Header Ads Widget

Ticker

6/recent/ticker-posts

La industria de la tecnología quiere eliminar la contraseña. ¿O lo hace?

 

Tachadas las contraseñas escritas en un cuaderno.

Algunas personas no pueden dejar de hablar sobre la muerte de la contraseña. Las contraseñas son antiguas, inseguras y se filtran fácilmente. Pronto, todos usaremos biometría, claves de seguridad de hardware y otras soluciones futuristas, ¿verdad? Bueno, no tan rápido.

Hablamos con el jefe de seguridad de 1Password, Jeffery Goldberg, quien dijo que es "cautelosamente optimista de que esta vez podríamos ver una mella en el problema de la contraseña".

Esa es la visión optimista, y está lejos de la muerte de las contraseñas.

Por qué la gente quiere eliminar la contraseña

Al discutir el objetivo de la compañía de " Construir un mundo sin contraseñas ", en mayo de 2018, el equipo de seguridad de Microsoft escribió:

“A nadie le gustan las contraseñas. Son inconvenientes, inseguros y costosos. De hecho, nos desagradan tanto que hemos estado ocupados en el trabajo tratando de crear un mundo sin ellos, un mundo sin contraseñas ".

Las contraseñas se han vuelto más molestas con el tiempo y todos nos hemos dado cuenta de los riesgos de reutilizar una. Si usa la misma contraseña en varios sitios y hay una fuga de contraseña, la suya puede usarse para acceder a su cuenta en otro sitio web. Por lo tanto, debe elegir una contraseña única y segura para cada servicio que utilice. Atrás quedaron los días de reutilizar una contraseña corta y simple en un puñado de sitios web.

Para la mayoría de las personas que no tienen recuerdos sobrehumanos, es imposible recordar una contraseña única y segura para cada cuenta en línea. Es por eso que recomendamos administradores de contraseñas: recuerdan todas esas contraseñas únicas y seguras por usted. Solo tienes que recordar tu contraseña maestra, que es mucho más fácil que recordar 100 y mucho más segura que reutilizar la misma.

Sin embargo, incluso con un administrador de contraseñas, esto no es completamente seguro. Alguien con un keylogger en su sistema podría capturar su contraseña e iniciar sesión como usted. Es por eso que los servicios agregan seguridad adicional. A menudo escribimos una contraseña y luego tenemos que autenticarnos por segunda vez con un código o clave.

¿Existe una forma mejor?

¿Qué podría reemplazar la contraseña?

Una llave de seguridad USB física Yubikey conectada al puerto USB de una computadora portátil.

Goldberg dijo que ha visto "plan tras plan" propuesto para eliminar contraseñas durante los últimos veinte años, muchos de los cuales no aprendieron de lo que había fallado en el pasado. Pero los más nuevos podrían tener más posibilidades de éxito debido a avances como dispositivos locales más potentes.

La biometría puede reemplazar una contraseña. Puede usar Touch o Face ID (biometría) para iniciar sesión en su iPhone en lugar de escribir un PIN. Los teléfonos Android también tienen funciones de inicio de sesión de huellas digitales y rostro.

Ahora también puede crear cuentas de Microsoft "sin contraseña"  para iniciar sesión en Windows. Su nombre de usuario es su número de teléfono y la "contraseña" que escribe es un código enviado a su número de teléfono por SMS.

También puede utilizar una  clave de seguridad física en  lugar de una contraseña para autenticar sus cuentas en línea. Guarde la llave con usted (incluso puede guardarla en su llavero) y usarla a través de USB, NFC o Bluetooth cuando sea el momento de iniciar sesión.

Los teléfonos también pueden reemplazar las contraseñas. Google ahora permite que los dispositivos Android funcionen como teclas FIDO2También es posible que deba autenticarse con una huella digital en su teléfono al iniciar sesión en un sitio web en su computadora portátil.

Muchas empresas intentan reducir la dependencia de las contraseñas ofreciendo proveedores de "inicio de sesión único". Esto es cuando inicia sesión en Facebook, Google, etc., y luego usa esa cuenta para iniciar sesión en otros servicios, sin necesidad de contraseñas adicionales.

Los "reemplazos" de contraseñas no reemplazan las contraseñas

Una pantalla de código de acceso del dispositivo.

