Olvida tus contraseñas, mejora tu seguridad

Las llaves de seguridad, la biometría y una tecnología llamada FIDO están mejorando los débiles cimientos de la seguridad actual.

Son difíciles de recordar, los hackers se aprovechan de sus debilidades y las correcciones suelen traer sus propios problemas. Dashlane, LastPass, 1Password y otros gestores de contraseñas generan contraseñas fuertes y únicas para cada cuenta que tienes, pero el software es complejo. Los servicios de Google, Facebook y Apple te permiten usar tus contraseñas para sus servicios en otros sitios, pero tienes que darles aún más poder sobre tu vida online. La autenticación de dos factores, que requiere una segunda clave de acceso enviada por mensaje de texto o recuperada de una aplicación especial cada vez que inicias sesión, aumenta la seguridad de forma drástica, pero aún así puede ser derrotada.

Un gran cambio, sin embargo, podría eliminar las contraseñas por completo. La tecnología, llamada FIDO, revisa el proceso de inicio de sesión, combinando el teléfono, el reconocimiento de cara y huellas dactilares y nuevos gadgets llamados llaves de seguridad de hardware. Si cumple con su promesa, FIDO hará que las contraseñas sean dignas de confianza como reliquias "123456" de una época pasada.

"Una contraseña es algo que se sabe. Un dispositivo es algo que tienes. La biometría es algo que eres", dijo Stephen Cox, arquitecto jefe de seguridad de SecureAuth. "Nos movemos hacia algo que tienes y algo que eres".

Esta semana, estamos echando un vistazo a los cambios que nos ayudarán a liberarnos de los problemas de contraseñas. Estos cambios son un esfuerzo masivo que te afectará cada vez que revises un correo electrónico, transfieras dinero o entres a la red de tu empleador. Examinaremos los enfoques de autenticación que prescinden de las contraseñas, los defectos de la autenticación de dos factores y cómo utilizar los administradores de contraseñas de forma más eficaz. También proporcionaremos algunos consejos actualizados sobre la elección de contraseñas, porque las mejoras más profundas de las contraseñas tardarán años en llegar.

Las contraseñas de los ordenadores han estado cargadas desde al menos los años 60. Allan Scherr, un investigador del MIT, descubrió las contraseñas de otros investigadores para poder usar sus cuentas para continuar su "robo de tiempo de la máquina" para su propio proyecto. En la década de 1980, el astrofísico de la Universidad de California, Berkeley, Clifford Stohl, siguió la pista de un hacker alemán a través de los ordenadores del gobierno y del ejército que quedaron inseguros porque los administradores no cambiaron las contraseñas predeterminadas.

La naturaleza de las contraseñas nos lleva a ser perezosos. Las contraseñas largas y complejas, las más seguras, son las más difíciles de crear, recordar y escribir. Por eso muchos de nosotros por defecto las reciclamos.

Es un gran problema porque los hackers ya tienen muchas de nuestras contraseñas. El servicio Have I Been Pwned incluye 555 millones de contraseñas expuestas por violaciones de datos. Los hackers automatizan los ataques mediante el "relleno de credenciales", intentando una larga lista de nombres de usuario y contraseñas robadas para encontrar las que funcionan.

Fast Identity Online, más conocido como FIDO, aborda estos problemas. Estandariza el uso de dispositivos de hardware, como las claves de seguridad, para la autenticación. Yubico, Google, Microsoft, PayPal y Nok Nok Labs, entre otros, están desarrollando FIDO.

Las llaves de seguridad son equivalentes digitales a las llaves de casa. Se conectan a un puerto USB o Lightning, lo que permite que una sola llave de seguridad digital funcione de forma segura con muchos sitios web y aplicaciones. La llave puede encajar con la autenticación biométrica como el Face ID de Apple o el Hello de Windows. Algunas llaves se pueden usar de forma inalámbrica.

https://youtu.be/y_TrqRINSnE

FIDO también permite a los sitios y servicios reemplazar las contraseñas por completo, un cambio que podría facilitar su vida de acceso incluso si hace más difícil la piratería.

Los fans tienen la suficiente confianza para hacer proyecciones audaces sobre su propagación. "En los próximos cinco años, todos los principales servicios de Internet para consumidores tendrán una alternativa sin contraseña", dice Andrew Shikiar, director ejecutivo de la Alianza FIDO, un consorcio industrial. "La mayoría de ellos utilizarán FIDO".

