Gracias a Apple, Microsoft y Google, las contraseñas finalmente morirán
Recientemente Apple, Google y Microsoft anunciaron sus planes para expandir la compatibilidad con un estándar común que permite iniciar sesión sin usar contraseñas, creado por la FIDO Alliance y el World Wide Web Consortium. En qué consiste y cómo funciona.

El estado de la seguridad en Internet es patético. No es de extrañar que el fraude alcance niveles tan altos cuando vastas franjas de Internet siguen dependiendo de las contraseñas para su seguridad. Las contraseñas no son seguridad. Y esto no es ninguna novedad. Ya que debió ser evidente una semana después de que el mundo se conectara a Internet y la gente inteligente exigiera el fin de la contraseña desde entonces.

Por poner un ejemplo, en los comienzos del milenio Bill Gates decía que las tarjetas inteligentes debían sustituir a las contraseñas y luego, en 2004, dijo en la Conferencia de Seguridad de la RSA que la contraseña tenían desaparecer, ya que podían "afrontar el reto" de mantenernos seguros. Era cierto en 1994, era cierto en 2004, en 2014 y seguirá siendo cierto en 2024.

Así que todos estamos de acuerdo en que las contraseñas son una mala idea, pero nos vemos obligados a utilizarlas. 

Bill Gates.

Las contraseñas han superado con creces su fecha de caducidad. El año pasado, las cinco contraseñas más utilizadas en Estados Unidos, según el gestor de contraseñas Nordpass, fueron "123456", "123456789", "12345", "qwerty" y "password". No es de extrañar que haya tantos hackeos, fraudes, tomas de posesión de cuentas y todo tipo de chanchullos que se derivan de la visión anticuada de que las contraseñas son una especie de solución de seguridad. No lo son, y nosotros (es decir, el sector de los servicios financieros digitales) sabemos desde hace años que deben morir.

Deben ser sustituidas por una criptografía real, preferiblemente en la que las claves criptográficas se almacenen en hardwares resistentes a la manipulación en lugar de en software. Un gran número de personas ya dispone de dispositivos adecuados. 

El año pasado, más de la mitad de los adolescentes y adultos estadounidenses tenían tabletas y la penetración de los teléfonos inteligentes, que sigue aumentando, será de casi el 90% este año. Estos dispositivos son casi una extensión de nuestro cuerpo. Alrededor de la mitad de los usuarios de teléfonos inteligentes de EE.UU. dicen que "no podrían vivir sin sus dispositivos" y un tercio de ellos miran sus teléfonos más de 50 veces cada día.

Contraseñas

Entonces, si la mayoría de la gente está la mayor parte del tiempo conectada a un dispositivo capaz de autenticar fuertemente las claves en un hardware resistente a la manipulación... ¿por qué seguimos utilizando contraseñas?

Bueno, puede que no estemos en este aprieto durante mucho más tiempo. Ya que recientemente Apple, Google y Microsoft anunciaron sus planes para expandir la compatibilidad con un estándar común que permite iniciar sesión sin usar contraseñas creado por la FIDO Alliance y el World Wide Web Consortium. Esta nueva funcionalidad permitirá que los usuarios cuenten con una manera sencilla, segura y unificada de iniciar sesión sin contraseña en sitios web y apps en diversos dispositivos y plataformas.

Cientos de proveedores de servicios y empresas de tecnología de todo el mundo se unieron a la FIDO Alliance y al W3C para crear estándares de inicios de sesión que no requieren contraseña y que ya son compatibles con miles de millones de dispositivos, así como con todos los exploradores web más modernos. Apple, Google y Microsoft han liderado el desarrollo de la expansión de esta serie de capacidades y, actualmente, las están integrando a sus respectivos entornos.

Apple

Las plataformas de estas empresas ya son compatibles con los estándares de la FIDO Alliance que permiten el inicio de sesión sin contraseñas en miles de millones de dispositivos líderes de la industria, pero las implementaciones hechas hasta ahora requieren que los usuarios inicien sesión en cada sitio web o app y en cada dispositivo antes de poder librarse finalmente del uso de la contraseña. Los anuncios expanden las implementaciones en estas plataformas para poner en manos de los usuarios dos nuevas maneras de iniciar sesión sin contraseña de forma segura y orgánica: 

  1. Permitir que los usuarios puedan acceder de forma automática a sus credenciales de inicio de sesión FIDO (que algunos llaman "passkey" en inglés) en varios dispositivos, incluso los nuevos, sin tener que volver a ingresar los datos para cada cuenta.
  2. Permitir a los usuarios usar la autenticación FIDO en sus dispositivos móviles para iniciar sesión en una app o sitio web abiertos en un dispositivo cercano e independientemente del sistema operativo o explorador que se esté ejecutando.
Google

Una llave de paso es una credencial, vinculada a lo que se conoce como un "origen" (es decir, un sitio web o una aplicación a la que se quiere acceder) y un dispositivo físico (un autentificador). Las claves de acceso permiten a los usuarios autenticarse sin tener que introducir un nombre de usuario, una contraseña o proporcionar cualquier factor de autenticación adicional. Estas credenciales siguen los estándares FIDO y W3C Web Authentication (WebAuthn). Los sitios web y las aplicaciones pueden solicitar que un usuario cree una clave de acceso para acceder a su cuenta.

Además de mejorar la experiencia de los usuarios, la amplia compatibilidad de este mecanismo basado en estándares permitirá a proveedores de servicio ofrecer credenciales FIDO sin contraseña como una alternativa a la hora de iniciar sesión o recuperar los datos de una cuenta.

La ciberseguridad en la infancia

El último inicio de sesión perdido
 

Apple se adhirió a FIDO hace un par de años. Llama a su propia implementación "Passkeys in iCloud Keychain" y lo que eso significa es que en el futuro, cuando inicie sesión en la aplicación de mi aerolínea o en el sitio web de mi hotel, me autenticará a través de mi iPhone. Algo así como el funcionamiento actual de "Iniciar sesión con Apple", salvo que funcionará en todos los lugares que implementen el estándar FIDO.

Del mismo modo, Microsoft anunció hace un tiempo que algunos de sus clientes podrían prescindir de las contraseñas, y siguió el año pasado diciendo a la gente que empezara a deshacerse de sus contraseñas por completo. Ya puede utilizar Windows Hello para iniciar sesión en cualquier sitio que admita claves de acceso, pero en un futuro próximo podrá iniciar sesión en su cuenta de Microsoft con una clave de acceso desde un dispositivo de Apple o Google.

La posibilidad de iniciar sesión en Windows con un Apple Watch, en Google con una tableta de Microsoft y en Apple con un teléfono Android es sin duda un cambio de juego y un paso para acabar con la fragmentación de las soluciones de identidad que deja al usuario típico luchando con gestores de contraseñas, notas adhesivas y mnemotecnias.

Nota publicada en Forbes US.