the birth and death of passwords
Soy Alejandro (@a0viedo en redes sociales)
Trabajo como backend dev
Soy GDE para tecnologías web
Co-organizador de Nodeconf Argentina
esta charla es sobre la web
pero primero, hablemos sobre el inicio de las contraseñas
NIST Special Publication 800-63. Appendix A., 2003
“[Passwords] just don’t meet the challenge for anything you really want to secure.”
Bill Gates
“An investigation into users’ considerations towards using password managers”
Fagan, Albayram, Khan and Buck - 2017
More “users” than “non-users” in our sample report higher technical expertise, especially in the area of computer security, which could reflect an actual higher technical proficiency among “users”
una nueva era
FIDO
webauthn
CTAP1
UAF
U2F
Registración
- El cliente requiere un "challenge" para el usuario
- El server envía un "challenge"
- El cliente utiliza WebAuthn para obtener información acerca del autenticador y firma el "challenge"
- El cliente envía la información al servidor
- El servidor responde si la registración fue exitosa o no
Login
- El cliente requiere un "challenge" para el usuario
- El servidor envia un "challenge"
- El cliente utiliza WebAuthn para firmar el "challenge"
- El cliente envía la información al servidor
- El servidor responde si la operación fue exitosa o no
demo
una nueva era v2
FIDO2
webauthn
CTAP2
single factor
second factor
multi-factor
con o sin contraseñas
entonces...¿las contraseñas van a morir?
gracias por escuchar
bit.ly/passwords-are-dead
@a0viedo
The birth and death of passwords
By Alejandro Oviedo García