Apple, Google y Microsoft se comprometen a llevar el sistema de autenticación FIDO a sus entornos el año próximo
El caso tuvo mucha repercusión,
porque el afectado era una persona experta, que no descuidaba la seguridad. Sus
contraseñas eran robustas en Apple, Twitter y Gmail, pero cuando los hackers
consiguieron una, se hicieron con todas. Para evitar que las recuperase, usaron
una, la de Apple, para borrar su iPhone, su iPad y su MacBook. No le quedó ni
una sola foto de su hija de 18 meses.
¿Cómo evitar que nos roben las
contraseñas si en cada lugar de los muchos en que nos registramos hay que poner
una? El mejor método es acabar con las palabras clave. No te pueden robar lo
que no existe. Así que hace casi una década se constituyó la FIDO Alliance, un
consorcio formado por grandes compañías tecnológicas que tiene como fin crear
un sistema estándar de autenticación más seguro que el de las malditas palabras
clave.
Para evitar que nos roben las
contraseñas, lo mejor es acabar con ellas; no se puede robar lo que no existe
Apple, Google y Microsoft se han
comprometido a que FIDO estará disponible el año próximo en sus sistemas
operativos y navegadores de internet.
La gran fortaleza de FIDO es que la
autenticación del usuario es local. Ocurre dentro del móvil y se basa en los
sensores biométricos o en un PIN maestro. Los datos no salen del dispositivo,
que sólo autoriza al sistema a validar la identificación, sin proporcionarle
datos del usuario o de sus claves biométricas.
Las contraseñas constituyen el 80% de
las brechas de seguridad que se producen en el mundo. Un usuario tiene, de
promedio, alrededor de 90 cuentas online diferentes. Algo más de la mitad de
las contraseñas que existen en el mundo (51%) son repetidas, una debilidad muy
humana ante la imposibilidad de inventar y recordar claves nuevas cada poco
tiempo.
La vulnerabilidad del sistema de
autenticación se acentúa con el comportamiento de muchas personas. Los
principales errores son: repetir las mismas en diferentes cuentas, seguir
patrones del teclado (por ejemplo, “qwerty” o “123456”), apuntarlas en papel,
usar expresiones hechas, poner palabras escritas igual que en el diccionario o
utilizar patrones sencillos que puedan ser fácilmente deducidos por hackers
expertos.
Ese es el preocupante panorama de un
sistema ineficaz que no sólo constituye un problema de seguridad, sino también
un quebradero de cabeza para millones de personas, incapaces de recordar sus
palabras clave en cada servicio o inventarse nuevas que, a su vez, alguna vez
tendrá que introducir y, posiblemente, no pueda recordar. Cualquier aspecto de
la vida digital, desde hacer una compra a configurar una aspiradora o un
televisor, tiene contraseña.
FIDO es el acrónimo de Fast Identity
Online (identidad rápida online). Se trata de un consorcio en el que se
encuentran las principales compañías tecnológicas de todo el mundo, preocupadas
por superar el sistema de contraseñas, claramente inseguro, que a lo largo de
los años sólo se ha podido apuntalar relativamente con métodos como la
autenticación de doble factor, que también ha resultado tener algún punto
débil.
Con FIDO, la autenticación la hace el
teléfono de forma local y se activa mediante un PIN, o sensores biométricos
(facial, huella dactilar)
Con FIDO, cuando el usuario se
registra en una cuenta online, su dispositivo crea un par de claves. El móvil
conserva la clave privada y registra la clave pública en el servicio en el que
se haya registrado. La autenticación la hace el teléfono de forma local,
después de cotejar esas claves, y se activa mediante un PIN, o sensores
biométricos (facial, huella dactilar).
La transición hacia el fin de las
contraseñas no ocurrirá de la noche a la mañana. No todo el mundo dispone de un
smartphone o lo tiene actualizado a la última versión de su sistema operativo,
la que dará soporte al sistema de identificación de FIDO. Entretanto, las
palabras clave seguirán existiendo, pero su desaparición será una cuestión de
tiempo, a medida que los usuarios se vayan acostumbrando a vivir sin ellas.
¿Y si cambio de teléfono?
El nuevo sistema fiará su implantación
al hecho de que toda la compleja tecnología que lleva detrás sea prácticamente
imperceptible para el usuario y que funcione, de forma fiable, en todas partes.
“Las contraseñas forman parte del ADN de la propia web, y estamos intentando
suplantar eso. No usar una contraseña debería ser más fácil que usarla”, señala
Andrew Shikiar, director ejecutivo de la FIDO Alliance.
Los expertos del consorcio concluyen
que uno de los elementos más vulnerables del sistema, una vez puesto en marcha,
será el procedimiento para cambiar o añadir los dispositivos de autenticación.
Si el proceso es complicado, la adopción de FIDO podría peligrar. Cuando uno
cambia de teléfono, si es del mismo sistema operativo que el anterior, puede
ser sencilla una configuración que descargue las claves desde un repositorio en
la nube. Cuando se pase de un móvil con un sistema a otro con uno distinto, la
situación puede ser más compleja de resolver.
Una de las propuestas que contiene el
libro blanco de FIDO es utilizar, por ejemplo, un ordenador con bluetooth como
ficha (token) de autenticación. El robo de contraseñas se produce, por lo
general a distancia. Como el bluetooth funciona entre dispositivos a pocos
metros, las opciones de los atacantes quedarían descartadas.
Christiaan Brand, director de
productos de Google, destaca que la tecnología existe desde hace tiempo, pero
“se necesitó que todo el mundo tuviera teléfonos móviles en sus bolsillos”.
Fuente: La Vanguardia.com