imágenes falsas
Durante más de una década, se nos prometió que un mundo sin contraseñas está a la vuelta de la esquina y, sin embargo, año tras año, este nirvana de seguridad demuestra estar fuera de nuestro alcance. Ahora, por primera vez, una forma viable de autenticación sin contraseña está a punto de estar disponible para las masas en la forma de un estándar adoptado por Apple, Google y Microsoft que permite contraseñas multiplataforma y multiservicio.
Los esquemas de eliminación de contraseñas impulsados en el pasado sufrieron una serie de problemas. Una deficiencia clave era la falta de un mecanismo de recuperación viable cuando alguien perdía el control de los números de teléfono o los tokens físicos y los teléfonos vinculados a una cuenta. Otra limitación fue que, en última instancia, la mayoría de las soluciones no lograron ser, de hecho, verdaderamente sin contraseña. En su lugar, les dieron a los usuarios opciones para iniciar sesión con un escaneo facial o una huella digital, pero estos sistemas finalmente recurrieron a una contraseña, y eso significó que el phishing, la reutilización de contraseñas y los códigos de acceso olvidados, todas las razones por las que odiamos las contraseñas para empezar, no no te vayas
Un nuevo enfoque
Lo que es diferente esta vez es que Apple, Google y Microsoft parecen estar de acuerdo con la misma solución bien definida. No solo eso, sino que la solución es más fácil que nunca para los usuarios y es menos costosa de implementar para grandes servicios como Github y Facebook. También ha sido minuciosamente diseñado y revisado por expertos en autenticación y seguridad.
Alianza FIDO
Los métodos actuales de autenticación multifactor (MFA) han logrado avances importantes en los últimos cinco años. Google, por ejemplo, me permite descargar una aplicación de iOS o Android que utilizo como segundo factor al iniciar sesión en mi cuenta de Google desde un dispositivo nuevo. Basado en CTAP, abreviatura de cliente a protocolo de autenticación, este sistema utiliza Bluetooth para garantizar que el teléfono esté cerca del nuevo dispositivo y que el nuevo dispositivo esté, de hecho, conectado a Google y no a un sitio disfrazado de Google. Eso significa que no es phishing. El estándar garantiza que el secreto criptográfico almacenado en el teléfono no se pueda extraer.
Google también proporciona un Programa de Protección Avanzada que requiere claves físicas en forma de dongles independientes o teléfonos de usuario final para autenticar los inicios de sesión desde nuevos dispositivos.
La gran limitación en este momento es que MFA y la autenticación sin contraseña se implementan de manera diferente, si es que lo hacen, por cada proveedor de servicios. Algunos proveedores, como la mayoría de los bancos y servicios financieros, aún envían contraseñas de un solo uso a través de SMS o correo electrónico. Reconociendo que esos no son medios seguros para transportar secretos sensibles a la seguridad, muchos servicios han pasado a un método conocido como TOTP (abreviatura de contraseña de un solo uso basada en el tiempo) para permitir la adición de un segundo factor, que aumenta efectivamente la contraseña con el factor “algo que tengo”.
Las claves de seguridad físicas, los TOTP y, en menor medida, la autenticación de dos factores a través de SMS y correo electrónico representan un importante paso adelante, pero quedan tres limitaciones clave. En primer lugar, los TOTP generados a través de aplicaciones de autenticación y enviados por mensaje de texto o correo electrónico son susceptibles de suplantación de identidad, al igual que las contraseñas normales. En segundo lugar, cada servicio tiene su propia plataforma MFA cerrada. Eso significa que incluso cuando se utilizan formas de MFA que no permiten la suplantación de identidad, como claves físicas independientes o claves basadas en teléfonos, un usuario necesita una clave separada para Google, Microsoft y cualquier otra propiedad de Internet. Para empeorar las cosas, cada plataforma de sistema operativo tiene diferentes mecanismos para implementar MFA.
Estos problemas dan paso a un tercero: la total inutilizabilidad para la mayoría de los usuarios finales y el costo y la complejidad no triviales que enfrenta cada servicio cuando intenta ofrecer MFA.