Parece que las contraseñas ya no son suficientes

0 143

El agujero de seguridad conocido como Heartbleed, que tanto ha sonado últimamente (hasta tiene una página web), puso en riesgo a dos tercios de los servidores del mundo. Piratas informáticos pudiesen acceder a la información almacenada en ellos, aprovechando ese fallo en la biblioteca de seguridad OpenSSL. Como consecuencia, los administradores de servidores han tenido que aplicar el respectivo “parche” correctivo y han sugerido a los usuarios de diversos servicios en Internet, que cambien sus contraseñas.

Esto ha puesto en evidencia (una vez más) que la seguridad basada en contraseñas no es muy eficiente que digamos.

Contraseñas

contraseña

En Internet, las contraseñas se han utilizado prácticamente desde los inicios de la Web. Es un método rápido y simple para proteger las cuentas de usuario. Sin embargo, ese sistema tienen una serie de inconvenientes.

Si son demasiado simples, las contraseñas pueden ser descifradas por programas especiales hechos para ese fin (lo que se conoce como un ataque de fuerza bruta). Si un servidor es “hackeado”, las contraseñas almacenadas en su base de dato pueden quedar al descubierto. Si alguien utiliza una misma contraseña para más de una cuenta, y es descubierta, queda comprometida toda presencia en la Web para esa persona. Por otro lado, si se utilizan varias contraseñas, se hace difícil recordarlas.

En resumen, como medida de seguridad, las contraseñas eran suficientemente buenas en los albores de la Web. Pero eso ha cambiado en la actualidad. Los expertos en seguridad han estado prediciendo desde hace algún tiempo, que las contraseñas serán sustituidas. De hecho, el mismo Bill Gates en 2004 se refirió a las contraseñas como uno de los talones de Aquiles de la seguridad informática.

El desafío con la sustitución de las contraseñas en la Web es que las alternativas, no sólo tienen que ser más seguras, sino que tienen que ser relativamente fáciles de usar. Estamos tan acostumbrados a las contraseñas, que es poco probable que la gente acepte métodos que compliquen demasiado los procesos para iniciar una simple sesión, en algún sitio que frecuentamos.

Posibles alternativas

Autenticación Biométrica

biometria

La autenticación biométrica es la alternativa más conocida a las contraseñas. Todo el mundo sabe que las huellas dactilares se pueden utilizar para identificar a las personas, y dispositivos como el Samsung Galaxy S5 y el iPhone 5S de Apple, tienen escáneres de huellas digitales.

Otros métodos de autenticación biométrica incluyen el escaneo del iris por ejemplo, como el usado por el Myris de EyeLock.

Sin embargo, hasta en el popular programa Los Cazadores de Mitos, lograron burlar sistemas de seguridad basados en la biometría. Con eso queda demostrado que no es un método muy seguro. Además, ¿te imaginas que alguien lograra utilizar tu huella digital? ¿Deberías entonces cambiar tus huellas digitales, como lo hacemos con las contraseñas?… Imposible!

SQRL

qr

El nombre de este método viene de Secure Quick Reliable Login, que traducido sería algo como Acceso Seguro Rápido y Confiable. SQRL es un método que actualmente está en desarrollo y, por lo que se ve, suena bastante interesante. Fue ideado por el ingeniero en computación Steve Gibson.

El método se basa en lo que se conoce como criptografía asimétrica. Y la idea es que los sitios web muestren un código QR donde uno, como usuario, deba identificarse. Entonces, utilizando una aplicación que se instalaría en el móvil, se escanea ese código. Al hacerlo, la aplicación genera un par de claves (pública y privada). La clave privada se guardaría en el smartphone y sólo se enviaría la clave pública al servidor del servicio que uno quiere acceder.

Claro, la anterior es una explicación muy superficial. Al final de cuentas, lo que pasa es que el servidor no guarda ninguna información del usuario. Únicamente almacena lo que se conoce como la clave pública.

Entonces, en la práctica el usuario simplemente debe escanear el código QR, y sin escribir ni hacer nada más, el sistema se encarga de hacer la autenticación. El resguardo de la clave privada queda en manos del usuario.

Como se dijo antes, es un sistema que todavía se está diseñando y perfeccionando. Y a pesar de que está bastante “crudo”, ya ha llamado la atención de Google. Eso quiere decir que va por buen camino.

Autenticación de dos factores

autenticacion-de-dos-factores

Esto no es una alternativa propiamente dicha, sino más bien una forma de reforzar el método de contraseñas que conocemos. Los servicios bancarios lo emplean con frecuencia. Y también puede ser configurado en otros sitios como Google, Facebook, Twitter, Microsoft, etc.

Consiste básicamente en realizar la autenticación en dos etapas: primero utilizamos nuestro usuario y contraseña, como es lo habitual. Luego, el sistema al que estás tratando de ingresar, genera un código aleatorio, y nos lo manda por SMS al teléfono celular o, en ocasiones, también lo podemos recibir por correo electrónico. Luego, ese código debe ser copiado y enviado para así completar la autenticación.

No es tan rápido o cómodo como usar una contraseña simple, pero mejora bastante la seguridad. Si un hacker obtiene nuestro password, todavía tendría que tener acceso a nuestro móvil o cuenta de correo. Eso le complica las cosas a los piratas informáticos.

El Futuro

Como un medio de autenticación, existe un consenso generalizado de que las contraseñas, por sí solas, no son suficientes. La tecnología ya puede estar por ahí, y nosotros como usuarios, sólo podemos esperar a que sea bastante simple y conveniente.

El genio que resuelva este problema, sin duda que se hará muy famoso.

Más Temas Interesantes

Deja un Comentario

Tu dirección de correo electrónico no será publicada.