Algunas personas no pueden dejar de hablar sobre la muerte de la contraseña. Las contraseñas son antiguas, inseguras y se filtran fácilmente. Pronto, todos usaremos biometría, llaves de seguridad de hardware y otras soluciones futuristas, ¿verdad? Bueno, no tan rápido.
Hablamos con 1Password jefe de seguridad, Jeffery Goldberg, quien dijo que él es "cautelosamente optimista de que esta vez podríamos ver una mella en el problema de la contraseña".
Esa es la visión optimista, y está lejos de la muerte de las contraseñas.
Por qué la gente quiere eliminar la contraseña
Al hablar del objetivo de la empresa de " Construyendo un mundo sin contraseñas, "En mayo de 2018, el equipo de seguridad de Microsoft escribió:
“A nadie le gustan las contraseñas. Son inconvenientes, inseguros y costosos. De hecho, nos desagradan tanto que hemos estado ocupados en el trabajo tratando de crear un mundo sin ellos, un mundo sin contraseñas ".
Las contraseñas se han vuelto más molestas con el tiempo y todos nos hemos dado cuenta de los riesgos de reutilizar una. Si usa la misma contraseña en varios sitios y hay una fuga de contraseña, la suya puede usarse para acceder a su cuenta en otro sitio web. Por lo tanto, debe elegir una contraseña única y segura para cada servicio que utilice. Atrás quedaron los días en que se reutilizaba una contraseña corta y simple en un puñado de sitios web.
Para la mayoría de las personas que no tienen recuerdos sobrehumanos, es imposible recordar una contraseña única y segura para cada cuenta en línea. Es por eso recomendamos administradores de contraseñas —Recuerdan todas esas contraseñas únicas y seguras para usted. Solo tienes que recordar tu contraseña maestra, que es mucho más fácil que recordar 100 y mucho más segura que reutilizar la misma.
Sin embargo, incluso con un administrador de contraseñas, esto no es completamente seguro. Alguien con un registrador de teclas en su sistema podría capturar su contraseña e iniciar sesión como usted. Es por eso que los servicios agregan seguridad adicional. A menudo escribimos una contraseña y luego tenemos que autenticarnos por segunda vez con un código o clave.
¿Existe una forma mejor?
¿Qué podría reemplazar la contraseña?
Goldberg dijo que ha visto "plan tras plan" propuesto para eliminar contraseñas en los últimos veinte años, muchos de los cuales no aprendieron de lo que había fallado en el pasado. Pero los más nuevos podrían tener más posibilidades de éxito debido a avances como dispositivos locales más potentes.
La biometría puede reemplazar una contraseña. Puede usar Touch o Face ID (biometría) para iniciar sesión en su iPhone en lugar de escribir un PIN. Los teléfonos Android también tienen funciones de inicio de sesión con huellas dactilares y rostro.
Tu tambien puedes ahora crear cuentas de Microsoft "sin contraseña" para iniciar sesión en Windows. Su nombre de usuario es su número de teléfono y la "contraseña" que escribe es un código enviado a su número de teléfono por SMS.
También puede utilizar un llave de seguridad física en lugar de una contraseña para autenticar sus cuentas en línea. Guarde la llave con usted (incluso puede guardarla en su llavero) y usarla a través de USB, NFC o Bluetooth cuando sea el momento de iniciar sesión.
Los teléfonos también pueden reemplazar las contraseñas. Google ahora permite que los dispositivos Android funcionen como teclas FIDO2 . También es posible que deba autenticarse con una huella digital en su teléfono cuando inicie sesión en un sitio web en su computadora portátil.
Muchas empresas intentan reducir la dependencia de las contraseñas ofreciendo proveedores de "inicio de sesión único". Esto es cuando inicia sesión en Facebook, Google, etc., y luego usa esa cuenta para iniciar sesión en otros servicios, sin necesidad de contraseñas adicionales.
Los "reemplazos" de contraseñas no reemplazan las contraseñas
Sin embargo, aquí hay un gran problema. Las tecnologías promocionadas como "reemplazos" de contraseñas no son en realidad reemplazos, al menos todavía no.
