El principio del fin de las contraseñas

29 mayo, 2018
Branddocs
Identidad

La creación de una nueva cuenta en línea casi siempre requiere dos componentes básicos: un nombre de usuario y una contraseña. Aunque la segunda parte es necesaria para proteger la primera, no está exenta de problemas.

Las contraseñas pueden suponer una gran debilidad para la seguridad general de la web y es difícil crear y recordar una buena. A pesar de las advertencias en contra de hacerlo, demasiada gente sigue seleccionando contraseñas comunes y fáciles como «contraseña123».Sorprendentemente, los datos del administrador de contraseñas en línea Keeper muestran que hasta un 17 por ciento de las personas utilizan «123456» como contraseña para una cuenta en línea. Son fáciles de recordar, pero también fáciles de descifrar. De hecho, un empleado de negocios tiene de promedio 191 cuentas con contraseñas.

La piratería informática de estas simples contraseñas se ha convertido en un grave problema para la seguridad web y la protección en línea. El informe de Investigaciones de Incumplimiento de Datos de Verizon de 2018 (Verizon’s 2018 Data Breach Investigations Report), concluye que las contraseñas robadas o débiles representan el 81 por ciento de las filtraciones de datos. Esto tiene un enorme impacto en la integridad de los datos y en el negocio en línea en todo el mundo.

Las mejores prácticas tradicionales en torno a las contraseñas requieren una mezcla de caracteres que incluyen letras, números y símbolos, son largos, cambian a menudo, difíciles de adivinar, no se escriben en ninguna parte y son únicos para cada cuenta o inicio de sesión. «J&x$O#!g%e4T1@byC”,es un ejemplo de una contraseña segura. Tratar de memorizar algo así no es tarea fácil ni agradable, sobre todo cuando hay que cambiarla, memorizar una nueva en unos meses, y después repetirlo en varios sitios web.

La creación de contraseñas también puede crear un punto de fricción para el comercio electrónico, los servicios web y otras funciones en línea diarias – una contraseña olvidada o perdida puede llevar a la frustración o al abandono.

Se plantea otro conjunto de riesgos para las empresas. ¿Existe una forma mejor de asegurar la integridad de la cuenta a la vez que se facilita el proceso de inicio de sesión a los usuarios legítimos?

Introducción de un nuevo estándar

FIDO Alliance, el ecosistema más grande del mundo para la autenticación interoperable basada en estándares, está trabajando con el Consorcio Mundial de la Red (World Wide Web Consortium-W3C) para avanzar una nueva idea en la fase de Recomendación Candidata (CR). Conocido como Autenticación web (WebAuthn), este nuevo protocolo ha sido diseñado y propuesto para ayudar a desarrollar métodos de autenticación web más simples, pero más potentes a usuarios de todo el mundo.

Aunque la adopción de la web es casi universal y la gente de todo el mundo la está utilizando para la comunicación, los servicios financieros, el comercio electrónico y mucho más, la seguridad de la web es una preocupación global. Por ello el antiguo estándar de contraseñas constituye uno de los puntos más débiles y el mayor reto a la hora de hacer de una web un lugar más fiable para hacer negocios. Como un nuevo estándar, WebAuthnpretende abordar este problema de frente.

En lugar de confiar en una complicada combinación de caracteres, el protocolo WebAuthn promete proporcionar mejoras significativas tanto para la facilidad de uso como para la seguridad web. Para el usuario, la norma propuesta consiste en un procedimiento de inicio de sesión más natural que implique un solo gesto, como un toque con el dedo. Este método también funcionará en todos los dispositivos y servicios, ofreciendo una forma más rápida y conveniente de acceder a una cuenta de forma segura.

Fido Allianceincluye Google, Safari, Microsoft, Opera y Mozilla – todos los principales navegadores web. Como dijo Brett McDowell, director ejecutivo de FIDO Alliance, a eWEEK: «Esperamos beneficiarnos de toda la comunidad de navegadores y servidores de aplicaciones web que apoyan el estándar».

Adopción generalizada de tecnologías escalables para ayudar a eliminar contraseñas

Otras alternativas escalables en el mercado que buscan resolver el problema de las contraseñas incluyen la autenticación 2FA (Two-Factor Authentication)o la autenticación multi-factor. Estos sistemas dependen de que el usuario reconozca el control de un canal de comunicación confirmado, como una dirección de correo electrónico, un número de SMS (texto) o una aplicación de autenticación. Si utiliza un canal de correo electrónico, al hacer clic en un enlace especial con una contraseña de una sola vez (OTP-one time password) se demostrará que el usuario tiene acceso a esa cuenta de correo electrónico en particular. O bien, se puede enviar un mensaje de texto al número registrado con una OTP e ingresar ese número en un formulario, esto indica que el usuario tiene acceso a ese número de teléfono en particular. Del mismo modo, un usuario puede introducir un número OTP en un formulario desde una aplicación de autenticación.

Intel® Authenticate Solution protege las identidades en el hardware en lugar de en el software. Permite que múltiples factores autentiquen a las personas, incluyendo reconocimiento facial, huellas dactilares, proximidad de teléfonos Bluetooth, PIN protegido y ubicación. Al estar integrada en el sistema físico, Authenticate Solutionprotege todas las operaciones en el equipo, no sólo en los sitios y servicios basados en la Web.

Existen otras soluciones que utilizan la biometría para sustituir las contraseñas, que van desde Windows Hello, un sistema de seguridad biométrica de nivel empresarial integrado en Windows 10, hasta el Touch ID de Apple, disponible en los teléfonos Apple desde 2013. Aunque ofrecen seguridad a nivel de sistema, estos son (hasta la fecha) más para iniciar sesión en el sistema y sitios web específicos, en lugar de sitios web independientes.

Al igual que con cualquier nueva tecnología, la adopción de alternativas de contraseñas llevará un tiempo hasta pasar de ser una opción en algunos sitios a un requisito en cada inicio de sesión. Dados los riesgos de seguridad de las contraseñas y los problemas del público al usarlas, estas soluciones ofrecen nuevas e innovadoras formas de reemplazarlas con mayor seguridad y comodidad.