Facebook está actualizando la seguridad de inicio de sesión para sus 1,79 billones de usuarios, al estar integrando claves de seguridad Fido U2F de protección contra «phishing» en su plataforma social.
El universal segundo factor estandard (U2F) publicado por Fast IDentity Online (Fido) Alliance permite que la seguridad de autenticación de Fido de segundo factor se agregue a sistemas basados en una contraseña a través de un autentificador como una llave USB compatible con Fido.
Según Facebook, esta forma de autentificación de dos factores significa que todos los usuarios de la plataforma de redes sociales pueden hacer que sus cuentas de acceso sean prácticamente inmunes al phishing y al takeover.
Para iniciar sesión con la función, los usuarios simplemente pulsarán una tecla USB Fido U2F e ingresarán una contraseña. Las teclas USB U2F están disponibles en Amazon o Yubico.
La misma clave USB U2F se puede utilizar para la autenticación de dos factores habilitada para Google, GitHub, Dropbox, Salesforce, Dashlane y otros servicios en línea.
El equipo de seguridad de Facebook ha calculado previamente que el 0,06% de los 1.000 millones de logos de Facebook, 600.000, están comprometidos cada día.
Mediante el uso de una clave de seguridad U2F, los inicios de sesión son prácticamente inmunes al phishing porque el hardware proporciona una prueba criptográfica de que la cuenta está siendo accedida por el ordenador del titular de la cuenta.
Los expertos en seguridad han hecho campaña hace mucho tiempo para una mejor seguridad en torno a los inicios de sesión de cuenta, que se proporciona por métodos de autenticación de dos factores.
Sin embargo, las recientes amenazas a la seguridad han demostrado que las aplicaciones móviles de reconicimiento y la autenticación basada en SMS no ofrecen suficiente protección contra los últimos ataques sofisticados de phishing y man-in-the-middle.
Los usuarios de Facebook con una clave USB U2F pueden registrar la clave y asociarla con su cuenta a través de la configuración de seguridad de Facebook.
Una vez que una clave de seguridad está registrada y autenticada con una cuenta de Facebook, los usuarios no necesitarán volver a usar la clave para iniciar sesión en Facebook en un dispositivo hasta que borren la caché del navegador.
Facebook considera el dispositivo «de confianza» por conveniencia, lo que significa que si un hacker intenta iniciar sesión en su cuenta desde otro dispositivo, se bloquearán a menos que también tengan la contraseña y la clave física.
Todos los usuarios móviles se beneficiarán de la seguridad adicional proporcionada por la clave de seguridad y la autenticación de dos factores. Si los usuarios tienen un teléfono Android compatible con NFC, pueden usar una clave NEO de YubiKey para autenticarse en el sitio móvil de Facebook.
«Estamos muy contentos de ofrecer claves de seguridad como una opción adicional para hacer que la conexión a Facebook sea aún más segura», ha comentado el ingeniero de seguridad de Facebook Brad Hill. «Estamos agradecidos a Yubico por el apoyo y la ayuda que nos han proporcionado».
Yubico y Google crearon conjuntamente el U2F con la intención de ofrecer criptografía de clave pública fácil de usar y fuerte para Internet. Yubico desarrolló el primer autenticador Fido U2F, publicado en código abierto y gratuito para clientes y servidores, y continúa impulsando este trabajo dentro de las organizaciones de estándares abiertos, incluyendo la Fido Alliance y el World Wide Web Consortium (W3C).
Según Facebook, un estudio sobre el uso de claves de seguridad interna y externa para Google valida el hecho de que U2F es una de las tecnologías de autenticación más seguras, fáciles de usar y rentables.
El hecho de que los usuarios puedan tener múltiples claves para la copia de seguridad y que sean asequibles ayuda a limitar el número de llamadas de soporte en comparación con los autentificadores basados en líneas telefónicas.
En un momento en que las brechas de seguridad se han convertido en una seria amenaza para la confianza en Internet, Facebook ha asegurado que Fido U2F ofrece un vínculo seguro entre los usuarios y los servicios a los que se conectan.