Sistemas de autenticación mejores que las contraseñas, por fin!

IAGE: FIDO Alliance logo

Es uno de los temas que los usuarios llevamos más tiempo esperando: una forma de solucionar el problema de la identificación segura que no dependa de sabernos una contraseña.

Varias décadas de uso de la contraseña nos han llevado a la desastrosa situación en la que estamos actualmente: en un mundo en el que los usuarios gestionan una media de noventa cuentas y servicios en la red, alrededor de un 51% de las contraseñas son reutilizadas, las contraseñas son la causa de cerca del 80% de las intrusiones y robos de datos, y una de cada tres compras en la red son abandonadas por la incapacidad para recordar una contraseña o gestionar un sistema de autenticación.

La solución al problema, finalmente, viene de la FIDO Alliance: FIDO responde a Fast IDentity Online, cuenta entre sus miembros con la práctica totalidad de las compañías importantes en la red, y permite una autenticación multifactor sin compartir nuestros datos biométricos con nadie, sin contraseñas, y de una manera segura que impida mecanismos como el phishing. Hasta ahora, la aproximación de incluir un segundo factor de autenticación como una contraseña de un solo uso enviada por SMS o correo electrónico contaba con un problema fundamental: el canal utilizado para el envío no era especialmente seguro. Si en su lugar utilizábamos como segundo factor un número generado por una aplicación de autenticación, la página de login podía suplantarse, y podíamos terminar metiendo todas nuestras credenciales precisamente en la página del delincuente que las quería utilizar.

La idea central de FIDO es utilizar una credencial que es almacenada en alguno de mis dispositivos y a la que puedo acceder mediante mi huella dactilar o mi cara, y que es utilizada para la autenticación sin necesidad de recordar ni teclear ninguna contraseña. Vincular la autenticación a esta credencial, que puede ser la misma para múltiples servicios, permite no solo un proceso mucho más conveniente, sino además, la posibilidad de almacenar esa credencial en la red para el caso en que nos roben o perdamos un dispositivo determinado: con otro dispositivo autenticado podemos llevar a cabo un proceso de recuperación, y acceder a todas nuestras cuentas e información.

El eje del sistema son las llamadas credenciales multidispositivo, o passkeys, capaces de funcionar en todos los dispositivos de un usuario independientemente de su sistema operativo y de los servicios que esté utilizando. A partir de ahí, el segundo dispositivo utilizado para la autenticación debe estar físicamente cerca del primero, lo que impide una suplantación desde una segunda localización. Básicamente, utilizarías tu smartphone con su sistema de autenticación propio (huella o cara) para autenticarte en un servicio en tu ordenador. De esta forma, si un atacante remoto intenta iniciar sesión, el propietario de la cuenta no podría utilizar sus dispositivos para confirmarlo, dado que no se encontrarían físicamente cerca del dispositivo que inició el proceso.

El uso de FIDO puede además incluir cualquier otro tipo de sistemas de autenticación, desde escáner de iris o lectores de huella, hasta tokens de seguridad USB, smart cards o NFC. La idea es que el sistema sea todo lo abierto e inclusivo que sea posible para integrar a todos los servicios que un usuario pueda querer o necesitar utilizar, y que las distintas plataformas pongan en marcha su despliegue antes del próximo año.

Un mundo con seguridad, pero sin contraseñas. Ya iba siendo hora…


This article is also available in English on my Medium page, «Imagine there’s no passwords, it isn’t hard to do…«

17 comentarios

  • #001
    Jose antonio - 14 junio 2022 - 16:25

    Lo mismo, lo mismo que hacemos en nomorepass guardando las contraseñas en el teléfono y solo en el teléfono. Llamalo password o llámalo token. No estamos descubriendo la rueda…

  • #002
    Lua - 14 junio 2022 - 16:39

    Mira, hoy mismo, a mi cuñada le acaban de soplar 1500€ por un SMS phishing… que mania con hacer click en el primer enlace que te sale… XDDDD

    (me duele, pero se lo merece, por no pensar) XDDD

  • #003
    Marcos - 14 junio 2022 - 18:01

    Me gusta la idea detrás de FIDO, que mi identidad digital sea confirmada por un dispositivo que yo tengo y en el que confío. Pero ahora mismo un teléfono móvil NO ME SIRVE como ese dispositivo confiable. Sin prácticamente ningún control sobre él (como sí tengo en MI ordenador), realmente me estresa la idea de dejar en el móvil una puerta abierta a mi correo personal. No digamos darle plenos poderes digitales sobre mi vida.

