Mejorando la seguridad y usabilidad de los gestores de contraseñas
Un nuevo marco mejora las interacciones de los administradores de contraseñas para un acceso en línea más seguro.
― 5 minilectura
Tabla de contenidos
Llevar el control de muchas contraseñas para diferentes cuentas en línea es un gran desafío para mucha gente. Los gestores de contraseñas son herramientas que ayudan a los usuarios a gestionar y asegurar sus contraseñas. Pueden crear contraseñas fuertes y completarlas automáticamente al iniciar sesión en sitios web. Sin embargo, los métodos actuales para conectar los gestores de contraseñas a los sitios web a menudo no hacen un buen trabajo protegiendo a los usuarios de varios ataques.
Este documento presenta un nuevo marco que busca mejorar cómo los gestores de contraseñas trabajan con los sitios web para aumentar la seguridad y la Experiencia del usuario.
La necesidad de mejora
Muchas soluciones existentes, como el Autocompletado de HTML y la API de Gestión de Credenciales, tienen limitaciones. El Autocompletado de HTML puede no llenar las contraseñas correctamente, especialmente con aplicaciones de una sola página modernas. La API de Gestión de Credenciales es exclusiva para los gestores de contraseñas integrados en el navegador y no apoya a los gestores de contraseñas de terceros.
Esto lleva a la frustración de los usuarios y puede crear riesgos de seguridad. Si un gestor de contraseñas no funciona correctamente, los usuarios pueden terminar usando contraseñas débiles o reutilizando contraseñas en múltiples sitios.
Marco propuesto
El marco propuesto está diseñado para actuar como un mediador entre los gestores de contraseñas y las aplicaciones web. Esto significa que ayudará a agilizar la comunicación entre ambos, asegurando que los usuarios puedan registrarse e iniciar sesión de forma segura y fácil.
Funciones principales del marco
El marco introduce dos APIs esenciales que permiten a los gestores de contraseñas y a las aplicaciones web interactuar sin problemas. Estas APIs ayudan en:
- Autenticar aplicaciones web para verificar que son genuinas.
- Facilitar intercambios seguros de información entre gestores de contraseñas y aplicaciones web.
Al usar estas APIs, los usuarios pueden evitar muchos de los errores de seguridad comunes presentes en los sistemas más antiguos.
Implementación en Firefox
Una versión del marco se ha implementado en el navegador Firefox. Esta implementación apoya tanto los procesos de registro como de inicio de sesión para los usuarios. Permite que los gestores de contraseñas autentiquen aplicaciones web y asegura que la información sensible no se comprometa fácilmente.
Características de seguridad
El marco recién diseñado ofrece varias características de seguridad importantes:
- Autenticación de Aplicaciones Web: Esto ayuda a prevenir que sitios maliciosos engañen a los usuarios para que ingresen sus credenciales.
- Encriptación de extremo a extremo: Esto asegura que incluso si los datos son interceptados, permanezcan seguros e ilegibles para cualquiera que intente acceder a ellos.
Estas medidas ayudan a proporcionar tranquilidad a los usuarios cuando están gestionando sus identidades en línea.
La experiencia del usuario
El nuevo marco busca mantener la experiencia del usuario simple mientras mejora la seguridad. Los usuarios pueden seguir visitando sitios web e iniciando sesión como lo harían normalmente, sin necesidad de cambiar significativamente sus hábitos.
Abordando limitaciones actuales
Los enfoques actuales de gestión de contraseñas tienen varias deficiencias, como:
- Comportamiento de autocompletado incorrecto de los gestores de contraseñas.
- Control programático limitado para gestores de contraseñas de terceros.
- Experiencias de usuario difíciles de gestionar, especialmente con páginas web dinámicas.
El nuevo marco aborda estos problemas creando una forma más estructurada para que los gestores de contraseñas y las aplicaciones web se comuniquen.
Beneficios del nuevo marco
El marco propuesto ofrece varias ventajas:
- Mejor control del usuario: Los usuarios pueden elegir cómo se gestiona su información sin ser forzados a una nueva manera de iniciar sesión.
- Mejor seguridad: Con características como la autenticación de aplicaciones web y la encriptación de extremo a extremo, los usuarios están mejor protegidos contra ataques.
- Flexibilidad: El marco puede soportar tanto gestores de contraseñas nativos como de terceros, promoviendo una mayor variedad de opciones para los usuarios.
Conclusión
A medida que la seguridad en línea se vuelve cada vez más importante, tener un marco de gestión de contraseñas confiable es crucial. El marco propuesto busca ofrecer una funcionalidad mejorada y una seguridad mejorada para los usuarios. Proporciona una manera eficiente para que los gestores de contraseñas interactúen con las aplicaciones web, haciendo que la experiencia en línea sea más segura y fácil. El trabajo futuro se centrará en evaluar la usabilidad del marco con usuarios y desarrolladores reales, asegurando que satisfaga efectivamente sus necesidades.
Título: The Emperor is Now Clothed: A Secure Governance Framework for Web User Authentication through Password Managers
Resumen: Existing approaches to facilitate the interaction between password managers and web applications fall short of providing adequate functionality and mitigation strategies against prominent attacks. HTML Autofill is not sufficiently expressive, Credential Management API does not support browser extension password managers, and other proposed solutions do not conform to established user mental models. In this paper, we propose Berytus, a browser-based governance framework that mediates the interaction between password managers and web applications. Two APIs are designed to support Berytus acting as an orchestrator between password managers and web applications. An implementation of the framework in Firefox is developed that fully supports registration and authentication processes. As an orchestrator, Berytus is able to authenticate web applications and facilitate authenticated key exchange between web applications and password managers, which as we show, can provide effective mitigation strategies against phishing, cross-site scripting, inline code injection (e.g., by a malicious browser extension), and TLS proxy in the middle attacks, whereas existing mitigation strategies such as Content Security Policy and credential tokenisation are only partially effective. The framework design also provides desirable functional properties such as support for multi-step, multi-factor, and custom authentication schemes. We provide a comprehensive security and functionality evaluation and discuss possible future directions.
Autores: Ali Cherry, Konstantinos Barmpis, Siamak F. Shahandashti
Última actualización: 2024-07-12 00:00:00
Idioma: English
Fuente URL: https://arxiv.org/abs/2407.07205
Fuente PDF: https://arxiv.org/pdf/2407.07205
Licencia: https://creativecommons.org/licenses/by-nc-sa/4.0/
Cambios: Este resumen se ha elaborado con la ayuda de AI y puede contener imprecisiones. Para obtener información precisa, consulte los documentos originales enlazados aquí.
Gracias a arxiv por el uso de su interoperabilidad de acceso abierto.
Enlaces de referencia
- https://github.com/alichry/berytus
- https://github.com/xuyuan/pgf-umlsd/issues/9#issuecomment-425736788
- https://creativecommons.org/licenses/by-nc-sa/4.0/
- https://tex.stackexchange.com/questions/335990/is-there-a-command-to-make-first-letter-upper-case
- https://tex.stackexchange.com/questions/368604/how-to-draw-a-half-and-half-colored-circle
- https://www.overleaf.com/latex/examples/listings-code-style-for-html5-css-html-javascript/htstpdbpnpmt
- https://tex.stackexchange.com/questions/57141/is-there-a-latex-trick-to-prevent-a-pdf-viewer-from-copying-the-line-number
- https://github.com/ghammock/LaTeX_Listings_JavaScript_ES6