Apple, Google y Microsoft quieren matar contraseñas En su lugar, proponen adoptar universalmente el sistema FIDO, o “Identidad rápida en línea”, que no utiliza contraseñas sino “claves” físicas.
Este sistema, en lugar de una larga cadena de caracteres, pregunta a la aplicación o sitio web en el que está ingresando para enviar una solicitud de autenticación al teléfono. A partir de ahí, el teléfono debe estar desbloqueado, autenticado con algún tipo de pin o biométrico, para poder continuar con el proceso de inicio de sesión.
También hay dispositivos que se conectan a través de USB o por NFC, es decir, por proximidad (como cuando colocamos la tarjeta SUBE en el lector del torniquete), llamadas llaves FIDO. Durante mucho tiempo han sido recomendados por expertos como un segundo factor de autenticación para ingresar a nuestras cuentas: tener una contraseña y una clave FIDO para aquellos servicios que son compatibles, tales como Windows, Google o redes sociales.
Llave Fido, dispositivo de seguridad. Foto: Shutterstock
La ONG FIDO, con más de 250 miembros entre empresas y gobiernos, define estándares de autenticación basado en dispositivos físicos. Esta alianza dijo el jueves que está trabajando con las tres empresas para comenzar a ofrecer tecnología sin contraseña para sitios web y aplicaciones.
En lugar de utilizar inicios de sesión con contraseña poco fiables, las aplicaciones y los sitios web podrían identificar quién es usted con un lector de huellas dactilares, un escáner facial o incluso con tu teléfono. De esta manera, los principales proveedores de sistemas operativos quieren “ampliar el soporte para un estándar común de inicio de sesión sin contraseña creado por FIDO Alliance y Consorcio Mundial de la red“.
Algunos sistemas push 2FA funcionan a través de Internet, pero este nuevo esquema FIDO funciona a través de Bluetooth. Como explica el libro blanco, “Bluetooth requiere proximidad físicalo que significa que ahora tenemos una forma resistente al phishing de acceder al teléfono del usuario durante la autenticación“.
Muchas empresas llevan años intentando prescindir de las contraseñas, pero conseguirlo no ha sido nada fácil. Google tiene una línea de tiempo completa en su publicación de blog de 2008 donde brinda detalles.
El problema de la contraseña
Los usuarios casi nunca usan claves seguras. Foto AFP
Las contraseñas son un método muy antiguo para acceder a los servicios, no solo en línea, sino en la historia en general. El problema que tienen está ligado a una máxima: cuanto más fácil es para el usuario, menos seguridad. Y cuanto mayor sea la seguridad, menor será la usabilidad.
Esto significa que si una contraseña es demasiado fácil de recordar, será insegura. Y si otra clave tiene muchos caracteres, es larga, usa mayúsculas, minúsculas y símbolos, será muy segura. Pero, ¿Quién puede recordar estas fórmulas?
El punto es que las contraseñas funcionan bien si son largas, aleatorias, secretas y únicas, pero el elemento humano de las contraseñas siempre es un problema: no somos buenos para memorizar cadenas largas y aleatorias de caracteres.
Los usuarios suelen tener la tentación de escribir contraseñas fáciles para recordarlas, pero esto es una invitación a ser pirateado.
Ahí radica la practicidad de las llaves fido, además de su seguridad: mientras aplicaciones como Google Authenticator piden ingresar un código de 6 dígitos que tenemos que ir a buscar en el celular, la llave ofrece una forma más directa de acceder.
Eso sí, siempre después de haber introducido la contraseña: si la clave FIDO es robadacon ella no podrán hacer nada ya que necesitarán una contraseña que solo nosotros conocemos.
Por ello, el sistema FIDO aparece como una alternativa viable a las contraseñas y sus vulnerabilidades.
