Passwordless: autenticación sin contraseñas

Cada día amanecemos con una nueva fuga de datos. ¡Parece increíble!, pero es real, son muchas las empresas de gran renombre que se ven afectadas, Facebook, Dropbox, Adobe … y todas ellas, con un factor común, contraseñas comprometidas. 

Ante los phishing sofisticados, 'ataques de fuerza bruta', ingeniería social o similares, las contraseñas son la primera, y en muchas ocasiones, la única línea de defensa contra los ciberataques.

Cuando los cibercriminales llegan a obtener las contraseñas, la información se desborda, las “puertas se abren" y cualquier tipo de actividad o programa malicioso puede colarse en los sistemas de la organización. 

Si bien la contraseña, hace tiempo, fue una forma confiable de seguridad, su reputación ha ido disminuyendo a lo largo de los años y su capacidad de fallo se ha demostrado una y otra vez. Incluso durante su apogeo, la combinación de nombres de usuario y contraseña eran una estrategia de seguridad imperfecta. 

Con la multitud de cuentas online en Amazon, Netflix, PayPal, Uber, dos o más cuentas de bancos, varios perfiles en redes sociales y múltiples direcciones de correo electrónico tanto personales como de trabajo, es muy normal que un usuario normal se vea obligado a  memorizar hasta 92 cuentas/contraseñas distintas.

La autenticación multifactor debería ser un requisito indiscutible en los desarrollos, no solo para la seguridad de los usuarios finales, sino también para proteger nuestros sistemas internos.  No es un método de identificación muy utilizado, aunque algunas empresas ya lo han implementado,  como es el caso de  Movistar  que utiliza el sistema de seguridad  Latch en la web.

A pesar de todos los fallos, las contraseñas son tan comunes como los portátiles o los móviles. Un sistema que a nadie le gusta, y que por ello las empresas están esforzándose en erradicar. Llega la hora del Passwordless (Autenticación sin contraseñas).

¿Qué y cómo funciona Passwordless?

El significado ya lo habéis deducido:  'sin contraseñas'. El acceso a los sitios webs será con técnicas de encriptación sin necesidad de introducir una clave, aunque habrá que verificar la identidad de otra forma diferente, pero no será necesario utilizar una contraseña.

Cada sistema de inicio de sesión puede ser distinto:

• Acceso basado en correo electrónico:  se verifica la identidad mediante su dirección de correo electrónico y un código completo de clave cifrada.
• Acceso sin claves Biométrica: a través de la huella dactilar, iris y facial.
• Autenticación basada en tokens: la dirección de correo electrónico está asociada a una clave cifrada única que se procesa a través de servidores de seguridad. 

En Movistar ya implantamos un sistema sin contraseñas, la antesala al boom que está realizando la industria en la actualidad.

Por ejemplo, Microsoft ha lanzado una oferta que permite a las empresas que usan aplicaciones conectadas con Azure AD conectarse sin contraseña. Authenticator es parte del plan de Microsoft para alejarse por completo de las contraseñas. 

La también conocida YubiKey, una llave de seguridad USB que renuncia a la necesidad de contraseñas por completo, o por último y más reciente, una de las sorpresas que Apple presentó en el WWDC19, fue el sistema Passwordless Biométrico “Sign in with Apple”, un sistema, que hasta su principal rival se ha molestado en elogiar:

"Creo honestamente que esta tecnología mejorará Internet y hará que la gente esté mucho, mucho más segura" – Jefe de procesos de Google.

¿Se extinguirán las contraseñas de nuestras vidas? 

Es difícil decirlo, pero definitivamente hay una tendencia creciente a alejarse de la estrategia de seguridad más antigua de Internet.

Pero independientemente de la forma, hay una cosa cierta: ya sea que se trate de una contraseña o no, una estrategia de seguridad robusta debe contener una autenticación sólida de múltiples factores, compatible, intuitiva y fácil de usar para todas las personas, canales y dispositivos.

¡Hasta pronto!