientos de millones de nuevos usuarios crearán y utilizarán llaves de acceso en los próximos meses.

 

El viaje sin contraseña

Mientras que inscribir llaves de acceso es un paso importante, es sólo el principio. Incluso si conseguimos que nuestros más de mil millones de usuarios se inscriban y usen llaves, si un usuario tiene una llave de acceso y una contraseña, y ambos otorgan acceso a una cuenta, la cuenta sigue en riesgo de phishing. Nuestro objetivo final es eliminar las contraseñas por completo y tener cuentas que solo soportan credenciales resistentes al phishing.

En 2022, hicimos posible que los usuarios eliminaran completamente su contraseña y iniciar sesión con métodos alternativos. Desde entonces, millones de usuarios han borrado sus contraseñas y se han protegido contra ataques basados en contraseña. Ahora con las contraseñas, podemos realmente reemplazar las contraseñas por algo más rápido, más seguro y más fácil de usar. Es una visión ambiciosa, pero creemos firmemente en un futuro resistente al phishing para todos los escenarios, incluyendo la recuperación de cuentas y la bota.

 

La imagen representa una representación visual de la progresión hacia métodos de autenticación más seguros, ilustrados como una escalada de montaña. El camino de la montaña está marcado con hitos, cada uno representando un paso hacia la eliminación de contraseñas a favor de alternativas más seguras. Los hitos son: Cuentas sin contraseña Entrenamiento de las disfrazados Pasekeys por defecto Contraseñas no soportadas Credenas resistentes al phishing solamente Cada hito está representado por un punto amarillo a lo largo de un camino saltiado, indicando el viaje hacia el objetivo final de utilizar sólo credenciales resistentes al phishing. Esta imagen es relevante ya que destaca los pasos y la progresión hacia la mejora de la seguridad en la autenticación digital.

 

Aprender de nuestra experiencia

Estas son algunas sugerencias basadas en nuestros aprendizajes:

 

  1. No sea tímido acerca de invitar a los usuarios a inscribir llaves de acceso. Nuestros experimentos muestran que la gente ama las llaves y está lista para ellos. Si no se inscriben cuando usted pregunta por primera vez, no asuma que su decisión es permanente. Asegúrese de probar algunas variaciones de sus diseños y copiar para determinar qué es más eficaz. Encontramos que los mensajes en torno a la velocidad de inicio y mejoramos la seguridad resonan fuertemente.

 

  1. Que sea lo más fácil posible para inscribir y utilizar las disepa. La gente quiere un acceso rápido y seguro a sus cuentas. No quieren pensar en firmar. Establece predeterminados para priorizar el mejor método disponible cuando sea posible.

 

  1. Levanta el piso. Los pastos son un paso importante en el camino hacia un futuro de autenticación más seguro y sin fisura. Comience a planificar con anticipación ahora para usar sólo credenciales resistentes al phishing.

 

Finalmente, creemos que la adopción de la disfata es un ciclo virtuoso, y la transición del mundo lejos de las contraseñas es más grande que cualquier empresa. A medida que los partidos más confiados priorizan el apoyo de la llave de la mano, las llaves de los pasados primero serán reconocidas, luego familiares, y luego se espera. A medida que la gente se familiariza cada vez más con la usabilidad y los beneficios de seguridad de las llaves de los pasnas, será más probable que se inscriban y los usen en más sitios. Juntos, podemos convencer a miles de millones y miles de millones de usuarios para que inscronen llaves de troledos de cuentas. Estamos orgullosos de ser parte de este esfuerzo colectivo y esperamos que compartan aprendizajes, así como progreses en tu viaje de disférizarlo.

 

Aprender más

Para obtener más información sobre las soluciones de Microsoft Security, visite nuestro sitio web. Marque el blog de Seguridad para estar al día con nuestra cobertura experta en asuntos de seguridad. Además, síganos en LinkedIn (Microsoft Security) y X (MSFTSecurity) para las últimas noticias y actualizaciones sobre ciberseguridad.

 

 

TODA LA INFORMACIÓN LO HE 

ENCONTRADO EN LA PÁGINA 

OFICIAL DEL PERIÓDICO AS EN

BETECH LA WEB DE NOTICIAS 

DE TECNOLOGÍA DE AS Y DE

LA PÁGINA WEB OFICIAL DE

MICROSOFT.COM Y

INFORMACIÓN ADICIONAL

DEL TWITTER OFICIAL DE 

MICROSOFT SECURITY



 

 

 









 
 
 
 
 
 
 
 Pirata Oscar 
Publicado por en
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)