Dado que sólo funciona con sitios web legítimos, FIDO detiene el phishing, un tipo de ataque de seguridad en el que los piratas informáticos utilizan un correo electrónico fraudulento y un sitio falso para engañar a los usuarios para que entreguen su información de acceso. FIDO también alivia las preocupaciones de las empresas sobre las catastróficas violaciones de datos, en particular de información confidencial de los clientes, como las credenciales de las cuentas. Las contraseñas robadas no bastarán para que un hacker se conecte, y si FIDO se da cuenta, las empresas podrían no requerir contraseñas para empezar.

Aquí hay una forma en que el inicio de sesión basado en FIDO funciona sin contraseñas. Visitarás una página de inicio de sesión en un sitio web con tu portátil, escribirás tu nombre de usuario, conectarás tu llave de seguridad, tocarás un botón y luego usarás la autenticación biométrica del portátil, como el Touch ID de Apple o el Hello de Windows.

También podrás usar tu teléfono como clave de seguridad. Escriba su nombre de usuario, obtenga un aviso en su teléfono, desbloquéelo y apruebe su sistema de autenticación biométrica. Si estás usando tu portátil, el teléfono se comunica por Bluetooth.

FIDO apoya la protección que ofrece la autenticación multifactorial, que requiere que pruebes tus credenciales de acceso al menos de dos maneras.

Su primer encuentro con FIDO probablemente no se verá muy diferente a la autenticación de dos factores. Primero escribirás una contraseña convencional, y luego conectarás una llave de seguridad de hardware de FIDO.

El proceso sigue utilizando contraseñas, pero es más seguro que las contraseñas solas o contraseñas reforzadas por códigos enviados por SMS o recuperados de autentificadores como Google Authenticator. Este enfoque - contraseña más clave de seguridad - es la forma en que se puede utilizar FIDO hoy en día en Google, Dropbox, Facebook, Twitter y servicios de Microsoft como Outlook.com y eventualmente Windows.

"Las llaves de seguridad de hardware son muy, muy seguras", dijo Diya Jolly, jefe de producto de la empresa de servicios de autenticación Okta. Por eso las campañas del Congreso, la división de servicios informáticos del gobierno canadiense y todos los empleados de Google las usan.

Los servicios de consumo actuales a menudo requieren que se conecten las claves sólo cuando se inicia la sesión por primera vez en un nuevo PC o teléfono, o cuando se realiza una acción particularmente sensible como la transferencia de dinero de la cuenta bancaria o el cambio de contraseña. Por supuesto, una clave de seguridad puede ser una molestia si no la tiene disponible cuando la necesita.

Las claves de seguridad que están a la venta hoy en día incluyen los Yubikeys de Yubico y el Titan de Google. Los modelos básicos cuestan 20 euros, pero te gastarás 40 euros o más si quieres unos que soporten puertos USB-C o Lightning o comunicaciones inalámbricas. Los modelos avanzados como el ThinC de Ensurity, el Goldengate G320 de eWBM y el BioPass de Feitian tienen lectores de huellas digitales incorporados, una característica en la que Yubico también está trabajando.

https://youtu.be/LT3XiRARdgA

Yubico YubiKey

Yubico es uno de los mayores vendedores de llaves de seguridad. Este modelo básico de YubiKey se conecta a los puertos USB. Tienes que tocar el botón para mostrar que estás realmente presente mientras lo usas.

Deberías comprar al menos dos llaves en caso de que pierdas, rompas u olvides tu llave principal. Con la mayoría de los servicios, puede registrar varias llaves, así que puede dejar una en casa o en una caja de seguridad.

Google incorporó la tecnología clave de FIDO directamente en Android en 2019 e hizo lo mismo con su software de iPhone en Enero. Esto le permite acceder a su cuenta de Google en su computadora portátil con un aviso que aparece en su teléfono, siempre y cuando esté dentro del alcance de Bluetooth de su portátil. Espera que este enfoque se extienda más allá de Google.

Los sitios web y los navegadores obtienen la autenticación FIDO con una función llamada WebAuthn. FIDO está incorporado en Android para que las aplicaciones también lo puedan usar, y Apple acaba de unirse a la Alianza FIDO, lo cual es un buen augurio para el soporte de FIDO en las aplicaciones de iPhone.