    ¿A nadie más le pasa? ¿Nadie más piensa que el teléfono debería ir simplificándose hacia una simple pantalla conectada en lugar de ir acumulando más y más funciones como estrategia de venta? Llamadme anticuado, pero yo mientras pueda seguiré utilizando el acceso web y autenticación por dni electrónico, certificados y contraseñas.

    Relacionado, esta persona ha vivido mi pesadilla:
    https://shkspr.mobi/blog/2022/06/ive-locked-myself-out-of-my-digital-life/

    • Enrique Dans - 14 junio 2022 - 18:31

      Es interesante tu visión del tema, porque la tendencia parece ser exactamente la contraria: ir dotando al ordenador de sistemas de autenticación similares a los que tenían los smartphones. Hace años, un smartphone era algo que cogías y usabas sin más. Después les pusimos un PIN, después un patrón de desbloqueo, después un sensor de huella dactilar y finalmente, un sistema de reconocimiento facial sofisticadísimo y muy seguro pero que podemos usar incluso con una mascarilla puesta que nos tapa la mitad de la cara. Un ordenador, tradicionalmente, tenía una simple contraseña. Ahora ya tiene un sensor de huella, dentro de poco un sistema de reconocimiento facial a través de la webcam, y mientras no lo tiene, me apalanco en el smartphone cercano para la seguridad. Interesante, ¿no?

      • Lua - 14 junio 2022 - 18:47

        Hasta que lo pierdes o te lo roban… XDDD

  • #006
    menestro - 14 junio 2022 - 18:12

    Pero si FIDO y otros métodos más sofisticados se llevan usando años, pero muchos. Y están siendo sustituidos por otros mejores.

    Dejé un comentario aclarándolo, aunque no puse ningún enlace.

    Normalmente, las empresas utilizan sistemas de directorio y autenticación centralizados, salvo las chapuzas habituales, claro.

    FIDO, el 2FA y la autenticación mediante dispositivo – hardware tokens -, datan de antes de 2010. No son nada seguros, y sí muy difíciles de mantener. (mi perro se ha comido mi password, etc.)

    Ahora, se utiliza lo que se conoce como ‘Identity as a Service’ (IDaaS) como Okta, Beyond identity, Akamai, etc.

    No requiere de algo tan neolítico como un token de seguridad por hardware y, si fuese necesario, ya disponemos de dispositivos móviles más fácilmente integrables, que no existían cuando se creó FIDO.

    (A mí me gustan los palos de madera como token de seguridad, pero imagínate a 200 empleados portando Tarjas.)

    Disclaimer

    «El desconocimiento de la tecnología no exime de su compliance.»

    (No puedo aclarar todo lo que se vierte en un blog, trato de avisar, como con Blockchain, criptomonedas y esas cosas.

    Tal vez, alguien debería haber advertido a Blake Lemoine sobre los fenómenos psicológicos asociados al Uncanny Valley, las sobredosis de gadgetización tecnológica y «Ethos digital», y los espejismos, antes de empezar con las quijotadas digitales – no se puede estar a todo –

    The Google engineer who thinks the company’s AI has come to life

    Hay que tener una base teórica sólida. No vale con ser fan de la marca Tesla, Hay que ser fan de Roland Barthes y Kolmogórov. Es necesario ser inquietantemente humano.)

  • #007
    Gorki - 14 junio 2022 - 18:22

    Me parece acertado el uso de “passkeys” de dos dispositivos físicamente cercanos, pues complica mucho la vida a quienes quieran hacer pasarse por nosotros.
    Cada dispositivo digital, genera automáticamente una “huella digital”, (IP, SO, tamaño de pantalla, …. y lugar geográfico donde se encuentra), que va a hacer difícil el simularlos. Por tanto, sin reservas mi voto, hacia este invento.

