Después de una década de trabajo, FIDO Alliance dice que encontró la pieza que faltaba en el puente hacia un futuro sin contraseñas. Probablemente aún no nos sintamos tan cerca como decimos de este desafío digital.
Sin embargo, diez años después de trabajar en el tema, FIDO Alliance, una asociación de la industria que trabaja específicamente en la autenticación segura, cree que finalmente ha identificado la pieza faltante.
La organización publicó un paper (descarga) que presenta la visión de FIDO para resolver los problemas de usabilidad que obstaculizan las funciones sin contraseña. Aparentemente, estos han impedido que logren una adopción generalizada. Los miembros de FIDO colaboraron para producir el documento y abarcan fabricantes de chips como Intel y Qualcomm. También destacados desarrolladores de plataformas como Amazon y Meta o instituciones financieras como American Express. Finalmente, también cuentan con los desarrolladores de los principales sistemas operativos: Microsoft, Google y Apple.
Un futuro sin contraseñas
El documento es conceptual, no técnico. Sin embargo, después de diez años de inversión para integrar lo que se conoce como los estándares sin contraseña FIDO2 y WebAuthn en Windows, Android, iOS y más, ahora todo depende del éxito de este próximo paso.
«La clave del éxito de FIDO es estar fácilmente disponible. Debemos ser tan ubicuos como las contraseñas». Esto lo dijo Andrew Shikiar, director ejecutivo de FIDO Alliance. «Las contraseñas son parte del ADN de la web misma, y estamos tratando de suplantarlas. No usar una contraseña debería ser más fácil que usarla».
Sin embargo, en la práctica, incluso los esquemas sin contraseña más fluidos no funcionan del todo. Parte del desafío simplemente radica en la enorme inercia que han acumulado las contraseñas. Estas son difíciles de usar y administrar, lo que lleva a las personas a tomar atajos como reutilizarlas entre cuentas. Esto crea problemas de seguridad todo el tiempo. Sin embargo, en última instancia, son el malo conocido. Educar a los consumidores sobre las alternativas sin contraseña y hacer que se sientan cómodos con el cambio, ha resultado un reto difícil.
No obstante, más allá de simplemente aclimatar a las personas, FIDO busca llegar al corazón de lo que todavía hace que los esquemas sin contraseña sean difíciles de navegar. El grupo concluyó que todo se reduce al procedimiento de cambiar o agregar dispositivos. Si el proceso para configurar un nuevo teléfono, por ejemplo, es demasiado complicado y no hay una manera simple de iniciar sesión en todas las aplicaciones y cuentas, o si tienes que recurrir a las contraseñas para restablecer la propiedad de esas cuentas, entonces la mayoría de los usuarios concluirán que es demasiado complicado cambiar lo establecido.
Más seguridad con menos códigos
El estándar FIDO sin contraseña ya se basa en los escáneres biométricos de un dispositivo (o un PIN maestro que seleccione) para autenticarlo localmente sin que ninguno de los datos viaje por Internet a un servidor para su validación. El concepto principal que FIDO cree que resolverá el problema del nuevo dispositivo, es que los sistemas operativos implementen un administrador de credenciales FIDO. Esto es algo similar a un administrador de contraseñas integrado. En lugar de almacenar literalmente contraseñas, esto almacena claves criptográficas. Estas pueden sincronizarse entre dispositivos y están protegidas por el bloqueo biométrico o de código de acceso del dispositivo.
Para FIDO, la mayor prioridad es un cambio de paradigma en la seguridad de la cuenta que hará que el phishing sea cosa del pasado. Los atacantes se han convertido en expertos en engañar a los usuarios para que entreguen sus contraseñas sin querer. Incluso pueden vulnerar los códigos de autenticación de doble factor. Tales estafas facilitan las victorias de los criminales.