El estado de la autenticación sin contraseña en la web

Rate this content
Bookmark

¿Podemos deshacernos de las contraseñas ya? Son una mala experiencia de usuario y los usuarios son notoriamente malos con ellas. El advenimiento de WebAuthn ha acercado al mundo sin contraseñas, pero ¿dónde nos encontramos realmente?


En esta charla exploraremos la experiencia actual del usuario de WebAuthn y los requisitos que un usuario debe cumplir para autenticarse sin contraseña. También exploraremos las alternativas y salvaguardias que podemos utilizar para mejorar la experiencia de las contraseñas y hacerla más segura. Al final de la sesión, tendrás una visión de cómo podría ser la autenticación en el futuro y un plan para construir la mejor experiencia de autenticación hoy en día.

This talk has been presented at JSNation 2023, check out the latest edition of this JavaScript Conference.

FAQ

Según la encuesta de Google de 2018, el 52% de las personas admitió reutilizar contraseñas algunas veces.

El 24% de las personas indicó que utilizan un administrador de contraseñas.

Las contraseñas más comunes en 2022 incluyen 'contraseña', '123456' y '123456789'.

El atributo de autocompletar 'new password' ayuda a los usuarios a generar contraseñas fuertes sugeridas automáticamente por el navegador, mejorando la seguridad y la experiencia del usuario.

La API de gestión de credenciales permite almacenar y recuperar credenciales de contraseña de manera segura en el navegador, lo que facilita el uso de contraseñas fuertes y únicas sin necesidad de recordarlas.

Una solución propuesta es el uso del autocompletar con la propiedad de código de un solo uso, que permite a los navegadores sugerir automáticamente códigos de autenticación recibidos por SMS, facilitando el proceso de verificación.

Las claves de seguridad funcionan con la API de Autenticación Web para crear y verificar credenciales mediante criptografía de clave pública y privada, ofreciendo una autenticación robusta y resistente al phishing sin reutilizar contraseñas.

La autenticación sin contraseña utiliza claves de seguridad que eliminan la necesidad de contraseñas tradicionales, implementándose a través de autenticadores de plataforma con verificación biométrica y sincronización en múltiples dispositivos.

Phil Nash
Phil Nash
30 min
05 Jun, 2023

Comments

Sign in or register to post your comment.

Video Summary and Transcription

Las contraseñas son terribles y se pueden hackear fácilmente, y la mayoría de las personas no utilizan gestores de contraseñas. La API de gestión de credenciales y el atributo de autocompletar pueden mejorar la experiencia de usuario y la seguridad. La autenticación de dos factores mejora la seguridad pero empeora la experiencia de usuario. Las claves de acceso ofrecen una experiencia de inicio de sesión fluida y segura, pero el soporte del navegador puede ser limitado. Las recomendaciones incluyen detectar el soporte de claves de acceso y ofrecer alternativas con contraseñas y autenticación de dos factores.

1. Introducción

Short description:

Despídete de las contraseñas. Como defensor del desarrollo en Sona, estoy aquí para responder tus preguntas y compartir ideas. Encuéntrame en línea como Phil Nash en Twitter, Mastodon y LinkedIn.

¡Ah, qué tal, todos? Estamos en pantalla. Sí. Hola. Um, despídete de las contraseñas. ¡Whoo! Como ya hemos visto, trabajo en Sona, soy un defensor del desarrollo allí. Tenemos un pequeño stand allí, así que ven a saludarnos. El resto del equipo está sentado justo allí. Es un poco lejos. Mi nombre es Phil Nash, soy un defensor del desarrollo allí. Puedes encontrarme en línea en todos los lugares con el nombre Phil Nash, Twitter, Mastodon, LinkedIn, solo ven a encontrarme, hazme preguntas. Me encantaría saber de todos ustedes.

2. El Problema con las Contraseñas

Short description:

Las contraseñas son realmente terribles. El 52% de las personas reutilizan contraseñas algunas veces, mientras que el 13% reutiliza contraseñas todo el tiempo. Estas contraseñas son fáciles de romper y hackear. Solo el 24% de las personas utiliza un administrador de contraseñas, dejando a tres cuartos de las personas vulnerables. Las 10 contraseñas más comunes de 2022 son demasiado comunes.

