Es uno de los temas que los usuarios llevamos más tiempo esperando: una forma de solucionar el problema de la identificación segura que no dependa de sabernos una contraseña.
Varias décadas de uso de la contraseña nos han llevado a la desastrosa situación en la que estamos actualmente: en un mundo en el que los usuarios gestionan una media de noventa cuentas y servicios en la red, alrededor de un 51% de las contraseñas son reutilizadas, las contraseñas son la causa de cerca del 80% de las intrusiones y robos de datos, y una de cada tres compras en la red son abandonadas por la incapacidad para recordar una contraseña o gestionar un sistema de autenticación.
La solución al problema, finalmente, viene de la FIDO Alliance: FIDO responde a Fast IDentity Online, cuenta entre sus miembros con la práctica totalidad de las compañías importantes en la red, y permite una autenticación multifactor sin compartir nuestros datos biométricos con nadie, sin contraseñas, y de una manera segura que impida mecanismos como el phishing. Hasta ahora, la aproximación de incluir un segundo factor de autenticación como una contraseña de un solo uso enviada por SMS o correo electrónico contaba con un problema fundamental: el canal utilizado para el envío no era especialmente seguro. Si en su lugar utilizábamos como segundo factor un número generado por una aplicación de autenticación, la página de login podía suplantarse, y podíamos terminar metiendo todas nuestras credenciales precisamente en la página del delincuente que las quería utilizar.
La idea central de FIDO es utilizar una credencial que es almacenada en alguno de mis dispositivos y a la que puedo acceder mediante mi huella dactilar o mi cara, y que es utilizada para la autenticación sin necesidad de recordar ni teclear ninguna contraseña. Vincular la autenticación a esta credencial, que puede ser la misma para múltiples servicios, permite no solo un proceso mucho más conveniente, sino además, la posibilidad de almacenar esa credencial en la red para el caso en que nos roben o perdamos un dispositivo determinado: con otro dispositivo autenticado podemos llevar a cabo un proceso de recuperación, y acceder a todas nuestras cuentas e información.
El eje del sistema son las llamadas credenciales multidispositivo, o passkeys, capaces de funcionar en todos los dispositivos de un usuario independientemente de su sistema operativo y de los servicios que esté utilizando. A partir de ahí, el segundo dispositivo utilizado para la autenticación debe estar físicamente cerca del primero, lo que impide una suplantación desde una segunda localización. Básicamente, utilizarías tu smartphone con su sistema de autenticación propio (huella o cara) para autenticarte en un servicio en tu ordenador. De esta forma, si un atacante remoto intenta iniciar sesión, el propietario de la cuenta no podría utilizar sus dispositivos para confirmarlo, dado que no se encontrarían físicamente cerca del dispositivo que inició el proceso.
El uso de FIDO puede además incluir cualquier otro tipo de sistemas de autenticación, desde escáner de iris o lectores de huella, hasta tokens de seguridad USB, smart cards o NFC. La idea es que el sistema sea todo lo abierto e inclusivo que sea posible para integrar a todos los servicios que un usuario pueda querer o necesitar utilizar, y que las distintas plataformas pongan en marcha su despliegue antes del próximo año.
Un mundo con seguridad, pero sin contraseñas. Ya iba siendo hora…
Publicada en Enrique Dans (14.06.2022)