
El fin de las contraseñas
By J.M Castillo, Post
El mundo de las tecnologías de la información avanza muy rápidamente, o al menos en la sociedad esa es la opinión reinante, pero hay ciertos aspectos tecnológicos donde no se ha avanzado prácticamente nada. Uno de ellos es en el acceso a webs, dispositivos, etc., donde seguimos accediendo de forma convencional con usuario y contraseña.
Probablemente esto sea así por que es el equilibrio más eficaz entre autenticación segura, sin complicaciones para usuarios, y fácil de gestionar por parte de los administradores de los sitios.
Sin embargo, en este sistema existían una serie de brechas o debilidades que se han podido ir mitigando con pequeñas mejoras tales como: contraseñas complejas o con navegación encriptada, establecimiento de periodos de caducidad para la contraseña, que no se puedan repetir hasta un cierto número de ellas, o la autenticación de doble factor, entre otras.
Por el contrario, los principales inconvenientes de este sistema han sido los ataques de fuerza bruta y sus diccionarios de claves, y la simplicidad y escasa originalidad de la mayoría de las contraseñas debido a que el usuario usa para todo la misma (es cierto, todos pensamos en el característico "admin, admin", o "1234, 1234").
Pero, ¿cuál es el verdadero problema? Sin duda es que el sistema no confirma quién es realmente la persona que está accediendo, ya que la contraseña solo demuestra que se conoce el dato, pero no que sea la persona autorizada.
-
Autenticación de doble factor:
Últimamente se está oyendo hablar mucho de la autenticación de doble factor, básicamente consiste en una combinación para elegir 2 de estos 3 elementos. Lo que soy, lo que tengo y lo que sé.
–Lo que soy: Lo podemos definir como algún elemento personal e intransferible, como por ejemplo una huella dactilar, nuestra cara, o el iris del ojo, como los elementos más comunes.
–Lo que tengo: Podemos definirlo como usar una posesión para autenticarnos, una tarjeta magnética, un dispositivo móvil, o una firma digital, por ejemplo.
–Lo que sé: Básicamente volvemos al punto de partida con una contraseña, pin o una palabra de paso.
El doble factor, tiene 2 inconvenientes principales, el primero y más importante, es que deja de ser cómodo para el usuario, ya que requiere, por ejemplo, poner una contraseña y además esperar un código que llega a su dispositivo móvil a través de SMS. El segundo, que a pesar de tener que confirmar 2 datos distintos, sigue sin quedar demostrado que el usuario sea el que se está identificando.
-
El nuevo estándar por venir:
Aunque sigamos teniendo presentes a las contraseñas, ya se está trabajando en una revolución en los sistemas de autenticación: Web Authentication. Esta herramienta ha sido diseñada para reemplazar las claves de números, letras y símbolos por la biométrica y los dispositivos que los usuarios ya utilizan, como una llave electrónica, un teléfono, una webcam o un sensor de huellas dactilares.
La biometría no es más que el uso de lo que definíamos antes como lo que soy, o sea, huella dactilar, iris del ojo, o el reconocimiento facial.
Con ello se podrá usar una autenticación de doble factor verdadera, ya que el ejemplo de la contraseña y el sms tampoco garantiza que el usuario que ha accedido es quien esperamos que sea.
Dadas las vulnerabilidades que existen, y las pocas garantías que estas crean en la seguridad de los sistemas, las organizaciones FIDO Alliance y W3C (World Wide Web Consortium) crearon un anuncio donde presentaban a WebAuthn, el cual consiste básicamente en una nueva modalidad de identificación para los usuarios basada en un sistema biométrico que utiliza la huella dactilar, así como reconocimiento facial.
Para que nos ubiquemos en la diferencia que esto significa, dejarán de tener sentido los ataques por fuerza bruta, ya que (por ahora) no se pueden almacenar todas las posibilidades de huellas dactilares, o todas las posibilidades de reconocimiento facial; los correos phising, o la ingeniería social. De hecho, Según Jeff Jaffe, director ejecutivo del consorcio W3C, cualquier ataque por suplantación de identidad “será prácticamente inviable con este nuevo método de identificación”.
La gran ventaja para los usuarios es que olvidarán las contraseñas y no hará falta tener una lista interminable de posibilidades que cumplan con los requisititos cada sitio.
La biometría es: personal, intransferible, e imperdible (salvo por traumatismos). También las autoridades legales pueden certificar que realmente es la persona que se identifica y se podrá, por ejemplo, firmar documentos online, con la misma validez, y menor complejidad que con la Firma digital.
Cada día existen más dispositivos que incorporan el lector biométrico o una cámara para el reconocimiento facial, pero sin duda, los smartphones y los equipos portátiles son los que más preparados se encuentran para el cambio.
-
Los principales fabricantes son:
Microsoft. Tenía un sistema propio para autenticarse con huella dactilar solo para LDAP, con lo que tiene mucho avanzado y se encuentra haciendo pruebas.
Chrome, Opera y Firefox. se encuentran haciendo pruebas para implantarlo.
Android y Apple. Tienen un sistema propio, y solo han de cumplir con los estándares que se dicten. Por ejemplo, Apple tiene un sistema de reconocimiento facial implementado en su IPhone.
Mientras tanto, las grandes marcas IT ya se encuentran trabajando y haciendo pruebas con ello.