nunca hubo una pregunta que tomaría años para que el mundo dejara de usar contraseñas. La tecnología de autenticación digital, aunque profundamente defectuosa, es omnipresente y empedernida. Sin embargo, durante los últimos cinco años, la asociación de la industria de autenticación segura conocida como FIDO Alliance ha logrado avances reales en la promoción de las «claves de acceso», una alternativa sin contraseña para iniciar sesión en aplicaciones y sitios web. Y, sin embargo, probablemente sigas usando muchas contraseñas todos los días. De hecho, es posible que no tenga ninguna cuenta protegida por una clave de paso, a pesar de la amplia adopción por parte de Microsoft, Google, Apple y muchos más.
En la conferencia de seguridad de RSA en San Francisco la próxima semana, Christiaan Brand, copresidente del grupo de trabajo técnico de FIDO2 y gerente de productos de identidad y seguridad en Google, presentará una charla sobre nuevas funciones y el crecimiento en la adopción de claves de paso. También planea examinar los desafíos actuales a los que se enfrentan las claves de paso para contrarrestar la inercia que las contraseñas han acumulado durante décadas, y el largo juego de ir reduciendo lentamente el dominio de la contraseña.
“Lo que quiero destacar es lo lejos que hemos llegado, pero qué problemas siguen sin resolverse”, dice Brand. “Las contraseñas están en todas partes y son malas, pero todo el mundo está acostumbrado a ellas. Los usuarios no quieren ser sorprendidos y no les gusta el cambio. Por lo tanto, es muy importante pensar en las claves de acceso como un aumento. Necesitamos empujar a los usuarios hacia lo que será más fácil y más seguro».
Durante el año pasado, dice Brand, FIDO ha logrado un progreso significativo al implementar funciones para respaldar su visión sin contraseña. La infraestructura ahora está lista para respaldar las claves de acceso para que puedan sincronizarse entre dispositivos, obtener servicios que soliciten a los usuarios acerca de las claves de acceso en lugar de usar siempre el nombre de usuario y la contraseña de manera predeterminada, y usar la detección de proximidad basada en Bluetooth para compartir la autenticación de la clave de acceso entre dispositivos. Estos tres puntos abordan los principales problemas de usabilidad que FIDO se propuso mejorar públicamente hace un año.
Sin embargo, en la práctica, todavía hay obstáculos, y el desarrollo de estas soluciones ha llevado tiempo. Por ejemplo, Brand dice que el nuevo protocolo de detección de proximidad basado en Bluetooth se diseñó cuidadosamente para evitar los problemas de seguridad que a menudo afectan a las implementaciones de Bluetooth. La idea era eliminar la mayor parte de la funcionalidad de Bluetooth y utilizar exclusivamente el protocolo para comprobaciones de proximidad en lugar de transferencias de datos. Este enfoque ha permitido que las claves de acceso pasen por alto muchas de las peculiaridades y problemas de confiabilidad de Bluetooth al intentar emparejar dispositivos.
Sin embargo, desarrollar una «experiencia de usuario» (UX) coherente para las claves de paso en diferentes sistemas operativos y servicios web es un desafío constante. Si, por ejemplo, inicia sesión en su cuenta de Google desde una Mac usando contraseñas tradicionales, sus credenciales aún se verifican con lo que Google tiene registrado para su cuenta en uno de los servidores de la compañía. Pero los beneficios de seguridad y resistencia al phishing de las claves de paso provienen del hecho de que funcionan de manera diferente. Si usa una clave de acceso para iniciar sesión en su cuenta de Google desde una Mac, la verificación criptográfica se realiza localmente y Apple nunca está directamente involucrada; todo lo que el usuario experimenta durante la interacción lo facilita macOS, no Google.