Por qué el futuro no tiene contraseña (y cómo empezar)

Mujer mirando un teléfono inteligente en una mano mientras sostiene la tableta en la otra.
Eugenio Marongiu / Shutterstock.com

¿Estás cansado de recordar o administrar largas listas de contraseñas? Buenas noticias: el futuro no tiene contraseña. Incluso es posible que pueda utilizar la contraseña sin contraseña (o lo suficientemente cerca) para algunos servicios que ya usa en este momento.

¿Qué significa «sin contraseña»?

Un inicio de sesión sin contraseña elimina la necesidad de proporcionar una contraseña, ya sea una que recuerde o que realice un seguimiento en un administrador de contraseñas . Aún necesitará recordar un identificador como un nombre de usuario o una dirección de correo electrónico, pero probará su identidad a través de otros medios.

Existen diversos grados de implementaciones sin contraseña. El objetivo final para muchos es eliminar las contraseñas por completo, lo que significaría que no es posible iniciar sesión con una contraseña en absoluto. Algunos enfoques que ya están en su lugar le permiten iniciar sesión con una contraseña como opción, al mismo tiempo que le permiten verificar su identidad por otros medios.

Para deshacerse de las contraseñas, se utilizan diferentes métodos para verificar que usted es quien dice ser. Esta puede ser una aplicación de autenticación móvil a la que solo usted tiene acceso, datos biométricos como una huella digital o un escaneo facial , un dispositivo físico del mundo real como una tarjeta de acceso o una memoria USB , o enfoques menos seguros como SMS o códigos de correo electrónico.

Memoria USB plateada con forma de llave
Robert Fruehauf / Shutterstock.com

Es posible que deba utilizar más de un método para demostrar su identidad. La autenticación de dos factores ha demostrado la importancia de un enfoque de múltiples frentes y, dependiendo del enfoque adoptado por cualquier servicio al que esté tratando de obtener acceso, eso aún puede ser cierto en el futuro sin contraseña.

Se han logrado avances en la implementación de inicios de sesión sin contraseña gracias a nuevos estándares como la autenticación web (WebAuthn). Este enfoque elimina la necesidad de que los datos biométricos, como registros de huellas dactilares o semejanzas faciales, se almacenen en un servidor central, lo que podría tener impactos devastadores en la seguridad que ni siquiera una violación de contraseña puede igualar.

La autenticación web permite que los datos confidenciales permanezcan en su dispositivo, mientras que solo se envía una clave al servidor. La verificación se realiza localmente en su dispositivo, que luego se verifica utilizando una clave pública en el servidor. Esto elimina la necesidad de proteger la información secreta en un servidor (como una contraseña) ya que el secreto solo necesita existir en su dispositivo local.

Relacionado:  ¿Qué es HDMI VRR en PlayStation 5 y Xbox Series X?

¿Qué beneficios tiene no tener contraseña?

Uno de los mayores beneficios de no tener contraseña es la simplicidad. Si bien la mayoría de la gente ya se ha adaptado al uso de administradores de contraseñas, todavía hay algunas contraseñas (como contraseñas maestras) que deben mantenerse en su cabeza. Después de todo, no puede almacenar la contraseña de la base de datos en la base de datos que contiene sus contraseñas.

Sin contraseña, puede verificar su identidad sin tener que recordar nada. Es posible que deba autenticarse con una aplicación móvil o escanear su rostro o huella digital, y eso es todo.

No todo el mundo utiliza un administrador de contraseñas, aunque debería hacerlo. Algunos todavía confían en el enfoque del “pequeño libro negro”, mientras que otros no usan contraseñas únicas para cada nuevo servicio al que se suscriben. Si bien algunos servicios requieren autenticación de dos factores, muchos no.

Un libro para sus contraseñas e inicios de sesión de Internet (no compre esto)
Tim Brookes

Eche un vistazo a Have I Been Pwned  para ver cuántas violaciones de datos se han asociado con su dirección de correo electrónico y verá rápidamente por qué tantas personas están desesperadas por librar al mundo de las contraseñas.

Al eliminar las contraseñas por completo, elimina un punto débil en la seguridad de la cuenta. Esto no sucederá de la noche a la mañana, y será necesario que muchos acepten un futuro que utiliza métodos alternativos de verificación. El mundo empresarial ya está adoptando soluciones como YubiKey, ya que los costos asociados con las violaciones de contraseñas pueden ser enormes.

Este costo tampoco siempre significa dinero. Muchos servicios, como bancos y fondos de pensiones, requieren que procese el restablecimiento de contraseñas por teléfono o incluso por correo. Esto lleva tiempo tanto para el banco como para el cliente. Las soluciones sin contraseña no siempre estarán libres de fricciones, pero ponen menos énfasis en que el usuario final recuerde o proteja una cadena arbitraria de números, símbolos y letras.

¿Qué servicios le permiten prescindir de la contraseña?