Entonces, vamos a ello. Porque la mayoría de las personas en el mundo tienen aplicaciones en las que necesitan iniciar sesión, ocultar algo detrás de una parte de autenticación, y en su mayor parte, hemos estado autenticando a las personas utilizando contraseñas, y las contraseñas son realmente terribles. Espero que estés de acuerdo, espero que por eso estés aquí sentado. Pero repasaré un par de cosas solo para asegurarnos de que todos estemos de acuerdo en esto. En 2018, Google realizó una encuesta en la que hicieron varias preguntas sobre la seguridad de las cuentas, donde dijeron cosas como, ¿con qué frecuencia reutilizas contraseñas? Y este gráfico circular muestra que el 52% de las personas respondieron que reutilizan contraseñas algunas veces. Ahora, eso no es un buen comienzo. Y, por supuesto, hay una bonita sección verde aquí donde el 35% de las personas dijo que nunca reutilizan contraseñas. Me gustan esas personas. Soy fan de esas personas. Ahora me cuento entre ellas. A lo que debemos preocuparnos, bueno, debemos preocuparnos por las personas que lo hacen algunas veces. Realmente debemos preocuparnos por el 13% de las personas que, cuando se les preguntó si reutilizan contraseñas, dijeron que lo hacen todo el tiempo. Estas son las personas con una contraseña, no la aplicación, sino la cadena en su mente. Y esto es aterrador, ¿verdad? Esta contraseña, por lo general, no son buenas contraseñas. Son fáciles de romper, fáciles de hackear, y eso no es algo bueno. Además, durante la encuesta, preguntaron si las personas utilizan un administrador de contraseñas. Y el 24% de las personas dijo que sí, que utilizan un administrador de contraseñas. Eso está bien. Probablemente estén dentro de esa porción del gráfico circular que dijo que nunca reutilizan contraseñas. Bueno, eso me preocupa porque el 35% de las personas dijo que nunca reutilizan contraseñas. Y el 24% utiliza un administrador de contraseñas. ¿Hay un 11% que está mintiendo? ¿Supongo? No tienes que decir la verdad en las encuestas. Pero de todos modos. Entonces, el 24% de las personas utiliza un administrador de contraseñas. Pero eso significa que tres cuartos de las personas no lo hacen. Tiempos difíciles. Y luego, por supuesto, las personas que están utilizando sus contraseñas, por supuesto, están utilizando todas nuestras contraseñas favoritas. Estas son las 10 contraseñas más comunes

Check out more articles and videos

We constantly think of articles and videos that might spark Git people interest / skill us up or help building a stellar career

Es una jungla ahí fuera: ¿Qué está pasando realmente dentro de tu carpeta Node_Modules?
Node Congress 2022Node Congress 2022
26 min
Es una jungla ahí fuera: ¿Qué está pasando realmente dentro de tu carpeta Node_Modules?
Top Content
The talk discusses the importance of supply chain security in the open source ecosystem, highlighting the risks of relying on open source code without proper code review. It explores the trend of supply chain attacks and the need for a new approach to detect and block malicious dependencies. The talk also introduces Socket, a tool that assesses the security of packages and provides automation and analysis to protect against malware and supply chain attacks. It emphasizes the need to prioritize security in software development and offers insights into potential solutions such as realms and Deno's command line flags.
5 Formas en las que Podrías Haber Hackeado Node.js
JSNation 2023JSNation 2023
22 min
5 Formas en las que Podrías Haber Hackeado Node.js
Top Content
The Node.js security team is responsible for addressing vulnerabilities and receives reports through HackerOne. The Talk discusses various hacking techniques, including DLL injections and DNS rebinding attacks. It also highlights Node.js security vulnerabilities such as HTTP request smuggling and certification validation. The importance of using HTTP proxy tunneling and the experimental permission model in Node.js 20 is emphasized. NearForm, a company specializing in Node.js, offers services for scaling and improving security.
Autenticación del lado del servidor con Remix, Prisma y la Plataforma Web
Node Congress 2022Node Congress 2022
34 min
Autenticación del lado del servidor con Remix, Prisma y la Plataforma Web
Top Content
This Talk is about server-side authentication with Remix, Prisma, and the web platform. It covers adding authentication to a Remix app, troubleshooting and login setup, handling user login and session creation, creating user sessions and redirects, handling user ID retrieval and validation, and working with cookies in Remix. The speaker emphasizes that Remix is ready for production and suitable for enterprise apps. Remix simplifies the mental model and improves performance by bridging the network gap between the front end and back end.
Permíteme mostrarte cómo las aplicaciones de React son hackeadas en el mundo real
React Advanced Conference 2021React Advanced Conference 2021
22 min
Permíteme mostrarte cómo las aplicaciones de React son hackeadas en el mundo real
Top Content
React's default security against XSS vulnerabilities, exploring and fixing XSS vulnerabilities in React, exploring control characters and security issues, exploring an alternative solution for JSON parsing, and exploring JSON input and third-party dependencies.
Política de Seguridad de Contenido con Next.js: Mejorando la Seguridad de tu Sitio Web
React Summit US 2023React Summit US 2023
9 min
Política de Seguridad de Contenido con Next.js: Mejorando la Seguridad de tu Sitio Web
Top Content
Lucas Estevão, a Principal UI Engineer and Technical Manager at Avenue Code, discusses how to implement Content Security Policy (CSP) with Next.js to enhance website security. He explains that CSP is a security layer that protects against cross-site scripting and data injection attacks by restricting browser functionality. The talk covers adding CSP to an XJS application using meta tags or headers, and demonstrates the use of the 'nonce' attribute for allowing inline scripts securely. Estevão also highlights the importance of using content security reports to identify and improve application security.
Cómo los Aplicaciones de React son Hackeadas en el Mundo Real
React Summit 2022React Summit 2022
7 min
Cómo los Aplicaciones de React son Hackeadas en el Mundo Real
How to hack a RealWorld live React application in seven minutes. Tips, best practices, and pitfalls when writing React code. XSS and cross-site scripting in React. React's secure by default, but not always. The first thing to discover: adding a link to a React application. React code vulnerability: cross-site scripting with Twitter link. React doesn't sanitize or output H ref attributes. Fix attempts: detect JavaScript, use dummy hashtag, transition to lowercase. Control corrector exploit. Best practices: avoid denialist approach, sanitize user inputs. React's lack of sanitization and output encoding for user inputs. Exploring XSS vulnerabilities and the need to pretty print JSON. The React JSON pretty package and its potential XSS risks. The importance of context encoding and secure coding practices.

