Una nueva era de autenticación resistente al phishing: protección del acceso a Dashlane con llaves de seguridad FIDO2

Dashlane es pionero en un nuevo estándar de autenticación sin problemas y resistente al phishing para el acceso a la caja fuerte de credenciales.

Estamos orgullosos de compartir que hemos combinado nuestro ingreso sin contraseñas, el primero en su tipo, con llaves de seguridad FIDO2, la protección más sólida disponible contra los ataques de phishing. Ahora hay una nueva forma de proteger la parte más confidencial de su vida digital: su caja fuerte de credenciales.

Dashlane es el primer administrador de credenciales en habilitar las llaves de seguridad FIDO2 como factor de autenticación principal para el acceso a la caja fuerte, aprovechando la innovación de WebAuthn PRF. Una llave de seguridad FIDO2 es un dispositivo físico, como una llave USB, de Yubico, Google Titan y otros. FIDO2 es la misma tecnología subyacente usada para las claves de acceso, las credenciales resistentes al phishing que reemplazan gradualmente las contraseñas.

Hacemos que el acceso a su información más confidencial sea más fácil y seguro. Ya sea una persona o una empresa, la seguridad avanzada y resistente al phishing de Dashlane mantiene seguros los elementos de su caja fuerte.

Esto significa:

«El uso por parte de Dashlane de llaves de seguridad FIDO para proporcionar acceso seguro y sin contraseñas a su caja fuerte marca un paso fundamental en la seguridad digital», dijo Andrew Shikiar, director ejecutivo y CEO de FIDO Alliance. «Al aprovechar los potentes estándares abiertos de FIDO para el almacenamiento de claves de acceso en la caja fuerte y ahora para acceder a ella de forma segura, Dashlane está mostrando un tremendo compromiso para proteger los datos más confidenciales de sus usuarios de una manera cómoda y resistente al phishing».

Los usuarios del plan personal pueden obtener acceso anticipado y estar entre los primeros en desbloquear su caja fuerte de Dashlane usando una llave de seguridad FIDO2 como forma principal de ingresar. Esta innovación estará disponible de forma general a finales de este año tanto para los usuarios personales como empresariales.

A pesar de los avances en la autenticación, el phishing sigue siendo alarmantemente efectivo. Las soluciones MFA tradicionales, incluso aquellas que usan códigos de un solo uso o notificaciones push, son vulnerables a ataques de phishing cada vez más inteligentes, a menudo generados por IA. Incluso los mejores expertos en seguridad pueden ser engañados, como experimentó recientemente Troy Hunt. El impacto puede ser costoso.

Necesitamos ir más allá de las medidas paliativas y adoptar un modelo que elimine por completo el vector de phishing.

Entran en escena los estándares FIDO2, WebAuthn y CTAP. Estos estándares, desarrollados por la Alianza FIDO (de la que somos orgullosos miembros del consejo directivo) y el Grupo de trabajo WebAuthn de W3C, están diseñados desde cero para detener el phishing.

Lo hacen confiando en la criptografía de clave pública, eliminando los secretos compartidos y vinculando la credencial a su origen. Por lo tanto, incluso si se engaña a un usuario para que visite un sitio falso, sus credenciales simplemente no se pueden usar.

La caja fuerte del administrador de credenciales de Dashlane es un portal seguro a todas las demás cuentas que posee. Protegerla no es negociable. 

Dashlane ha sido líder en el avance del futuro sin contraseñas y en proporcionar una seguridad completa de credenciales. Fuimos el primer administrador de contraseñas en admitir claves de acceso en todas las plataformas, y seguimos innovando para maximizar la seguridad y la comodidad de las claves de acceso.

También fuimos los primeros en habilitar el acceso multiplataforma sin problemas y sin contraseñas a la caja fuerte de Dashlane, lo que elimina el uso de una contraseña maestra.

Sobre esta base, Dashlane ha creado un nuevo modelo en el que el acceso a su caja fuerte puede protegerse mediante autenticación respaldada por hardware y resistente al phishing que usa llaves de seguridad FIDO2 como factor principal.

Nuestra solución aprovecha la extensión WebAuthn PRF (función seudoaleatoria) para derivar claves de encriptación localmente, lo que vincula el acceso a la caja fuerte a la posesión de la llave y la finalización de la verificación del usuario.

Si la plataforma o el navegador no admite PRF, recurrimos a un flujo seguro sin contraseñas que usa un dispositivo aprovisionado para transferir de forma segura la clave de encriptación combinada con un flujo WebAuthn clásico.

Nuestro objetivo es que todos puedan acceder a cualquier servicio o producto en línea de forma fácil y segura sin temor a ser atacados. Crear un ingreso sin contraseñas para Dashlane fue el primer hito en ese viaje. 

La seguridad es solo parte de la ecuación: la facilidad de uso es igual de crítica. Nuestro enfoque está diseñado para proporcionar una experiencia fluida con nuestras próximas mejoras:

Para un acceso realmente sin obstáculos y riesgos de phishing, no busque más.

Creemos que este es el futuro de la autenticación, no solo para Dashlane, sino para el ecosistema de seguridad más amplio. Al alinearnos con los estándares abiertos como FIDO2, estamos sentando las bases para la administración de credenciales resistente al phishing por diseño.

Nuestra visión es simple: hacer que la autenticación más segura sea la más fácil de usar.