Passwordless, se acabaron las contraseñas

Tiempo de lectura: 3 minutos

Está cambiando el paradigma de autenticación de usuarios y que irá dejando atrás, poco a poco, el uso de contraseñas como única medida de acceso a las herramientas digitales.

Las contraseñas son el método de autenticación más utilizado a nivel global y su uso se extiende tanto a nivel personal (redes sociales, área clientes, etc.), como a nivel corporativo (correo electrónico, etc.). Sin embargo, como demuestra el estudio de NCSB en Reino Unido, “más de 40 millón de usuarios utilizan contraseñas que un ciberdelincuente podría obtener en tan solo un segundo”.

De la misma manera, las contraseñas que son generadas siguiendo unos patrones mucho más avanzados, con diferentes letras, números, caracteres especiales y mayores longitudes, también son vulnerables a otros tipos de ataques como la ingeniería social o el phishing. Además, es muy probable que, una vez conseguida una contraseña, esa misma, sea válida para acceder a otros servicios en Internet. Lo mismo sucede con los gestores de contraseñas que, aunque garantiza el uso de passwords más seguras, siempre existirá una para abrir ese gestor.

Con el objetivo de hacer más seguro el uso de las contraseñas, hace tiempo que se extendió el uso de la autenticación de múltiples factores o MFA por sus siglas en inglés, es decir, además de solicitar la contraseña habitual, se debe acreditar un segundo método de autenticación, como aplicación móvil o biometría.

Por tanto, pronto las contraseñas irán dejando paso a los sistemas passwordless y esto permitirá acreditar nuestra identidad mediante factores biométricos como la huella dactilar o el reconocimiento fácil. Según indica FIDO Alliance, el funcionamiento se divide en dos partes: (1) el registro en un sistema de tipo passwordless y (2) el acceso al sistema.

  1. Alta en el passwordless: este sistema se basa en el uso de clave pública/privada similar a la firma digital, es decir, la clave privada es almacenada de forma segura en el dispositivo y la pública al servidor para ser vinculada con la cuenta de usuario.
  2. Acceso al sistema: el servidor se comunica con el cliente para verificar que se trata de la persona que está indicando y, por otro lado, el usuario confirma que es él mediante el uso de un sistema como el biométrico. De esta forma, ambos sistemas se reconocen mediante las claves públicas y privadas.

Este sistema tiene múltiples beneficios y ayudarán a mejorar la seguridad, no obstante, supone un cambio de paradigma y, como todo cambio, llevará un tiempo y se encontrará con ciertas resistencias.

Por tanto, el actual modelo basado en contraseñas está obsoleto y, por ahora, solo se ha conseguido mejorarlo añadiendo mayor sofisticación y otros métodos complementarios. No obstante, sigue sin poder garantizar el 100% de seguridad, dado que según avanza la tecnología, también avanzan las herramientas que utilizan los ciberdelincuentes para sus ataques.

La puesta en marcha de este nuevo sistema va a suponer un buen impulso también para las personas que no confían en ciertos sistemas informáticos y, además, supondrá una comodidad adicional para los nativos digitales que tienen múltiples cuentas por Internet. Dejará de ser necesario memorizar o almacenar decenas de contraseñas y la autenticación será más rápida; sin necesidad de escribir en el teclado.

Del mismo modo, se abre un nuevo reto para los profesionales del sector y en especial, los programadores y técnicos de sistemas informáticos, y es que deberán tener la capacidad de poder implementar este nuevo sistema de autenticación en sus plataformas. Dado que, una vez se extienda y normalice su uso, no se entenderá que haya que hacer uso de contraseñas para acreditar la identidad digital. En ese sentido, ya existen herramientas como FIDO[1] que permiten hacer uso de sus productos para ser instalados sin conocimientos avanzados en criptografía o directivas como PSD-2 Compliance[2].

En conclusión, estamos ante un profundo cambio en la forma en la que los usuarios vamos a poder identificarnos en las diferentes herramientas digitales y esto va a tener un gran impacto, tanto a nivel de seguridad como de funcionalidad. Asimismo, se puede esperar que tenga un impacto en la generación de confianza sobre un sector de la población que no acaba de ver con buenos ojos facilitar sus datos e interactuar en Internet, y que ven que pueden ser víctimas de ciberataques y robos. Además, se abre un nuevo abanico de posibilidades en el desarrollo del internet de las cosas (IoT[3]), ya que posibilitará la autenticación de estos elementos sin necesidad de contar con teclados en los que escribir las contraseñas, será suficiente con que ambos dispositivos contengan las claves públicas y privadas del usuario. Con todo, estamos ante muy buenas noticias para los usuarios y los técnicos.


[1] FIDO: https://fidoalliance.org/how-fido-works/

[2] PS2 Compliance: https://fidoalliance.org/psd2-compliance/

[3] IoT: https://fidoalliance.org/internet-of-things/

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.