En el momento de redactar este artículo en noviembre de 2021, solo Microsoft le permite utilizar una contraseña sin contraseña . Esto significa que puede eliminar su contraseña de su cuenta por completo y utilizar los servicios de Microsoft, incluidos Xbox, Microsoft 365 y Windows sin tener que escribir o pegar una contraseña.

Relacionado:  Cómo abrir enlaces en Google Sheets con un solo clic

Puede hacer esto descargando la aplicación Microsoft Authenticator para Android o iOS , luego iniciando sesión en su cuenta de Microsoft  en un navegador web. Una vez que haya iniciado sesión, seleccione «Opciones de seguridad avanzadas», luego desplácese hacia abajo hasta Seguridad adicional y haga clic en «Activar» junto a la opción para una cuenta sin contraseña.

Opción de cuenta sin contraseña de Microsoft

Como parte del proceso, se le invitará a guardar algunos códigos de seguridad que podrá utilizar para iniciar sesión en su cuenta de Microsoft en caso de que pierda el acceso a la aplicación Microsoft Authenticator. Siempre puede volver a visitar el sitio web de opciones de seguridad de Microsoft y desactivar la función, que restaura el inicio de sesión con contraseña en su cuenta en una fecha posterior.

Google también se está moviendo hacia un futuro sin contraseña, y la compañía anunció en mayo de 2021 que está «creando un futuro en el que algún día no necesitará una contraseña en absoluto». Si tiene un dispositivo Android, puede usar su teléfono inteligente para iniciar sesión en la web, simplemente inicie sesión en su cuenta de Google, toque «Seguridad» y luego seleccione «Configurar» junto a Use su teléfono para iniciar sesión.

Apple también ha realizado movimientos para implementar inicios de sesión sin contraseña en la web en Safari con iOS 15 y macOS 12 , lanzados a fines de 2021. La nueva función de «claves de acceso en iCloud Keychain» ahora está disponible para que los desarrolladores comiencen a realizar pruebas, aunque no hay nada listo o accesible. en construcciones de consumo hasta el momento.

Garret Davidson de Apple explicó en una sesión de WWDC 2021 cómo su enfoque aprovecha WebAuthn utilizando un par de claves públicas y privadas:

Con pares de claves públicas / privadas, en lugar de una contraseña, su dispositivo crea un par de claves. Una de estas claves es pública; tan público como su nombre de usuario. Se puede compartir con cualquier persona y no es un secreto. La otra clave es privada … cuando crea una cuenta, su dispositivo genera estas dos claves asociadas. Luego comparte la clave pública con el servidor.

Ahora, el servidor tiene una copia de la clave pública … la clave privada permanece en su dispositivo, y solo ese dispositivo es responsable de protegerlo. Más tarde, cuando quieras iniciar sesión, no envíes ningún secreto al servidor. En su lugar, demuestra que es su cuenta demostrando que su dispositivo conoce la clave privada asociada con la clave pública de su cuenta.

En un lenguaje sencillo: su dispositivo usa la clave pública para verificar, localmente en su dispositivo, que usted es quien dice ser a través de una «firma». Dado que solo su clave privada puede producir una firma válida, solo un dispositivo que conozca su clave privada puede pasar la prueba. Luego, el servidor verifica su firma con la clave pública y decide si le otorga acceso.

Relacionado:  Cómo enviar enlaces a una PC con Windows desde su teléfono Android
Ejemplo de WebAuthn en la sesión de Apple WWDC 2021
manzana

Esta es una descripción general básica de cómo funciona WebAuthn y cómo Apple pretende usarlo para reemplazar las contraseñas en sus dispositivos cuando se combina con tecnologías como el reconocimiento facial y el escaneo de huellas dactilares.

Ya puede desactivar los requisitos de contraseña para los pagos de Apple Pay , los inicios de sesión del dispositivo y las descargas de la App Store en su iPhone, iPad y Mac, pero esto lleva el mismo enfoque un paso más allá y lo extiende a otros servicios.

Un enfoque sin contraseña no es perfecto

Ninguna solución es perfecta, a prueba de piratería o completamente infalible. Podría perder el acceso a un dispositivo o dejar algo conectado que podría poner en riesgo sus cuentas. Incluso Face ID y Touch ID pueden explotarse en individuos dormidos o inconscientes, o creando facsímiles realistas de los datos biométricos que están buscando.

Quizás el mayor obstáculo será la adopción y convencer a la mayoría de las personas de que es mejor dejar de lado sus contraseñas en favor de una nueva forma de hacer las cosas.

Pero una solución imperfecta no es motivo para descartarla por completo. Las contraseñas están desactualizadas y son poco prácticas, y es hora de seguir adelante. La autenticación de dos factores tampoco es perfecta, pero hay razones por las que empresas como Apple (y pronto Google) la exigen.

Lo mismo ocurre con los administradores de contraseñas. Descubra por qué  utilizar su navegador web como administrador de contraseñas puede ser una mala idea .