¿El fin de las contraseñas?

Un nuevo compromiso de Google, Apple y Microsoft promete el fin de la contraseña, pero ¿está el mundo listo para los escaneos biométricos y las identificaciones faciales?

El Día Mundial de la Contraseña, el primer jueves de cada mayo, se creó en 2013 para alentar al mundo a usar contraseñas fuertes y seguras.

Este año, sin embargo, las cosas han sido bastante diferentes. En lugar de las exhortaciones habituales para evitar los nombres de las mascotas y seguir cambiando las contraseñas, los principales proveedores de tecnología abogan por abolir las contraseñas por completo.

Estándares FIDO (Fast Identity Online)

Google, Apple y Microsoft se han comprometido a implementar el inicio de sesión sin contraseña en sus plataformas móviles, de escritorio y de navegador: Android y Chrome; iOS, macOS y Safari; Windows y Edge: basado en los estándares de inicio de sesión  de FIDO.

Esto significa usar el dibujo de patrón, la huella digital, el escaneo facial o, de hecho, el PIN en el teléfono de un usuario que normalmente se usa para desbloquearlo.

“Su teléfono almacenará una credencial FIDO llamada clave de acceso que se utiliza para desbloquear su cuenta en línea. La clave de acceso hace que iniciar sesión sea mucho más seguro, ya que se basa en criptografía de clave pública y solo se muestra en su cuenta en línea cuando desbloquea su teléfono. ” explica Sampath Srinivas, PM director de autenticación segura en Google y presidente de FIDO Alliance. “Para iniciar sesión en un sitio web en su computadora, solo necesitará su teléfono cerca y simplemente se le pedirá que lo desbloquee para acceder. Una vez que haya hecho esto, no necesitará su teléfono nuevamente y podrá iniciar sesión simplemente desbloqueando su computadora”,

La verdad es que las contraseñas han hecho un mal trabajo en la protección de los usuarios, sobre todo porque dependen del comportamiento sensato del usuario. Investigaciones recientes  han demostrado que las contraseñas más populares utilizadas por los directores ejecutivos son ‘123456’ y ‘qwerty’, y los usuarios que se encuentran más abajo en la cadena de comando no son más cuidadosos.

Mientras tanto, la práctica generalizada de usar la misma contraseña para varios sitios significa que hay un próspero comercio delictivo: el verano pasado, de hecho se filtró en línea una colección de contraseñas que contenía 8.400 millones de entradas.

Adopción de la industria

Las empresas esperan que los desarrolladores de aplicaciones y sitios web de terceros adopten el nuevo sistema y utilicen las API disponibles en los navegadores y sistemas operativos.

“Esta nueva capacidad marcará el comienzo de una nueva ola de implementaciones FIDO de baja fricción junto con la utilización continua y creciente de claves de seguridad, brindando a los proveedores de servicios una gama completa de opciones para implementar una autenticación moderna y resistente al phishing”, dice Andrew Shikiar, ejecutivo. director y CMO de la Alianza FIDO.

Hay algunas preocupaciones en torno a la dependencia de un teléfono.

“Incluso si pierde su teléfono, sus claves de acceso se sincronizarán de forma segura con su nuevo teléfono desde la copia de seguridad en la nube, lo que le permitirá continuar justo donde lo dejó su dispositivo anterior”, dice Srinivas.

Sin embargo, hay dudas sobre qué sucede en caso de que un usuario pierda tanto su teléfono como su contraseña, algo que las empresas no han aclarado.

El sistema también depende de Bluetooth, que puede ser propenso a problemas de conexión y no necesariamente será adecuado para dispositivos más antiguos. Tomará algún tiempo, y una buena cantidad de trabajo, para que la tecnología esté disponible en todos los dispositivos y para que los desarrolladores de sitios web y aplicaciones la aprovechen.

En la práctica, estos problemas significan que es probable que la adopción sea lenta y gradual. Las contraseñas seguirán existiendo durante muchos años.