Las contraseñas no funcionan muy bien para las webs modernas y las aplicaciones. Son inseguras, difíciles de recordar y un gran dolor de gestión por la protección básica que ofrecen. Ahora Chrome y Firefox están liderando la campaña para eliminar las contraseñas de la web para siempre.
Este esfuerzo para convertir los logins en eficientes, seguros y fluidos viene de una norma de autenticación propuesta por la Alianza FIDO (Fast Identity Onlineen inglés) y el World Wide Web Consortium (W3C), la organización de estándares responsable por la mayoría de normas en internet. La nueva norma tiene soporte de Firefox 60 y Chrome 67, y así funciona.
Las contraseñas son malas, pero labiometría es buena
La idea detrás del estándar de Autenticación Web (también conocido como WebAuthn en inglés) es una en la cual puedes utilizar todo tipo de opciones en lugar de una contraseña, como una huella, una cámara web, un USB conectado a tu ordenador, etc. Estos métodos de login han existido por muchos años, pero AutenticaciónWeb está diseñado para conseguir que se conviertan en el estándar a lo largo dela web y que se integren de forma eficiente a los logins en línea.
Tal como con las contraseñas, el protocolo permite que las web les pongan un reto a los usuarios para que confirmen su identidad. En este caso, sin embargo, todo está bajo la seguridad más alta posible. Solo funciona con HTTPS y no se transmite información personal. Por lo tanto, nadie que mira por en encima de tu hombre o que está a unas cuantas mesas de tu lado en una cafetería va a poder robar tus credenciales.
En práctica, hay varias formas diferentes para que esto funcione. En un caso, estás registrándote para una nueva cuenta sin utilizar tu móvil. En vez de introducir otro nombre de usuario o contraseña, la web te pregunta si quieres registrarte con tu dispositivo actual. Accedes, confirmas tu identidad con una huella o un código PIN (justo lo que harías si estuvieras comprando algo de una tienda de aplicaciones), y estás dentro.
Si estás entrando mediante un portátil, podrías recibir un mensaje que dice que tienes que entrar utilizando tu móvil. Luego puedes utilizar la huella de tu teléfono o tu cara para demostrar que eres quien dices que eres. La comunicación sería gestionada mediante NFC o Bluetooth. De forma alternativa, la web podría comprobar si tienes un USB registrado conectado al ordenador en vez de pedir una contraseña.
En realidad, es una extensión lógica de lo que ya hacen los navegadores: guardar tus contraseñas y rellenarlas automáticamente cuando las necesitas. La mayoría de nosotros ya tenemos nuestros credenciales guardados en el navegador, con algo como una contraseña de Windows o macOS para prevenir que otros accedan al navegador y entren en las webs que quieran.
Con WebAuthn, esto se convierte en un proceso aún más simple. Solo se requiere un clic en la mayoría de los casos. Un beneficio añadido es que la próxima vez que un montón de contraseñas se filtran a la web, no tienes que preocuparte tanto, porque todavía tienes tu huella, los contornos de tu cara o un USB para acceder a las webs que necesitas.
Si utilizas el Smart Lock en Chromebook o tu Apple Watch para desbloquear tu Mac, es casi igual. Cuando aparece la pantalla de login en tu ordenador, si hay un dispositivo verificado cerca, el proceso empieza automáticamente. No hay necesidad de seleccionar una cuenta o introducir una contraseña. WebAuthn quiere hacer que el proceso de acceder una web sea igual de fácil.
Todavía hay varias asuntos que se necesitan resolver, como tener un sistema de recuperación por si te hackean y a asegurar que es fácil cambiar de teléfonos. Pero es un paso significativo con respecto a comodidad y seguridad frente a pensar en 100 contraseñas y usuarios o tener que abrir la aplicación de autenticación de dos pasos cada vez que quieres entrar en un sitio nuevo.
Tal como hemos mencionado, la tecnología tiene soporte en Mozilla Firefox y Google Chrome y llegará a Microsoft Edge en el futuro próximo. Hasta ahora Apple no ha comentado sobre ofrecer soporte para WebAuthn en Safari. La empresa es miembro de W3C pero no de FIDO, así que saca tus propias conclusiones.
¿Cuándo puedo usarlo?
Aunque tenga soporte de empresas grandes, sigue siendo una tecnología experimental. Además, el W3C solo ha recomendado que las webs lo adopten, pero no lo han requerido.
Todavía no hemos visto a una web de consumo popular utilizar esta nueva tecnología, aunque los grandes nombres afirman que lo apoyarán en el futuro.
Sin embargo, puedes obtener algo parecido a WebAuthen ahora para preparar para cuando las cosas cambien. Una opción es el estándar FIDO Universal de Segundo Factor, lo cual es una especie de precursor a la Autenticación Web. Gmail es una web que tiene soporte para U2F, así que en vez de utilizar una aplicación de autenticación, puedes usar un USB verificado. La tecnología también funciona con Facebook. Esto no reemplaza tu contraseña, pero sí te proporciona con protección de dos pasos.
Mientras esperamos a que llegue WebAuthn, deberías por lo menos guardar tus contraseñas de la forma más segura posible. Siempre hemos apoyado la idea de utilizar un gestor de contraseñas con buena reputación para vigilar tus credenciales. Los mejores hasta sugieren contraseñas difíciles de hackear para nuevas webs. Estos gestores de contraseñas — como 1Password, Keeper, Dashlane o LastPass — funcionan en ordenadores, móviles, aplicaciones o webs.
La mayoría de los navegadores modernos también gestionan tus contraseñas. Si todavía no te has aprovechado de esta función, es buena idea hacerlo mientras que esperas que WebAuthn mate a la contraseña. En Chrome puedes activar esta opción en Avanzado y Gestionar contraseñas en Ajustes, por ejemplo. En Firefox, la opción está en Preferencias bajo Privacidad & Seguridad y luego Formularios y contraseñas.
La gestión de contraseñas de Safari va más allá del navegador gracias a la ayuda de iCloud Keychain, un sistema multifunción que guarda los usuarios y contraseñas de varios dispositivos (siempre que esos dispositivos hayan sido fabricados por Apple). Puedes activarlo mediate la opción de iCloud en tu cuenta en los ajustes de iOS. Apple está mejorando esta funcionalidad en iOS 12 y macOS 10.14 Mojave y ofrecerá la opción de generar contraseñas fuertes así como guardarlas.
Google no se queda atrás. Ahora permite que su Smart Lock recuerde las contraseñas y credenciales para todos tus dispositivos (siempre que esos dispositivos tengan software de Google). Las contraseñas que guarda Google en Chrome y Chrome OS se copian automáticamente cuando registras un dispositivo Android con la misma cuenta de Google, lo cual permite acceso fácil a tus aplicaciones. También puedes ver todas tus contraseñas en la web.
La experiencia de usuario para la mayoría de estos servicios modernos es similar a lo que traerá WebAuthn, pero siguen sujetados a contraseñas. Estas herramientas simplemente permiten que gestiones las contraseñas de forma más fácil.
Autenticación Web quiere borrar las contraseñas, lo cual haría que entrar en una web sea tan fácil como desbloquear tu móvil con un dedo. El trabajo en el estándar sigue, así que tendrás que seguir recordando tus contraseñas por un tiempo más.
0 Comentarios