Elena Lacey
Después de años de tentadores indicios de que un futuro sin contraseña está a la vuelta de la esquina, probablemente aún estés no sentirse más cerca a ese desenfreno digital. Sin embargo, diez años después de trabajar en el tema, FIDO Alliance, una asociación de la industria que trabaja específicamente en la autenticación segura, cree que finalmente ha identificado la pieza faltante del rompecabezas.
El jueves, la organización publicó un papel blanco que establece la visión de FIDO para resolver los problemas de usabilidad que han obstaculizado las funciones sin contraseña y, aparentemente, han impedido que logren una adopción generalizada. Los miembros de FIDO colaboraron para producir el documento y abarcan fabricantes de chips como Intel y Qualcomm, destacados desarrolladores de plataformas como Amazon y Meta, instituciones financieras como American Express y Bank of America, y los desarrolladores de los principales sistemas operativos: Google, Microsoft y Apple. .
El documento es conceptual, no técnico, pero después de años de inversión para integrar lo que se conoce como los estándares sin contraseña FIDO2 y WebAuthn en ventanas
“La clave para el éxito de FIDO es estar fácilmente disponible: debemos ser tan ubicuos como las contraseñas”, dice Andrew Shikiar, director ejecutivo de FIDO Alliance. “Las contraseñas son parte del ADN de la web en sí, y estamos tratando de suplantar eso. No usar una contraseña debería ser más fácil que usar una contraseña”.
Sin embargo, en la práctica, incluso los esquemas sin contraseña más fluidos no funcionan del todo. Parte del desafío simplemente radica en la enorme inercia que han acumulado las contraseñas. Las contraseñas son difíciles de usar y administrar, lo que lleva a las personas a tomar atajos como reutilizarlas entre cuentas y crea problemas de seguridad en todo momento. Sin embargo, en última instancia, son el diablo que conoces. Educar a los consumidores sobre las alternativas sin contraseña y hacer que se sientan cómodos con el cambio ha resultado difícil.
Sin embargo, más allá de simplemente aclimatar a las personas, FIDO busca llegar al corazón de lo que todavía hace que los esquemas sin contraseña sean difíciles de navegar. Y el grupo concluyó que todo se reduce al procedimiento para cambiar o agregar dispositivos. Si el proceso para configurar un nuevo teléfono, por ejemplo, es demasiado complicado y no hay una forma sencilla de iniciar sesión en todas sus aplicaciones y cuentas, o si tiene que recurrir a las contraseñas para restablecer su propiedad de esas cuentas, entonces la mayoría de los usuarios concluirán que es demasiado complicado cambiar el status quo.
El estándar FIDO sin contraseña ya se basa en los escáneres biométricos de un dispositivo (o un PIN maestro que seleccione) para autenticarlo localmente sin que ninguno de sus datos viaje por Internet a un servidor web para su validación. El concepto principal que FIDO cree que en última instancia resolverá el problema del nuevo dispositivo es que los sistemas operativos implementen un administrador de “credenciales FIDO”, que es algo similar a un administrador de contraseñas integrado. En lugar de almacenar literalmente contraseñas, este mecanismo almacenará claves criptográficas que pueden sincronizarse entre dispositivos y están protegidas por el bloqueo biométrico o de código de acceso de su dispositivo.
En la Conferencia Mundial de Desarrolladores de Apple el verano pasado, la compañía Anunciado su propia versión de lo que describe FIDO, una característica de iCloud conocida como “Passkeys in iCloud Keychain”, que Apple dice que es su “contribución a un mundo posterior a las contraseñas”.