passwords are dead,

long live passwords!

Soy Alejandro (@a0viedo en redes sociales)

Trabajo en backend

Soy GDE de technologías web

Co-organizo NodeConf Argentina

NIST Special Publication 800-63. Appendix A., 2003

“[Passwords] just don’t meet the challenge for anything you really want to secure.”

Bill Gates

algo que

tengo

soy

“An investigation into users’ considerations towards using password managers”

Fagan, Albayram, Khan and Buck - 2017

More “users” than “non-users” in our sample report higher technical expertise, especially in the area of computer security, which could reflect an actual higher technical proficiency among “users”

!!!

una nueva era

FIDO

webauthn

CTAP1

UAF

U2F

Registración

  1. El cliente requiere un "challenge" para cierto usuario
  2. El servidor responde el challenge
  3. El cliente usa la Web Authentication API para acceder a información del autenticador y firma el challenge
  4. El cliente envia el resultado al servidor
  5. El servidor responde si la registración fue exitosa o no

Login

  1. El cliente requiere un challenge para cierto usuario
  2. El servidor responde un challenge
  3. El cliente usa la Web Authentication API para firmar el challenge
  4. El cliente envia el resultado al server
  5. El servidor responde si la verificación fue exitosa o no

la nueva era v2

FIDO2

webauthn

CTAP2

single factor

second factor

multi-factor

con o sin contraseñas

es el fin de las contraseñas?

gracias por escuchar

bit.ly/passwords-are-dead

@a0viedo

Passwords are dead! Long live passwords

By Alejandro Oviedo García

Passwords are dead! Long live passwords

  • 1,570