Microsoft también es un gran partidario. Se adelantó a Google al permitir el acceso sin contraseña a Outlook, Office, Skype, Xbox Live y otros servicios en línea. Necesitará una llave de hardware combinada con la tecnología de reconocimiento de rostros de Windows Hello o una identificación de huellas dactilares; una llave de hardware combinada con un código PIN; o un teléfono que ejecute la aplicación Authenticator de Microsoft.

La FIDO utiliza la tecnología de criptografía de clave pública que ha protegido los números de tarjetas de crédito en línea durante décadas. Una gran ventaja de este enfoque es que un dispositivo de seguridad de FIDO, ya sea una clave de seguridad de hardware o un teléfono que actúa como tal, no funcionará con sitios web falsos, una trampa común tendida por los piratas informáticos cuando buscan contraseñas. A diferencia de las personas, que a menudo no se dan cuenta de un sitio web falso bien elaborado, las claves de seguridad están registradas para funcionar sólo con un sitio legítimo.

"Con las claves de seguridad, en lugar de que el usuario tenga que verificar el sitio, éste tiene que demostrar su valía con la clave", escribió Mark Risher, líder del trabajo de autenticación en Google, en una entrada de blog. Los intentos de phishing exitosos se redujeron a cero en Google después de que trasladó a sus decenas de miles de empleados a las claves de seguridad.

La ausencia de contraseñas también significa una disminución de datos sensibles para que los hackers los roben. Eso es música para los oídos de los administradores de TI. Con FIDO, dice Cox de SecureAuth, las empresas ya no tienen "bases de datos centralizadas de credenciales para ser robadas".

Aquí están las malas noticias. No será fácil pasar a nuestro futuro sin contraseña. Todos estamos acostumbrados a las contraseñas, y estamos más o menos cómodos con su funcionamiento. Todos tenemos nuestros propios trucos para mantenerlas ordenadas.

Configurar las claves de seguridad es más difícil que elegir una contraseña. Es complicado porque los diferentes sitios web usan diferentes procedimientos para registrarse y usar las claves de seguridad. Por ejemplo, Twitter te permite usar una sola clave de seguridad de hardware hoy en día, lo que significa que las claves de seguridad no funcionarán.

El registro - el proceso de registrar una clave de seguridad en un servicio - "es un problema terrible", dijo Jerrod Chong, jefe de soluciones de Yubico, una empresa de 12 años de edad que fabrica claves de seguridad y es un actor importante en la Alianza FIDO. Sin embargo, espera que la inscripción mejore. (De hecho, el uso de las claves de seguridad se ha vuelto más fácil a lo largo del año que llevo haciéndolo).

Multiplica el número de cuentas que tienes por el número de llaves que tienes, y tendrás una idea de la molestia de la gestión de llaves que enfrentas. Las llaves de seguridad del hardware también pueden romperse o ser robadas, y las llaves Bluetooth pueden quedarse sin batería.

"La mayoría de la gente está familiarizada con las contraseñas. Es algo con lo que han crecido. Está impresa en ellas", dijo el analista de seguridad de Forrester, Chase Cunningham. "Desde el punto de vista del consumidor, estamos probablemente a cinco o siete años de que matar contraseñas sea una realidad."

Dentro de las empresas, las llaves de seguridad de hardware no serán una venta fácil. Cuestan dinero, los empleados las pierden u olvidan, y, quizás lo más importante, son diferentes a lo que la gente está acostumbrada. Pero seamos sinceros, la mayoría de la gente ni siquiera permite la autenticación de dos factores, aunque eso mejoraría dramáticamente su seguridad.

"Los nombres de usuario y las contraseñas siguen siendo la opción más frecuente", dijo Matias Woloski, CTO y cofundador de Auth0, que vende servicios de autenticación. "Nadie quiere intentar no proporcionar esa opción."

Aún así, es importante sopesar los problemas con las claves de seguridad contra los que ya tenemos con las contraseñas.

Las claves de seguridad de hardware frustran el cibercrimen a gran escala que permiten las contraseñas. Los mecanismos para restablecer las contraseñas olvidadas son caros y pueden ser explotados por los hackers que roban cuentas. Y afrontémoslo... es prácticamente imposible recordar contraseñas fuertes y únicas para todos los sitios que se utilizan.

Las llaves de seguridad y los teléfonos con FIDO y los inicios de sesión sin contraseña mejorarán la seguridad fundamentalmente débil, dice Joe Diamond, vicepresidente de productos de Okta. "Es claramente el futuro".