La inminente muerte de las contraseñas tradicionales
El uso de contraseñas tradicionales como única medida para autenticar a un usuario no es un método suficientemente seguro, ya que los usuarios utilizan contraseñas débiles para acceder a los sistemas, haciéndolos vulnerables a un ciberdelincuente.
La contraseña tradicional es el método habitual utilizado por los usuarios para autenticarse y acceder a todos los servicios, que van desde el acceso al correo personal, pasando por las redes sociales hasta llegar a nuestras cuentas bancarias.
Estas contraseñas son, en muchos casos, la única medida de seguridad que protege la cuenta frente a ciberdelincuentes.
Lamentablemente, los seres humanos somos muy previsibles creando contraseñas y la mayoría no cumplen con los estándares de seguridad que sugieren los sitios:
● Las mayúsculas y los signos especiales aparecen solo en un 0.6% de las contraseñas.
● Los números más usados al final de las letras son también inmensamente previsibles, por ejemplo 123, 000, 001 y 666.
● El 52% de los usuarios recicla sus códigos de acceso. Según un estudio de la Universidad de Virginia Tech, "servicios sensibles, como los sitios de compras por Internet y los correos electrónicos, tienen la mayoría de contraseñas repetidas o levemente modificadas".
Este tipo de prácticas nos vuelve vulnerables a ataques de ingeniería social o phishing.
Cuando un ciberdelincuente consigue la contraseña de acceso al correo electrónico de un usuario, es muy probable que más sistemas se vean comprometidos, como por ejemplo las redes sociales o los servicios de almacenamiento en la nube.
Passwordless, el final de las contraseñas tradicionales
Debido a este problema, empresas como Google o Microsoft utilizan la autenticación de múltiples factores o MFA.
Aquí, además de tu contraseña tradicional, también te pide autentificarte con una app, tu teléfono, tu huella o algún token. Esto es el principio de una nueva etapa llamada passwordless.
Los sistemas passwordless funcionan utilizando criptografía asimétrica o clave pública similar al utilizado en nuestra firma digital. El usuario tendrá dos claves: una pública y otra privada, las cuales serán usadas para realizar la autenticación en el servicio.
La clave privada se almacenará en el dispositivo de forma segura junto a varios identificadores necesarios para saber a qué servicio pertenece. Esta clave únicamente será accesible si se está en posesión del mecanismo de seguridad elegido en el proceso de registro, que pueden ser:
• Autenticación passwordless en correo electrónico: verifica la identidad de un usuario mediante su dirección de correo electrónico y un código completo de clave cifrada que se envía a este al iniciar sesión.
La identidad y dirección de correo electrónico del usuario se comparan con los registros del sitio web y, si todo es correcto, se permite el acceso.
• Autenticación passwordless basada en tokens: la autenticación basada en tokens y correo electrónico operan con conceptos similares. Aquí el servidor del sitio web envía un token cifrado único.
Este token se adjunta al inicio de sesión y luego se descifra a medida que se solicitan varias acciones. Al verificar la firma del token con nuestro algoritmo de seguridad, el sitio puede corroborar la identidad de los usuarios para múltiples acciones y subdominios.
• Autenticación passwordless biométrica: se refiere a la autenticación a través de reconocimiento de voz, facial, iris y de huella dactilar.
Actualmente podemos ver este tipo de autentificación en diferentes dispositivos móviles, aplicaciones bancarias, gimnasios e incluso lugares como el Servicio de Administración Tributaria (SAT).
Desafortunadamente, estas tecnologías también han demostrado ser menos seguras de lo esperado. Las cámaras del lector de huellas digitales pequeñas solo registran partes de la huella digital y las probabilidades de que el dedo de otra persona coincida con tu propia impresión son muy altas.
En la Anáhuac trabajamos en nuestro Plan Estratégico 2020-2024, en donde impulsamos una cultura universitaria de constante innovación centrada en la persona, con una visión creativa, colaborativa, propositiva y abierta al cambio, por lo que te compartimos este tipo de artículos que buscan decirte cómo utilizar de manera estratégica, responsable y ágil las tecnologías digitales.
Más información:
Innovación y Transformación Digital
Comité Editorial de Tecnologías de la Información
ceti@anahuac.mx