La biometría, como Face o Touch ID, aún requiere un código de acceso y una contraseña de ID de Apple en su dispositivo. Algunas tareas también requieren un PIN para fines de cifrado en segundo plano. Las funciones biométricas en Android y Windows Hello en Windows 10 funcionan de la misma manera, básicamente, como una función de conveniencia. Es más fácil iniciar sesión en su dispositivo porque no tiene que escribir una contraseña cada vez, pero no reemplazar tu contraseña.
Una cuenta sin contraseña que te envía códigos telefónicos tampoco es buena. En lugar de una contraseña para su cuenta, este servicio genera una nueva cada vez que intenta iniciar sesión y se la envía por SMS. Esto es menos seguro que el método tradicional de una sola contraseña más un código de seguridad que se le envía al iniciar sesión.
Desafortunadamente, los atacantes roban fácilmente números de teléfono en muchas situaciones, lo que hace que esto sea menos seguro. Es un gran método para llegar a personas en países donde los números de teléfono son omnipresentes y reduce la fricción de registrarse para obtener una cuenta, razón por la cual Amazon también ofrece esto. Pero no es una buena solución reemplazar las contraseñas.
La mayoría de los servicios que han adoptado claves de seguridad físicas las utilizan como una opción de autenticación adicional . Aún debe iniciar sesión con su contraseña y luego proporcionar la clave de seguridad como confirmación secundaria para ingresar. La capacidad de usar una clave sin una contraseña aún está muy lejos.
También existe un problema de privacidad con los servicios de inicio de sesión único. Cuando haces clic en "Iniciar sesión con Google" o "Iniciar sesión con Facebook", el operador del servicio, Google o Facebook, sabe a qué te estás registrando.
Siempre habrá contraseñas (en segundo plano)
Incluso si el sueño de Google de reemplazar las contraseñas con teléfonos se hace realidad, no eliminará la contraseña. El borde resumió los planes de Google de esta manera: "Si ya ha iniciado sesión en su teléfono, esto podría usarse para 'arrancar' el próximo dispositivo en el que desea iniciar sesión en su cuenta de Google".
Es posible que evite usar su contraseña durante mucho tiempo, pero aún está en segundo plano. Después de todo, lo necesitará si pierde todos sus dispositivos.
Las contraseñas todavía están muy extendidas. Son fáciles de configurar y usar. Los “reemplazos” de contraseñas ofrecen más conveniencia o seguridad adicional. Pero siempre necesitará una forma de recuperar el acceso si pierde su dispositivo y no puede utilizar la seguridad biométrica o del hardware.
"Creo que siempre habrá casos extremos que requieran contraseñas", dijo Matt Davey, director de operaciones de 1Password. Por ejemplo, inicie sesión con Apple en iOS 13 ofrece una opción de inicio de sesión basada en la web que utiliza la contraseña de su ID de Apple cuando inicia sesión en un dispositivo que no es de Apple. Una contraseña funciona en todas partes y es el valor predeterminado universal cuando no se encuentran disponibles características biométricas o de seguridad de hardware sofisticadas.
Como dijo Goldberg, "las contraseñas son realmente muy fáciles" de implementar para los sitios web. "Siguen siendo lo más sencillo de utilizar para los operadores de servicios".
Es por eso que 1Password es optimista sobre el futuro de los administradores de contraseñas. La compañía dijo que había visto más usuarios nuevos incluso a medida que crece la competencia y compañías como Apple, Google y Mozilla se toman más en serio la administración de contraseñas.
¿Qué depara el futuro?
El sueño de eliminar la contraseña está muy lejos. Incluso si el proceso va bien, el mejor de los casos es que avanzaremos lentamente, con alternativas más fáciles a las contraseñas.
Algún día, las contraseñas pueden quedar tan relegadas a un segundo plano que se convertirán en un método de recuperación de cuentas olvidado hace mucho tiempo. Pero probablemente estarán presentes durante mucho tiempo. La batalla para desterrarlos del uso diario para la mayoría de la gente será larga y reñida. ¿Pero matar las contraseñas por completo? Eso es aún más difícil de imaginar.
