Read the rest of the post ' Protege tu carrera digital: Seguros esenciales para desarrolladores web '
Me gustaría empezar el año con tema que a todos nos preocupa en el campo de la ciberseguridad: las contraseñas. Tanto si nos hemos suscrito a algún nuevo servicio, como si hemos recibido algún nuevo gadget tecnológico por Navidad, en algún punto estaremos creando e introduciendo contraseñas, pensando caracteres especiales, en que sea segura a la vez que se pueda recordar… La lista de requisitos se hace casi eterna, y esto nos debería llevar a una reflexión: ¿es la contraseña el mejor método para garantizar la seguridad de los accesos?
Por eso hoy quiero acercaros un nuevo paradigma de seguridad que, a mi juicio, es prometedor: el conocido como passwordless en inglés, esto es, “sin contraseña”. ¡Adiós a encadenar el nombre de tu perro con el de tus hijos o a perder tiempo metiendo los 4-5 juegos de contraseñas que conocemos hasta dar con la correcta!
El concepto passwordless lleva tiempo con nosotros (Incibe publicó artículos al respecto ya a finales de 2019), pero pese a sus claras ventajas no está teniendo la adopción mayoritaria que se esperaba en su momento, y creo que es debido a la falta de haber acercado estos conceptos de manera sencilla a los usuarios.
¿Cómo funciona un sistema passwordless?
La idea está basada en los mismos mecanismos criptográficos robustos que siguen los protocolos de cifrado. Para ello, tendremos que generar unas claves que se usen en la comunicación:
- una clave privada que solo tendremos nosotros como usuarios en el dispositivo, y que no tenemos necesidad de recordar, ya que nunca abandonará el dispositivo ni tendremos que introducirla.
-una clave pública que tendrá el servicio. Si ésta se viera comprometida por algún atacante, no habría forma de obtener la clave privada desde ésta, a diferencia de lo que pasa con los habituales robos de contraseñas cuando consiguen hackear algún servicio web.
Una vez creado este par de claves, proceso que se llama “Registro”, cada vez que accedamos al servicio, la página o web a la que queramos acceder nos mandará un mensaje en clave, al que sólo podremos responder acertadamente si tenemos la clave privada única (es como un acertijo que solo se puede solucionar con cierta información previa, nuestra clave). Para ello, usamos nuestra huella dactilar, reconocimiento facial o cualquier otro factor biométrico para poder resolverlo y lo mandamos de vuelta, pero solo la solución.
A estas alturas estarás intentando dar con algún ejemplo, por lo que intentaré ilustrar el proceso con mi propio teléfono. Google, como otros servicios, ha adoptado de momento el passwordless no como un mecanismo que elimine la contraseña, sino como un complemento (aunque podría suprimirlo).
1. Lo primero que me pide es que añada el dispositivo o llave FIDO* a mi cuenta (en este caso añado mi smartphone, que almacena una clave y me permite verificar mi identidad con mi huella)
2. Cuando intento acceder a mi cuenta desde este nuevo sitio, me lleva a un sistema que me pide que me autentique en mi teléfono con lector de huella, completando con ello el proceso de FIDO
Como veréis, el sistema elimina el tedio y la inseguridad de las contraseñas. Ahora bien, ¿es un sistema totalmente seguro o carente de desventajas? Claramente, la respuesta es no. Lo primero es que genera un par de claves por cada usuario y cada dispositivo desde el que se conecte, lo que quiere decir que hay que registrar, en el inicio, una clave por cada dispositivo desde el que se pretenda acceder. Esto se ha intentado solucionar con unas llaves USB denominadas llaves FIDO *, que buscan hacer que el propio USB sea el único dispositivo, pudiendo conectarte desde cualquier sistema que admita un USB. Por otro lado, tienen la desventaja de que, con acceso al móvil y una persona que tenga su huella metida, se podría suplantar la identidad del acceso (se entiende que una persona a la que hemos incluido su huella en nuestro teléfono es de confianza pero ¿qué hay de un móvil de segunda mano que vendemos y no borramos adecuadamente?). Por último, los sistemas biométricos, aunque seguros, no son invulnerables a fallos o a fraude (moldes del dedo en 3D, fotografías que engañan al FaceID, etc.).
En resumen, conociendo las debilidades que el propio sistema tiene, creo que sigue siendo una mejor solución que cualquiera de las todavía hoy más usadas (es una mera cuestión de probabilidad), por lo que invito a cualquiera de vosotros a que profundice en su uso pues es posible que, si los usuarios nos familiarizamos rápido con el concepto, lo podamos empezar a emplear de manera más intensiva, incluso en las empresas, para beneficio de todos.