the birth and death of passwords

Soy Alejandro (@a0viedo en redes sociales)

Trabajo como backend dev

Soy GDE para tecnologías web

Co-organizador de Nodeconf Argentina

esta charla es sobre la web

pero primero, hablemos sobre el inicio de las contraseñas

NIST Special Publication 800-63. Appendix A., 2003

“[Passwords] just don’t meet the challenge for anything you really want to secure.”

Bill Gates

“An investigation into users’ considerations towards using password managers”

Fagan, Albayram, Khan and Buck - 2017

More “users” than “non-users” in our sample report higher technical expertise, especially in the area of computer security, which could reflect an actual higher technical proficiency among “users”

una nueva era

FIDO

webauthn

CTAP1

UAF

U2F

Registración

  1. El cliente requiere un "challenge" para el usuario
  2. El server envía un "challenge"
  3. El cliente utiliza WebAuthn para obtener información acerca del autenticador y firma el "challenge"
  4. El cliente envía la información al servidor
  5. El servidor responde si la registración fue exitosa o no

Login

  1. El cliente requiere un "challenge" para el usuario
  2. El servidor envia un "challenge"
  3. El cliente utiliza WebAuthn para firmar el "challenge"
  4. El cliente envía la información al servidor
  5. El servidor responde si la operación fue exitosa o no

demo

una nueva era v2

FIDO2

webauthn

CTAP2

single factor

second factor

multi-factor

con o sin contraseñas

entonces...¿las contraseñas van a morir?

gracias por escuchar

bit.ly/passwords-are-dead

@a0viedo

The birth and death of passwords

By Alejandro Oviedo García

The birth and death of passwords

  • 1,692