No es exactamente una cadena aleatoria de números, letras, casos y símbolos de 25 caracteres.
Dan Goodin
Hay ciertas promesas de ciencia ficción que se supone que depara el futuro: mochi las propulsoras
No hay duda de que las contraseñas son un absoluto pesadilla de seguridad. Crearlos y administrarlos es molesto, así que la gente a menudo los reutiliza o elija inicios de sesión fáciles de adivinar, o ambos. Los hackers son mas que feliz a Aprovechar. Por el contrario, los inicios de sesión sin contraseña se autentican con atributos que son innatos y más difíciles de robar, como la biometría. Nadie va a adivinar tu huella digital.
Es probable que ya use alguna versión de esto cuando desbloquea su teléfono, por ejemplo, con un escaneo de tu cara o su dedo en lugar de un código de acceso. Esos mecanismos funcionan localmente en su teléfono y no requieren que las empresas almacenen una gran cantidad de contraseñas de usuario, o sus datos biométricos confidenciales, en un servidor para verificar los inicios de sesión. Ahora también puedes usar tokens físicos independientes en ciertos casos, para iniciar sesión de forma inalámbrica y sin contraseña. La idea es que, eventualmente, podrás hacer eso para casi todo.
“Todos los componentes básicos han alcanzado un nivel de madurez en el que pueden pasar de los primeros tecnófilos a la corriente principal”, dice Mark Risher, director senior de gestión de productos de Google para plataformas de identidad y seguridad. “Tienen un sólido soporte de plataforma, trabajan con los diferentes proveedores principales y se están familiarizando con los usuarios. Antes, nosotros, como industria, ni siquiera sabíamos cómo deshacernos de las contraseñas. Ahora tomará algo de tiempo, pero sabemos cómo lo estamos haciendo “.
A finales de junio, el anuncio de Windows 11 de Microsoft incluía integración más profunda de inicios de sesión sin contraseña, especialmente para iniciar sesión en dispositivos, utilizando datos biométricos o un PIN. Del mismo modo, Apple anunció unas semanas antes que su nuevo iOS 15 y macOS Monterey Los sistemas operativos comenzarán a incorporar una nueva opción llamada Llaves de paso en llavero de iCloud, un paso hacia el uso de datos biométricos o PIN de dispositivos para iniciar sesión en más servicios. Y en mayo, Google discutido
Sin embargo, a pesar de estos y otros esfuerzos de la industria para lograr que tanto los desarrolladores como los usuarios se unan a un mundo sin contraseña, persisten dos desafíos principales. Una es que, si bien las contraseñas son despreciadas universalmente, también son profundamente familiares y absurdamente ubicuas. No es fácil romper con los hábitos desarrollados durante décadas.
“Es un comportamiento aprendido: lo primero que se hace es configurar una contraseña”, dice Andrew Shikiar, director ejecutivo de FIDO Alliance, una asociación de la industria de larga data que trabaja específicamente en la autenticación segura. “Entonces, el problema es que depen demos de una base realmente pobre. Lo que tenemos que hacer es romper esa dependencia “.
Ha sido una desintoxicación dolorosa. Se ha creado un grupo de trabajo de la FIDO estudiando la experiencia del usuario durante el año pasado para hacer recomendaciones no solo sobre la tecnología sin contraseña en sí, sino también sobre cómo presentarla a la gente común y proporcionarles una mejor comprensión de los beneficios de seguridad. FIDO dice que las organizaciones que implementan sus estándares sin contraseña tienen problemas para lograr que los usuarios adopten realmente la función, por lo que la alianza ha publicado pautas de experiencia del usuario que cree que ayudarán con el encuadre y la presentación. “‘Si lo construyes, vendrán’ no siempre es suficiente”, Shikiar escribió el mes pasado.
El segundo obstáculo es aún más complicado. Incluso con todas esas piezas en su lugar, muchos esquemas sin contraseña funcionan solo en dispositivos más nuevos y requieren la propiedad de un teléfono inteligente junto con al menos otro dispositivo. En la práctica, ese es un caso de uso bastante limitado. Muchas personas en todo el mundo comparten dispositivos y no pueden actualizarlos con frecuencia, o usan teléfonos con funciones, en todo caso.
