Autenticación: El fin del password

Grado de dificultad: 1 (Tampoco son nociones complejas).

Columnista: Roberto

Microsoft y Google no quieren más “passwords”

Login & Password en camino hacia la obsolescencia

Dos grandes entidades informáticas nos están enviando un mensaje importante.

Microsoft:
- Microsoft’s CISO: Why we’re trying to banish passwords forever (artículo en ZDNet),
Y Google:
- Google Verificación en dos pasos

La mención de estos dos nombres ya capta nuestra atención.

Se trata de suprimir la noción de clave de acceso de los métodos de acceso a servicios protegidos.

Conocemos este tradicional método de acceso informático como “login & password”, y es tan viejo como la Informática.

Pero este se volvió flojo con el tiempo. Hoy, es con él que empiezan todas las técnicas de engaño.

La clave de acceso que nadie cambia

El “Login” es víctima de su propia universalidad: todos los sitios con acceso restringido lo usan. En consecuencia, nos queda muy complicado inventar una clave nueva para cada caso.

Así que usamos pocas claves diferentes, o tal vez solo una ¿no es cierto? Luego, la cantidad de cuentas que tenemos aumentó el riesgo de que una falla de seguridad la(s) exponga.

Ciertas corporaciones, obligaron a sus empleados a cambiar su clave cada periodo fijo (de 2 o 3 semanas). Los que lo han vivido sabrán de tan engorroso es.

Para no olvidar esta clave, elegiremos una, luego le añadiremos un numero al final, que incrementaremos a cada periodo… Inevitablemente, vendrá el momento donde nos olvidaremos de este número …

Los administradores de sistemas se la pasan reiniciando claves (#Aburrido).

MFA nuevo modo de autenticación

Un procedimiento que aprender

En estos últimos años, para luchar contra esta insostenible situación, se creó una nueva técnica:

2FA (2 Factors Authentication)
o, mejor, MFA (Multiple Factor Authentication).

El principio está bien descrito en el artículo dedicado en Wikipedia:

Autenticación de múltiples factores

O, si lo prefieren, en el siguiente video en YouTube:

Video conseguido en el canal YouTube AlbertoLopez TECH TIPS

Nota: por cierto, este canal YouTube es reciente y merece nuestro apoyo…

Es un método que se está generalizando. Además de Microsoft, Google o Apple, son, ahora, muchos otros. Lean, por ejemplo, el siguiente artículo de PCMag (artículo en inglés):

Two-Factor Authentication: Who Has It and How to Set It Up

En su esencia, el principio parece sano, y lo es. Sin embargo …

Las costumbres son difíciles de cambiar

No va a ser tan fácil cambiar las costumbres de billones de internautas.

Un problema típico es el medio de confirmación utilizado: el más universal es nuestro Smartphone.

El envío del código supone que el servicio que lo hace esté siempre disponible. Y no es así:

El servicio puede momentáneamente no estar disponible,
Puede estar sobrecargado (o subdimensionado),
La interconexión entre redes celular e Internet no es tampoco tan evidente.

En varias oportunidades, nos tocará aplazar nuestra petición. Es un inconveniente mayor, que validará la desconfianza de los internautas.

MFA implica cuentas individuales

Otro problema es que ciertos accesos están compartidos entre varias personas. Pequeños comercios y familias suelen, frecuentemente, estar en este caso.

Que quede claro que la doble autenticación exige que una cuenta sea individual.

No es un impedimento, sino que implica una multiplicación de las cuentas de acceso a un mismo servicio.

Pero no siempre estos servicios lo permiten, ni los dummies están muy receptivos a eso …

“Estabilizar” esta situación tomará tiempo.

Hacia la era de las llaves físicas

Pero el tiempo parece contado: los anuncios de Microsoft y de Google son un campanazo.

Nos quedan solo unos meses, en 2021.

Sin embargo, nos podemos “subir a este tren” más fácilmente que con las engorrosas secuencias de doble autenticación … Y de manera mucho más segura.

Como las llaves que usamos para entrar en nuestras casas, existen llaves físicas de autenticación.

Una marca ya está bien establecida sobre el mercado: Yubico.