La acción en accionistas e inversores

Passwordless: El final de las contraseñas

En el mundo digital actual, prácticamente cualquier acceso web se realiza mediante una validación clásica con usuario y contraseña. Esto lleva siendo así desde mucho tiempo, casi tanto como el tiempo que los profesionales de ciberseguridad insisten en la importancia de establecer unas contraseñas seguras.

Foto de Daniel Consentini

Daniel Consentini Seguir

Tiempo de lectura: 5 min

Hoy en día, existen soluciones que juegan en favor de usuarios y protección. Por un lado, establecen un estándar de seguridad robusto, y por otro, simplifican la autenticación eliminando las contraseñas. Hablamos del que posiblemente sea el principio del fin de las contraseñas tradicionales tal y como las conocemos, hablamos de Passwordless.

Identificando el problema

Antes de entrar en detalles sobre el concepto Passwordless, es necesario poner en situación y saber cuál es el problema que trata de resolver. Actualmente, podríamos decir que las contraseñas tradicionales fallan en concepto y uso, pero ¿qué queremos decir con esto?

De forma general, gran parte de la seguridad de las contraseñas se basa en la complejidad de estas y su tratamiento. Como ejemplo, una contraseña con 30 caracteres combinados con mayúsculas, minúsculas, números y caracteres especiales, es más segura que una contraseña de 6 caracteres solo formada por números.

Además, esta contraseña que definimos como “super segura” es única para cada sitio web. Es decir, cada entorno que usamos tiene una contraseña de 30 caracteres diferentes que cambiamos regularmente.

Siendo sinceros esto no lo cumple nadie. Es imposible recordar un listado de contraseñas de este tipo de forma mental. Además, como concepto, también tiene sus debilidades pues son muchos los ataques en los que incluso no es necesario ni saber la contraseña en “texto plano”. Es decir, en ciertos escenarios, aunque tengamos una contraseña de 60 caracteres no sería suficiente.

Alternativas al uso de las contraseñas

Dado el problema con el uso de las contraseñas se han planteado diferentes alternativas con diferentes enfoques. Son medidas válidas y recomendables que podemos usar para proteger mejor nuestras cuentas.

Gestores de contraseñas

Los sistemas de gestión de contraseñas se comportan como contenedores de almacenamiento de contraseñas. Además, permiten la generación de nuevas claves cumpliendo los estándares de seguridad.

Su tipología es diversa, podemos encontrar estas herramientas como servicio en la nube, o aplicaciones locales. Igualmente, pueden tener asociado un coste dependiendo de la elección, o tratarse de soluciones completamente gratuitas.

Para este tipo de herramientas, podríamos decir que el “talón de Aquiles” es el acceso, donde tendremos que usar un mecanismo de autenticación (como una contraseña) para acceder a todo nuestro entorno. Además, su uso no está muy extendido.

Doble factor de autenticación

Lo que se conoce por sus siglas como 2FA (o MFA si hablamos de múltiple factor), considera una de las mejores medidas de seguridad para la protección de cuentas actualmente. Este tipo de configuraciones implican una segunda validación adicional a la contraseña que, normalmente, es realizada por algo que tenemos, como un dispositivo móvil.

Los sistemas de doble factor deberían ser de carácter obligatorio pues la seguridad implementada aumenta enormemente. A pesar de ello, se pueden encontrar ciertos ataques de ingeniería social o aplicaciones maliciosos contra este tipo de sistemas.

Passwordless para salvarnos a todos

Llegados a este punto podemos entender que las contraseñas en sí mismas son un problema, y las soluciones planteadas, aumentan bastante la seguridad, pero todavía tienen algún riesgo asociado. En este escenario, aparece Passwordless como posible solución.

El principal objetivo y base de la arquitectura Passwordsless, es la idea de eliminar las contraseñas de la ecuación en un sistema de autenticación, y esto tiene su sentido, pues como hemos visto representan el eslabón más débil de la cadena.

Para ello, requiere un cambio de mentalidad, con esta implementación nuestra contraseña será un factor que realmente nos identifique unívocamente, y no solo unos caracteres complejos de recordar. Es decir, es estos sistemas estamos sustituyendo la contraseña tradicional por una huella dactilar, un reconocimiento facial o un patrón, entre otros muchos ejemplos.

Su funcionamiento se basa en la combinación de varias tecnologías como es la criptografía asimétrica y el doble factor de autenticación. De esta forma, cuando se produce una llamada de autenticación sin contraseña, se solicita acceso a la clave privada. Esta clave se encontrará localizada en un dispositivo externo y estará vinculada, normalmente, a un elemento de identificación.

Tipos de factores de autenticación sin contraseña

Como se comentaba anteriormente, el proceso de autenticación sin contraseña solicita una identificación a un dispositivo externo para realizar la correspondiente comprobación. Esta solicitud puede darse de varias formas, siendo algunas de ellas las que se destacan a continuación:

  • Aplicaciones de autenticación: Aunque normalmente estas aplicaciones se conocen como sistemas de verificación de dos pasos, muchas de ellas también cubren las funcionalidades de Passwordless
  • Notificaciones PUSH: En el dispositivo móvil nos salta una notificación en el momento de la autenticación confirmando que somos nosotros quienes queremos acceder.
  • Llaves de seguridad: No son muy conocidas, pero poco a poco van entrando más en escena. Las llaves de seguridad (que suelen ser como un pendrive) contienen la clave privada de la autenticación. Son dispositivos offline que solo se requieren en la autenticación y proporcionan un nivel de seguridad alto.
  • Biometría: Normalmente se enlaza con alguno de los mecanismos anteriores, la biometría se solicita para identificarnos de forma univoca.

Como detalle, mencionar que algunas de estas vías de autenticación pueden seguir estándares públicos desarrollados para este fin. Uno de los más populares y conocidos es el FIDO2, que recoge las especificaciones necesarias para una autenticación segura.

Disponibilidad y uso

Los sistemas Paswordless no son algo nuevo, llevan varios años entre nosotros, pero si es cierto que su desarrollo e implementación en los diferentes entornos es algo pendiente. Aun así, se pueden encontrar ejemplos como los sistemas operativos Android en los dispositivos móviles, o Windows 10 en el escritorio.

Aunque queda un largo camino por recorrer, su uso cada vez se extiende más y con ello, el nivel de protección que adquieren nuestras cuentas. Desde luego que se trata de una medida altamente recomendable pues ganamos en seguridad y, además, nos quitamos las molestas contraseñas de la ecuación. Se puede decir que, con esta característica, todos ganamos (menos los malos).

Compártelo en tus redes sociales

#

La palabra de la semana

Liderazgo

Lo más leído en la última semana :: TOP 5

Historia y evolución de internet.
  1. Historia de Internet: ¿cómo nació y cuál ha sido su evolución?  
    Fotografía de Telefónica
  2. 7 ventajas y desventajas de las TIC en la educación 
    Fotografía de Telefónica
  3. Tecnología y medio ambiente: una lucha entre daños y beneficios
    Fotografía de Yanina Chalup
  4. Simplificación regulatoria: Clave para el futuro de las telcos en la UE
    Fotografía de Juan Luis Redondo Maíllo
    Fotografía de Jaime Galán
  5. Estar donde suceden las cosas es lo mejor que le puede pasar a un periodista deporti...
    Fotografía de Noemí de Miguel

Contenidos relacionados

Medios de comunicación

Contacta con nuestro departamento de comunicación o solicita material adicional.