Sustitución de contraseñas por un nuevo método de autenticación

Aún sin una alternativa que resulte eficiente, un pequeño grupo de empresas de TI inició una campaña con el objetivo de erradicar el uso de contraseñas como método de autenticación al iniciar sesión en páginas web.

La petición en contra de las contraseñas fue lanzada a principios de mes, producto de las sugerencias de TechFreedom y de los rivales comerciales Clef y LaunchKey, quienes venden tecnología que no requiere uso de la contraseña. El grupo rápidamente reunió varios cientos de firmas apoyando la petición.

La estrategia de los responsables de la petición es dejar de lado el debate tecnológico que ha buscado durante años un reemplazo viable de la contraseña, y utilizar el poder de la gente como método para ejercer presión.

Jesse Pollak, cofundador de Clef, mencionó que si son capaces de combinar las voces de todas las personas que han experimentado problemas con las contraseñas y juntarlas, podrán hacer un cambio mayor al que harían de manera individual.

Las debilidades del uso de contraseñas son bien conocidas, a menudo, atacantes comprometen bases de datos de sitios web, roban contraseñas y las usan para ingresar a las cuentas de algunos usuarios. Aún con las contraseñas cifradas, los criminales son capaces de encontrar la manera de conocer el texto en claro al hacer uso de algunas herramientas.

En la página web, de la petición contra las contraseñas, se muestra una lista de empresas o agrupaciones importantes que sufrieron violaciones a su seguridad ligadas a problemas de contraseñas, entre las que figuran Living Social, Evernote, Twitter y Drupal.

Sin embargo, las contraseñas se siguen empleando ya que en la actualidad no existe una alternativa práctica que las sustituya, comentó Matthew Green, investigador de la universidad Johns Hopkins y experto en criptografía.

“Nos gustaría encontrar algo mejor que las contraseñas”, dijo Green. “La razón por la que esto no se ha podido hacer en los últimos 10 o 20 años es que no hay un acuerdo respecto a que algo sea mejor que éstas.”

Si bien existen alternativas más seguras, a menudo son más caras o difíciles de utilizar. Los dispositivos biométricos como el escáner de rostro o de huella dactilar son alternativas consideradas como sucesores del las contraseñas, sin embargo, esta tecnología no se ha incorporado en la mayoría de los dispositivos móviles, y, por lo general, requieren de hardware independiente para su funcionamiento. Otras posibilidades como los tatuajes electrónicos o el uso de ondas cerebrales se encuentran todavía en fase experimental.

En el caso de las alternativas que no hacen uso de contraseñas, como los equipos de las empresas Clef, LaunchKey y OneID, la tecnología está patentada y su adopción a gran escala resulta difícil. Por ejemplo, la tecnología de Clef actualmente solo es soportada por 250 sitios web.
FIDO (Fast Identity Online) es una organización sin fines de lucro que lleva más de dos años trabajando en la sustitución de contraseñas con tecnología basada en estándares. El sistema permitiría a un sitio web autenticar a un usuario haciendo uso del dispositivo (teléfono inteligente, tableta, computadora) con el que se intenta establecer la conexión.

FIDO espera que a principios del próximo año, se tengan las especificaciones tecnológicas de los dispositivos que llegarían a sustituir a las contraseñas.

El éxito de FIDO dependerá de que su tecnología sea adoptada no solo por Google, si no por grandes empresas de TI, sitios pequeños y fabricantes de hardware.

Si FIDO o alguna otra alternativa de las contraseñas tiene éxito, el nivel de seguridad ofrecido a los clientes será mayor, pero no inquebrantable.

Mientras se sigan empleando contraseñas para autenticar usuarios, los expertos recomiendan usar gestores como LastPass, IronKey o Kaspersky Password Manager, que permiten almacenar varias contraseñas para no emplear la misma en todas las páginas web.

 Fuente