Y aunque las implementaciones sin contraseña están cada vez más estandarizadas, las opciones de recuperación de cuentas no lo están. Cuándo preguntas de seguridad o un PIN sirven como opciones de respaldo, esencialmente todavía está usando contraseñas, solo que en un formato diferente. Por lo tanto, los esquemas sin contraseña se están moviendo hacia sistemas donde un dispositivo que ha autenticado previamente puede ungir uno nuevo como confiable.
“Digamos que dejas tu teléfono en un taxi, pero todavía tienes tu computadora portátil en casa”, dice Risher de Google. “Obtienes un teléfono nuevo y usas la computadora portátil para bendecir el teléfono y puedes construir una copia de seguridad. Y luego, cuando alguien encuentra su teléfono perdido, todavía está protegido por el bloqueo del dispositivo local. No queremos simplemente trasladar el problema de la contraseña a la recuperación de la cuenta “.
Ciertamente, es más fácil que realizar un seguimiento de los códigos de recuperación de respaldo en una hoja de papel, pero nuevamente plantea el problema de crear opciones para las personas que no pueden o no pueden mantener múltiples dispositivos personales.
A medida que prolifera la adopción sin contraseña, estas preguntas prácticas sobre la transición permanecen. La administrador de contraseñas 1Password, que naturalmente tiene un interés comercial en el reinado continuo de las contraseñas, dice que se complace en adoptar la autenticación sin contraseña en todos los lugares donde tenga sentido. En iOS y macOS de Apple, por ejemplo, puede desbloquear su bóveda de 1Password con TouchID o FaceID en lugar de escribir su contraseña maestra.
Sin embargo, existen algunas distinciones matizadas entre la contraseña maestra que bloquea un administrador de contraseñas y las contraseñas almacenadas en su interior. El tesoro de contraseñas en la bóveda se utiliza para autenticarse en servidores que también almacenan una copia de la contraseña. La contraseña maestra que bloquea su bóveda es solo su secreto; 1Password nunca lo sabe.
Esta distinción hace que el inicio de sesión sin contraseña, al menos en su forma actual, se adapte mejor a algunos escenarios que a otros, dice el director de productos de 1Password, Akshay Bhargava. También señala que persisten algunas preocupaciones de larga data sobre las alternativas a las contraseñas. Por ejemplo, la biometría es ideal para la autenticación de muchas formas, porque literalmente transmite su presencia física única. Pero el uso de la biometría abre ampliamente la pregunta de qué sucede si los datos sobre, por ejemplo, sus huellas dactilares o su rostro son robados y los atacantes pueden manipularlos para hacerse pasar por usted. Y aunque puede cambiar su contraseña por capricho (su mejor calidad como autenticadores), su rostro, dedo, voz o latido del corazón son inmutables.
Se necesitará tiempo y más experimentación para crear un ecosistema sin contraseña que pueda reemplazar toda la funcionalidad de las contraseñas, especialmente una que no deje atrás a los miles de millones de personas que no poseen un teléfono inteligente o varios dispositivos. Es más difícil compartir cuentas con personas de confianza en un mundo sin contraseña, y vincular todo a un dispositivo como su teléfono crea aún más incentivos para que los piratas informáticos comprometan ese dispositivo.
Hasta que las contraseñas desaparezcan por completo, debe seguir las consejo que WIRED ha presionado durante años sobre el uso de contraseñas únicas y seguras, un administrador de contraseñas (hay muchas buenas opciones), y Autenticación de dos factores donde puedas. Pero a medida que ve oportunidades para no utilizar contraseña en algunas de sus cuentas más confidenciales, como al configurar Windows 11, Dale un tiro. Es posible que sienta un levantamiento de pesas que ni siquiera sabía que estaba allí.
Esta historia apareció por primera vez en wired.com.