    Pero se me ocurren problemas, que supongo se les habrán ocurrido a los desarrolladores de este sistema.

    El uso de claves biométricas. No importa si se trata de huella, cara o el iris, todas se basan en lo mismo, un “algoritmo” que en función de la imagen que recibe de input, genera un ouput que es una colección de ceros y unos que es única para cada imagen de input.
    El problema, (lo desconozco), es si se puede engañar al “algoritmo”, mostrando algo que genere la misma sucesión de ceros y unos. Hay una película de ciencia ficción, donde los presos escapan de la cárcel mostrando en las cerraduras el iris de un ojo del director de la prisión pinchado en un palillo. Sin ser tan tenebroso, ¿Podría utilizarse como “huella digital” una imagen de nuestra huella digital, por ejemplo la que aparece en el DNI?

    Lo desconozco, pero de ser posible veo un problema. Hoy si desconfiamos de muestro password, tenemos medios sencillos de cambiarlo por otro nuevo. ¿Pero qué hay que hacer para cambiar la clave digital que genera nuestra huella? ¿Qué pasa si un accidente ligero, por ejemplo un corte superficial en la huella, hace que sea imposible que nosotros mismos generemos la correcta huella biométrica?.

    Como digo, confío que estos problemas hayan sido tenidos en cuenta y mis temores sean infundados.

    Otra cosa que me preocupa, es que cada vez tenemos mas servicios esenciales basados en nuestros smartphones. Todos hemos sentido la sensación de impotencia que produce salir de casa y haberse olvidado llevar el smartphone. Pero lo cierto es que el smartphone tiene una vida muy limitada, podemos perderlo, que nos lo roben, que se averíe, que le entre la obsolescencia a la batería,… ¿Qué problemas padeceremos cuando a tengamos que cambiar este aparato por otro nuevo?

    • Lua - 14 junio 2022 - 18:55

      He visto esa peli (la del ojo clavado en un palillo) no hace falta tanto…

      No me voy a volver tonto buscando el link, pero hace unos tres meses un grupo demostro que la huella digital se podia simular teniendo acceso una vez a tu dispositivo (cinta aislante y la grasilla de nuestros dedos), asi como que una simple foto, «descolocaba» el bloqueo facial…

      Por supuesto, estoy a favor de cualquier avance, pero que este sea efectivo y no deje agujeros «tan evidentes»

      En plan mas casero… el movil de mi padre tiene desbloqueo facial… mi padre y yo, con 26 años de diferencia, somos dos gotas de agua… adivina quien desbloquea ese movil… XDDD

      • PEPELU - 14 junio 2022 - 19:47

        Y además

        Lo más seguro es la voz…

        Graba a un fanboy diciendo «oye siri» el mosqueo que se pillan… cuando le das al play

        Lo más seguro es confrontar con la posición….

        Entra en el navegador y pones en 2 clicks que estás donde quieras.

        Si te hackean un dato biométrico, ¿cómo cambias de cara, iris, huella,voz?

    • Raul - 16 junio 2022 - 23:47

      Me sigue asombrando que la gente piense que un teléfono averiado, perdido o robado es un problema. Con un sistema de copias de seguridad que TODOS DEBERÍAMOS tener, se tarda un par de horas en disponer de una réplica idéntica (en software) a la anterior en nuestras manos. Problema resuelto.

  • #011
    JM - 14 junio 2022 - 18:46

    A mi lo que me da que pensar es que con todo el bloatware y otro software que puede estar instalado en un smartphone el uso del mismo como identificación esté asociado a una perdida casi total de control sobre nuestros datos a no ser que confiemos en un iPhone o le dediquemos tiempo a instalar una ROM libre.

    Además hay personas que pueden tener móviles antiguos para los que ya no se distribuyen actualizaciones de seguridad. Confiar en un móvil muy desactualizado para ciertos temas que pueden ser cruciales me parecería un poco temerario.

