El anhelado fin de las contraseñas

De lo más habitual, tanto que tenemos más de alguna, en veces la repetimos, en otras no tanto, pero desde luego lo que debería de ser algo sencillo se ha convertido en un problema de seguridad por la diversidad de servicios que solicitan una.  Y no es que la contraseña sea mala idea, todo lo contrario, un buen uso de esa es la principal barrera entre un ciberdelincuente y tu información. No obstante, a pesar de los esfuerzos por mejorar la calidad de las contraseñas, la decidia o la pereza por memorizar o gestionar varias de ellas abre una gran brecha de seguridad que ha llevado la tendencia de desarrollo en seguridad informática, grandes corporativos como Alphatbet (Google) o Microsoft están llevando el control de accesos a un nuevo concepto denominado Passwordless.

Como ya mencionamos, un gran número de usuarios desprestigia la importancia de la seguridad a la hora de elegir una contraseña, eligiendo palabras sencillas o combinaciones simples vulnerables antes los avanzados ataques de ciberdelincuencia. Los estudios realizados por importantes centros como el NCSC (National Cyber Security Centro, Reino Unido) más de 40 millones de usuarios utilizan contraseñas que podrían obtenerse en menos de un segundo con un simple ataque de diccionario.

Debilidades de la mejor contraseña

Aunque tu contraseña sea robusta, con una buena longitud y utilizando los consejos para crear una buena contraseña, pero sigue siendo vulnerable a los ataques de ingeniería social o ataques de Phishing. Si además y a pesar de haber ganado el premio a la contraseña más robusta y ya que la haz memorizado la aprovechas para ponerla en todos los servicios a los que accedes, entonces te vuelves susceptible a sufrir un ataque de suplantación de identidades.

Gestores de contraseñas

 Resultado de las necesidades de disminuir y subsanar las debilidades del uso de contraseñas asistiendo en el proceso de selección de contraseñas, almacenándola en un dispositivo único o mediante servicios en la nube. Si bien han tenido un resultado muy buenos su uso apenas está en una expansión más lenta de lo esperada, siempre tomando en cuenta que al final de todo seguirás necesitando al menos una contraseña para acceder al gestor y por ello susceptible de un ataque.

No puedo quitar la autenticación de dos factores

Y podría pensarse que no deberías si no tienes preparado un plan B, pero vamos a aceptarlo, es molesto después de haber podido acceder siempre con tanta facilidad y sin necesidad de acceder más datos encima algunas de las veces bajo presión de tiempo.

Antes de desactivar en el menú de la esquina superior derecha (tres puntos) <<Configuración>><<Seguridad>>´<<2FA>> debes de tomar en cuenta las debilidades propias de las contraseñas, desde hace varios años dar un refuerzo a la contraseña a través de una app móvil, una tarjeta, un token físico o mediante biometría como la huella dactilar o el reconocimiento facial, todas estas acciones por más molestas que te parezcan, te protegen y ayudan a que tu información se mantenga segura y aunque parezca que no tengas nada que ocultar sí algo que proteger.

Passwordless, blockchain al rescate

Podemos dejar la contraseña de lado si logramos poner algo en su lugar, en este caso la criptografía asimétrica o de clave pública, que es similar al utilizado en la firma digital. El método será utilizar dos claves vinculadas a cada usuario, una será pública y la otra privada, estas claves se utilizarán para atentificar un servicio, pero ¿De qué manera?, la clave privada será almacenada en tu dispositivo de forma segura y solamente será accesible mediante el método que tú elijas, PIN, huella dactilar, reconocimiento de voz, reconocimiento facial, token físico, etc. Mientras tanto la clave pública se envía al servidor se vincula a la o las cuentas del usuario.

A groso modo este método de criptografía asimétrica permite que se descifren los mensajes entre dos partes con un sello de tiempo, la clave pública permite al servicio codificar su información para que solamente tu dispositivo con su llave privada pueda descifrarlo, esto confiere seguridad para ambas partes de extremo a extremo selladas a su vez por una estampa de tiempo. Lo que le convierte en algo practicamente indescifrable incluso para los metaordenadores actuales.

Indiscutiblemente esto aparenta ser más efectivo y por qué no decirlo, más cómodo que el uso de contraseñas, además al blindar a los dos extremos eliminaría técnicas como el Phishing y acceder en nombre de otra persona precisaría de la posesión de la terminal y el acceso con factores biométricos o PIN, lo que complica el fraude al sistema.

Actualmente la mayoría de dispositivos móviles ya cuentan con componentes que permiten su desbloqueo a través de biometría y los nuevas estándares como FIDO2 orientan a la integración del Passwordless en todo nuestro entrono.

Así que toca ir poco a poco introduciendo esta novedad, todo cambio aunque difícil viene siempre a bien. Sin complicaciones la adecuación de los sitemas tradicionales a los nuevos sistemas de autenticación son muy accesibles y rara vez requieren una inversión elevada.