Workshops on related topic

Autenticación Más Allá de las Contraseñas
React Day Berlin 2023React Day Berlin 2023
127 min
Autenticación Más Allá de las Contraseñas
WorkshopFree
Juan Cruz Martinez
Juan Cruz Martinez
Las contraseñas han sido durante mucho tiempo las llaves de nuestros reinos. Sin embargo, a menudo se convierten en los puntos débiles de nuestra armadura: olvidados, mal utilizados o explotados. Nuestras aplicaciones de Next a menudo hacen uso de contraseñas para autenticar a los usuarios, pero ¿cómo sería un mundo sin contraseñas? ¿Y cómo podemos comenzar a conducir hacia ese futuro hoy?
De 0 a Autenticación en una hora con ReactJS
React Summit 2023React Summit 2023
56 min
De 0 a Autenticación en una hora con ReactJS
WorkshopFree
Kevin Gao
Kevin Gao
La autenticación sin contraseña puede parecer compleja, pero es simple de agregar a cualquier aplicación utilizando la herramienta adecuada. Hay múltiples alternativas que son mucho mejores que las contraseñas para identificar y autenticar a tus usuarios, incluyendo SSO, SAML, OAuth, Magic Links, One-Time Passwords y Authenticator Apps.
Mientras abordamos los aspectos de seguridad y evitamos errores comunes, mejoraremos una aplicación JS de pila completa (backend Node.js + frontend React) para autenticar a los usuarios con OAuth (inicio de sesión social) y One Time Passwords (correo electrónico), incluyendo:- Autenticación de usuarios - Gestión de interacciones de usuarios, devolviendo JWTs de sesión / actualización- Gestión y validación de sesiones - Almacenamiento seguro de la sesión para solicitudes de cliente posteriores, validación / actualización de sesiones- Autorización básica - extracción y validación de reclamaciones del token JWT de sesión y manejo de autorización en flujos del backend
Al final del masterclass, también exploraremos otros enfoques de implementación de autenticación con Descope, utilizando SDKs de frontend o backend.
0 a Auth en una Hora Usando NodeJS SDK
Node Congress 2023Node Congress 2023
63 min
0 a Auth en una Hora Usando NodeJS SDK
WorkshopFree
Asaf Shen
Asaf Shen
La autenticación sin contraseña puede parecer compleja, pero es fácil de agregar a cualquier aplicación utilizando la herramienta adecuada.
Mejoraremos una aplicación JS de pila completa (backend de Node.JS + frontend de React) para autenticar usuarios con OAuth (inicio de sesión social) y contraseñas de un solo uso (correo electrónico), incluyendo:- Autenticación de usuario - Administrar interacciones de usuario, devolver JWT de sesión / actualización- Gestión y validación de sesiones - Almacenar la sesión para solicitudes de cliente posteriores, validar / actualizar sesiones
Al final del masterclass, también tocaremos otro enfoque para la autenticación de código utilizando Flujos Descope en el frontend (flujos de arrastrar y soltar), manteniendo solo la validación de sesión en el backend. Con esto, también mostraremos lo fácil que es habilitar la biometría y otros métodos de autenticación sin contraseña.
Tabla de contenidos- Una breve introducción a los conceptos básicos de autenticación- Codificación- Por qué importa la autenticación sin contraseña
Requisitos previos- IDE de tu elección- Node 18 o superior
De 0 a Autenticación en una Hora para tu Aplicación JavaScript
JSNation 2023JSNation 2023
57 min
De 0 a Autenticación en una Hora para tu Aplicación JavaScript
WorkshopFree
Asaf Shen
Asaf Shen