  • #012
    Benji - 14 junio 2022 - 22:06

    El otro día me olvidé el móvil en casa y necesitaba telefonear a alguien cuyo número estaba en mi lista.

    Pensé «no hay problema, lo saco de google.com/contacts», que mi usuario/contraseña de Google sí que me la sé.

    Me conecté en un cibercafé e intenté entrar en mi gmail

    – Intento 1: Necesita usted verificar con su móvil que es usted. Pulse el 68 de su pantalla. Pulsé en «otro método»

    – Intento 2: Para acceder le enviaremos un SMS a su teléfono. Introduzca el código. Pulsé de nuevo en «otro método».

    – Intento 3: Recibirá una llamada con un código en su teléfono. Introdúzcalo para acceder

    Pensé «vaya mierda, las 3 son con el teléfono. Bueno, no pasa nada, voy a decirle a Google que he olvidado mi contraseña y que me usen mi correo de verificación que tengo en Yahoo!»

    Intento 1 de Yahoo: Este dispositivo no está reconocido. Use su cuenta de recuperación para obtener el código. ¿Y cual es esa cuenta? Pues otra que tengo en Hotmail. Hotmail me dice

    – Intento 1 de Hotmail: Dispositivo no reconocido. Escriba el código de Microsoft Authenticator que está en la pantalla.

    – Intento 2 de Hotmail: Le enviaremos un SMS

    ———

    En definitiva, sin el móvil estaba jodido porque los 4 métodos de acceso a Google me requerían el móvil.

    Y eso es un problema. Otro día no será que se me olvide, sino que lo pierda o me lo roben. Entonces… entonces sí que estaré muy mal.

    PD: Llamé a mi contacto al volver a casa horas después y me disculpé. Menos mal que no era un cliente sino un amigo

  • #013
    Angel - 15 junio 2022 - 06:13

    Apple anunció la semana pasada el uso de “Passkey” en el nuevo iOS 16 que ahora está en Beta y llegará a todos los usuarios en Septiembre. Passkey está basado en FIDO.

  • #014
    Ignacio - 15 junio 2022 - 09:42

    Pregunto por desconocimiento total ¿Qué ventajas o diferencias tiene esto con metmask que usan muchos para identificarse anonimamente a distintos servicios? ¿Porque tengo que vincularme a un servicio centralizado con mis datos reales para acceder a una página de contenidos por ejemplo? ¿No es esto peor para el usuario?

  • #015
    PEPELU - 15 junio 2022 - 11:11

    Lo de cambiar el método de identificación no es más que un apalancamiento de una estrategia comercial que les viene muy bien a los fabricantes para obligar a renovar muchos de los dispositivos.

    Cuando p.ej. solamente sea posible identificarse con FIDO o similares, requieren que el dispositivo tenga el parche o versión nueva del OS. Si p.ej. como citan por arriba en apple es la 16 de su ios, resulta que si tu tienes un dispositivo incompatible con esa versión, a partir de una determinada fecha no podrás acceder a ciertos servicios porque ese OS no está actualizado

    No lo llamemos seguridad, llamemos al evento obsolescencia programada

  • #016
    Xaquín - 15 junio 2022 - 13:03

    Usando en cierto modo el modo «pasota», me gustaría comentar sobre el hecho cierto de que andamos como locos, por mejorar los algoritmos, e incluso hacer que ellos «nos hagan» más auténticos… pero yo me preguntaría, ¿para cuándo nos ponemos a trabajar en serio, en hacer más auténtica la versión mediocre del homo sapiens que somos actualmente?

    Porque los cambios evolutivos son muy muy lentos y, a este lánguido paso, nos va a coger en bragas y calzoncillos ( a algunes en tanga) la próxima generación de IA.

    Y, si no, al tiempo…

  • #017
    Matt - 15 junio 2022 - 14:15

    Pues estará muy bien para quien esconda secretos de estado y tal pero para el ciudadano comun la doble autenticación me parece un engorro molestísimo.

Dejar un Comentario a Jose antonio

Los comentarios están cerrados