Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Passwordless, el comienzo del fin de las contraseñas

Fecha de publicación 07/11/2019
Autor
INCIBE (INCIBE)
Imagen de acompañamiento.

La contraseña es el método habitual utilizado por los usuarios para autenticarse en prácticamente todos los servicios, ya sean propios de la empresa o externos. Desde el acceso al correo corporativo, pasando por las redes sociales hasta llegar a la mayoría de comercios online, las contraseñas son, en muchos casos, la única medida de seguridad que protege la cuenta frente a ciberdelincuentes. Pero el uso de contraseñas, como hoy lo conocemos, puede cambiar. Grandes organizaciones como Google, Mozillao Microsoftestán llevando el control de accesos a un nuevo paradigma denominado passwordless.

Las contraseñas como única medida autenticación

Contraseñas débiles, un uso común y muy extendido

El uso de contraseñas como única medida para autenticar a un usuario no es un método con las suficientes garantías de seguridad. En muchas ocasiones los usuarios utilizan contraseñas débiles para acceder a los sistemas, lo que los hace vulnerables a un ciberdelincuente.

Debilidades de las contraseñas robustas

Incluso cuando los administradores fuerzan el uso contraseñas robustas, con una longitud y caracteres suficientes, estas siguen siendo vulnerables a ataques de ingeniería social o phishing. Además, siempre está presente el riesgo de que los usuarios repitan la misma contraseña, o con variaciones mínimas, para varios sistemas. Cuando un ciberdelincuente consigue la contraseña de acceso al correo electrónico de un usuario, es muy probable que más sistemas se vean comprometidos, como por ejemplo las redes sociales o los servicios de almacenamiento en la nube.

El uso de gestores de contraseñas

Los gestores de contraseñas surgieron como medida para paliar las debilidades del uso de contraseñas, ya que permiten generar contraseñas seguras, además de almacenar en un dispositivo o mediante servicios en la nube todas las contraseñas. Aunque el uso adecuado de este tipo de herramientas reduce notablemente los riesgos de un acceso no autorizado, su uso no es está muy extendido. No obstante, al final tendremos que utilizar una contraseña para abrir el gestor de contraseñas.

Autenticación de múltiples factores como medida de seguridad complementaria

Para suplir las debilidades propias de las contraseñas, desde hace varios años se ha extendido el uso de la autenticación de múltiples factores, o MFA por sus siglas en inglés, como medida de seguridad complementaria. El MFA ofrece una forma más segura de acceder a los sistemas corporativos, ya que para ello, además de conocer la contraseña, se debe estar en posesión de un segundo factor de autenticación, como puede ser una app en un dispositivo móvil, una tarjeta o token físico o mediante biometría.

Passwordless, adiós contraseñas

Passwordless reemplazará el uso de contraseñas por alternativas más seguras y amigables para el usuario. Las contraseñas dejarán de ser la única vía de acceso a cualquier servicio ya que en muchos casos, mediante un factor biométrico como la huella dactilar o el reconocimiento facial, será suficiente.

Grosso modo, según FIDO ALLiance el funcionamiento de un sistema passwordless es el siguiente:

Registro en un sistema passwordless

En los servicios tradicionales que no utilizan passwordless, el registro se realiza por medio de un correo electrónico y una contraseña que serán almacenados por la empresa que ofrece el servicio.

Los sistemas passwordless basan su funcionamiento en el uso de criptografía asimétrica o de clave pública similar al utilizado en la firma digital. El usuario tendrá dos claves, una pública y otra privada, las cuales serán usadas para realizar la autenticación en el servicio.

La clave privada se almacenará en el dispositivo de forma segura junto a varios identificadores necesarios para saber a qué servicio pertenece. La clave privada únicamente será accesible si se está en posesión del mecanismo de seguridad elegido en el proceso de registro que puede ser un código PIN, biometría como huella dactilar o reconocimiento facial, voz, token físico, etc. La clave pública será enviada al servidor y vinculada con la cuenta del usuario.

Acceso al sistema passwordless

El acceso al servicio se realizará utilizando la clave privada generada en el proceso de registro. El usuario indica que quiere autenticarse en el servicio, para ello el servidor envía unos datos generados aleatoriamente. Una vez que esos datos son recibidos, el usuario debe introducir el sistema de seguridad elegido para acceder a su clave privada “huella dactilar, cara, PIN, etc.” y firmarlos con esta. Una vez firmados, son enviados al servidor que comprueba que la firma es correcta permitiendo al usuario acceder al sistema, todo ello gracias a la clave pública que almaceno en el proceso de registro.

Beneficios del passwordless

Los beneficios que aportará este método de autenticación son varios:

  • Las contraseñas dejarán de ser la única vía de acceso a los sistemas, utilizando una opción más segura como es el sistema de clave pública y privada.
  • Los principales métodos utilizados por los ciberdelincuentes, como son el phishing, ataques de fuerza bruta o contra contraseñas débiles, dejarán de funcionar.
  • Para acceder de forma fraudulenta a un sistema, los ciberdelincuentes tienen que estar en posesión del dispositivo, ya que en él se encuentra la clave privada, y del método elegido para su desbloqueo. Esto hace que resulte extremadamente complicado un acceso fraudulento al sistema.
  • Los usuarios no tendrán que recordar complejas contraseñas ya que utilizando métodos biométricos podrán acceder a su clave privada y por lo tanto a su cuenta.
  • El flujo de trabajo será mucho más ágil, ya que en muchas ocasiones los usuarios no tendrán que introducir ningún dato. Solamente con algo que poseen, como su huella dactilar, podrán acceder al sistema.
  • Aunque su uso pueda resultar similar en términos de seguridad que el ya conocido doble factor de autenticación, passwordless permitirá un manejo más simple, eficiente y seguro de los sistemas que lo implementen.

El adiós a las contraseñas no es algo nuevo y muchos usuarios ya se están familiarizando con este paradigma. Actualmente la mayoría de dispositivos móviles cuentan con componentes que permiten su desbloqueo por medio de biometría como la huella dactilar o reconocimiento facial, ofreciendo una experiencia de usuario más fluida. Además la existencia de nuevos estándares, como FIDO2, está permitiendo integrar el passwordless en múltiples entornos y dispositivos como ya ha hecho Google con Android o Microsoft con Windows 10.

Cambio de mentalidad

Los cambios nunca son fáciles. Cuando nos acostumbramos a realizar cualquier tarea de una determinada manera, aunque sea menos eficiente que la nueva, nos produce cierto malestar. El cambio que traerá passwordless, como cualquier otro, tendrá sus detractores, pero eso no deberá ser suficiente como para dejar de lado esta tendencia en los sistemas empresariales.

Otra cuestión a tener en cuenta es que implantar passwordless en la empresa será una tarea compleja. Una forma de introducir a los usuarios y no afectar por completo a la organización es comenzar a aplicar el uso de passwordless a grupos pequeños de usuarios, pudiendo así comprobar su eficiencia sin afectar a toda la empresa.

El fin de las contraseñas ha comenzado, llega el momento de comenzar a mirar hacia un nuevo sistema de autenticación más ágil, seguro y eficiente. Comienza la era del passwordless.

Etiquetas