La autenticación sin contraseña puede parecer compleja, pero es fácil de agregar a cualquier aplicación utilizando la herramienta adecuada.
Mejoraremos una aplicación JS de pila completa (backend Node.js + frontend Vanilla JS) para autenticar usuarios con contraseñas de un solo uso (correo electrónico) y OAuth, incluyendo:
- Autenticación de usuario: Gestión de interacciones de usuario, devolución de JWT de sesión / actualización- Gestión y validación de sesiones: Almacenamiento seguro de la sesión para solicitudes posteriores del cliente, validación / actualización de sesiones
Al final del masterclass, también abordaremos otro enfoque para la autenticación de código utilizando Flujos de Descope en el frontend (flujos de arrastrar y soltar), manteniendo solo la validación de sesión en el backend. Con esto, también mostraremos lo fácil que es habilitar la biometría y otros métodos de autenticación sin contraseña.
Principales Diez Vulnerabilidades de Seguridad OWASP en Node.js
JSNation 2024JSNation 2024
97 min
Principales Diez Vulnerabilidades de Seguridad OWASP en Node.js
Workshop
Marco Ippolito
Marco Ippolito
En este masterclass, cubriremos las diez vulnerabilidades más comunes y riesgos de seguridad críticos identificados por OWASP, que es una autoridad confiable en Seguridad de Aplicaciones Web.Durante el masterclass, aprenderás cómo prevenir estas vulnerabilidades y desarrollar la capacidad de reconocerlas en aplicaciones web.El masterclass incluye 10 desafíos de código que representan cada una de las vulnerabilidades más comunes de OWASP. Se proporcionarán pistas para ayudar a resolver las vulnerabilidades y pasar las pruebas.El instructor también proporcionará explicaciones detalladas, diapositivas y ejemplos de la vida real en Node.js para ayudar a comprender mejor los problemas. Además, obtendrás información de un Mantenedor de Node.js que compartirá cómo gestionan la seguridad en un proyecto grande.Es adecuado para desarrolladores de Node.js de todos los niveles de habilidad, desde principiantes hasta expertos, se requiere un conocimiento general de aplicaciones web y JavaScript.
Tabla de contenidos:- Control de Acceso Roto- Fallas Criptográficas- Inyección- Diseño Inseguro- Configuración de Seguridad Incorrecta- Componentes Vulnerables y Obsoletos- Fallas de Identificación y Autenticación- Fallas de Integridad de Software y Datos- Fallas de Registro y Monitoreo de Seguridad- Falsificación de Solicitudes del Lado del Servidor
Gestión de la autenticación en Next.js
Node Congress 2022Node Congress 2022
155 min
Gestión de la autenticación en Next.js
Workshop
Michele Riva
Michele Riva
Next.js es un marco convincente que hace que muchas tareas sean sencillas al proporcionar muchas soluciones listas para usar. Pero cuando se trata de autenticación y seguridad del usuario, nuestra misión es hacerla confiable, segura y eficiente. En esta masterclass, nos centraremos en diferentes enfoques de autenticación de usuarios y gestión de sesiones, comenzando desde una estrategia de autenticación personalizada (que construiremos juntos) y terminando aprendiendo cómo identificar e integrar el proveedor de autenticación adecuado (Auth0, Firebase, etc.) para cualquier aplicación.
Tabla de contenidos:- Una breve introducción a Next.js- Construyendo un mecanismo de autenticación desde cero- Por qué debemos evitar la autenticación personalizada- Cómo identificar el mecanismo de autenticación y proveedor adecuados- Integración de NextAuth.js, Auth0, Firebase u otro proveedor