Sin embargo, aquí hay un gran problema. Las tecnologías que se promocionan como “reemplazos” de contraseñas no son en realidad reemplazos, al menos todavía no.

Los datos biométricos, como Face o Touch ID, aún requieren un código de acceso y una contraseña de ID de Apple en su dispositivo. Algunas tareas también requieren un PIN para fines de cifrado en segundo plano. Las funciones biométricas en Android y Windows Hello en Windows 10 funcionan de la misma manera, básicamente, como una función de conveniencia. Es más fácil iniciar sesión en su dispositivo porque no tiene que escribir una contraseña cada vez, pero no reemplaza su contraseña.

Una cuenta sin contraseña que te envíe códigos telefónicos tampoco es genial. En lugar de una contraseña para su cuenta, este servicio genera una nueva cada vez que intenta iniciar sesión y se la envía por SMS. Esto es menos seguro que el método tradicional de una sola contraseña más un código de seguridad que se le envía al iniciar sesión.

Desafortunadamente, los atacantes roban fácilmente números de teléfono en muchas situaciones, lo que hace que esto sea menos seguro. Es un gran método para llegar a personas en países donde los números de teléfono son omnipresentes y reduce la fricción de registrarse para obtener una cuenta, razón por la cual Amazon también ofrece esto. Pero no es una buena solución reemplazar las contraseñas.

La mayoría de los servicios que han adoptado claves de seguridad físicas las utilizan como una opción de autenticación adicionalAún debe iniciar sesión con su contraseña y luego proporcionar la clave de seguridad como confirmación secundaria para ingresar. La capacidad de usar una clave sin una contraseña aún está muy lejos.

También existe un problema de privacidad con los servicios de inicio de sesión único. Cuando hace clic en "Iniciar sesión con Google" o "Iniciar sesión con Facebook", el operador del servicio, Google o Facebook, sabe a qué se está registrando.

Siempre habrá contraseñas (en segundo plano)

Incluso si el sueño de Google de reemplazar las contraseñas con teléfonos se hace realidad, no eliminará la contraseña. The Verge resumió los planes de Google de esta manera:  "Si ya ha iniciado sesión en su teléfono, entonces esto podría usarse para 'arrancar' el próximo dispositivo en el que desea iniciar sesión en su cuenta de Google".

Es posible que evite usar su contraseña durante mucho tiempo, pero aún está en segundo plano. Después de todo, lo necesitará si pierde todos sus dispositivos.

Las contraseñas todavía están muy extendidas. Son fáciles de configurar y usar. Los “reemplazos” de contraseñas ofrecen más conveniencia o seguridad adicional. Pero siempre necesitará una forma de recuperar el acceso si pierde su dispositivo y no puede usar su biometría o seguridad de hardware.

“Creo que siempre habrá casos extremos que requieran contraseñas”, dijo Matt Davey, director de operaciones de 1Password. Por ejemplo, Iniciar sesión con Apple en iOS 13 ofrece una opción de inicio de sesión basada en la web que usa la contraseña de su ID de Apple cuando inicia sesión en un dispositivo que no es de Apple. Una contraseña funciona en todas partes y es el valor predeterminado universal cuando no se encuentran disponibles características biométricas o de seguridad de hardware sofisticadas.

Como dijo Goldberg, "las contraseñas son realmente muy fáciles" de implementar para los sitios web. "Siguen siendo lo más sencillo de utilizar para los operadores de servicios".

Es por eso que 1Password es optimista sobre el futuro de los administradores de contraseñas. La compañía dijo que había visto más usuarios nuevos incluso a medida que crece la competencia, y compañías como Apple, Google y Mozilla toman más en serio la administración de contraseñas.

¿Qué depara el futuro?

El sueño de eliminar la contraseña está muy lejos. Incluso si el proceso va bien, el mejor de los casos es que avanzaremos lentamente, con alternativas más fáciles a las contraseñas.

Algún día, las contraseñas pueden quedar tan relegadas a un segundo plano que se convertirán en un método de recuperación de cuentas olvidado hace mucho tiempo. Pero probablemente estarán presentes durante mucho tiempo. La batalla para desterrarlos del uso diario para la mayoría de la gente será larga y reñida. ¿Pero matar las contraseñas por completo? Eso es aún más difícil de imaginar.

Publicar un comentario

0 Comentarios