Las personas tienen una larga historia en el uso de contraseñas. Repasemos el desarrollo de las contraseñas y tecnologías de autenticación (2FA, MFA, OTP, U2F, FIDO2). Además, puedes encontrar nuestro manual sobre cómo dejar de usar contraseñas en 2020.
Contenido
El Ascenso (¿y Caída?) de las Contraseñas
El Ascenso (¿y Caída?) de las Contraseñas
Las personas han usado contraseñas desde hace siglos. Desde la batalla entre las tribus de Galaad y Efraín en el capítulo 12 del Libro de los Jueces, se utilizaron para autenticar aliados y detectar enemigos. Más adelante, los militares desarrollaron el proceso con contraseñas y contra contraseñas como modelo de desafío-respuesta.
Además de restringir el acceso físico, las contraseñas se usaban para mantener en secreto comunicaciones o información. No es de extrañar que se convirtieran en parte esencial del desarrollo temprano de la informática. El primer inicio de sesión con contraseña en un sistema informático fue implementado en 1961.
Sin embargo, el primer hackeo de contraseña ocurrió solo un año después, en 1962. Debido a un error de software, se mostró una lista de usuarios y contraseñas a cualquiera que ingresara al sistema. Ups.
A pesar de los continuos hackeos y filtraciones, hoy las contraseñas están por todas partes: PC, teléfonos, sitios web, aplicaciones, juegos, banca, etc. Y la gente sigue buscando maneras de hacer la autenticación más segura.
Autenticación 101
Hoy en día, existe una gran variedad de métodos de autenticación. Veamos los más comunes:
- Autenticación de Factor Único: es la forma más simple y común. Solo se requiere una contraseña, PIN, tarjeta PIV, etc. Pero esta simplicidad no garantiza seguridad, ya que los delincuentes pueden adivinarla o robarla fácilmente.
- Autenticación de Segundo Factor (2FA): recomendada para proteger cuentas. Se ha demostrado que puede prevenir el 80% de las brechas de datos. Añade una capa adicional, como un PIN, OTP o token físico. Desventaja: requiere un paso extra, lo cual consume tiempo y esfuerzo.
- Autenticación Multifactor (MFA): requiere dos o más factores independientes. Normalmente combina:
- Algo que sabes: contraseña, PIN, pregunta de seguridad.
- Algo que tienes: token físico como la Hideez Key, teléfono móvil, tarjeta inteligente.
- Algo que eres: huella digital, FaceID, escaneo de iris.
- Algo que haces: velocidad de escritura, ubicación, etc.
Además del número de factores, existen diversas tecnologías y protocolos de autenticación en el mercado.
La forma más fácil de manejar credenciales es registrarlas. Como los diarios no son seguros, se crearon las bóvedas de contraseñas. Hay muchas opciones, gratuitas o de pago, con almacenamiento cifrado en la nube o local. Son útiles para recordar contraseñas, pero no simplifican ni aseguran el proceso de autenticación.
Para eliminar contraseñas múltiples, se inventó el inicio de sesión único (SSO). Esta solución permite usar un solo conjunto de credenciales para acceder a varios servicios. Ahorra tiempo a los empleados y ofrece más control al administrador IT, reduciendo solicitudes relacionadas con contraseñas y el riesgo de ataques.
Dado que la autenticación de un solo factor es poco segura, las contraseñas de un solo uso (OTP) se han vuelto estándar en servicios sensibles como banca en línea y portales médicos. Estas contraseñas suelen ser numéricas y válidas solo una vez. Métodos de generación:
- Sincronización de tiempo: válida solo por un breve periodo.
- Algoritmo que genera una nueva contraseña basada en la anterior, creando una cadena.
- Algoritmo que forma una nueva contraseña basada en un desafío (número aleatorio o detalles de transacción).
Para reforzar y simplificar la 2FA, se creó el protocolo U2F (Universal Second Factor). Conecta un dispositivo Bluetooth, USB o NFC con un servicio en línea, utilizando criptografía de clave pública. Desde el lado del usuario, basta con presionar un botón o tocar el dispositivo. Es resistente a ataques y protege incluso contraseñas débiles.
Un Nuevo Enfoque
Todos estos métodos suenan bien y ofrecen mayor seguridad. Pero a menudo sacrificamos la usabilidad. Entonces, surge la pregunta: “¿Podemos proteger nuestros datos sin contraseñas?”
Un grupo de entusiastas respondió “sí” y desarrolló el marco FIDO2.
Reemplaza por completo las contraseñas con credenciales que no pueden ser robadas.
FIDO2 incluye el estándar W3C Web Authentication (WebAuthn) y el protocolo CTAP. Juntos, permiten que un autenticador criptográfico controlado por el usuario se comunique con un servidor FIDO2 vía navegador web.
Durante el registro, se genera un par de claves. La clave privada se guarda en el dispositivo y la pública en el servidor. En la autenticación, se verifica la clave pública usando la privada desbloqueada por el usuario.
Aunque el proceso es complejo, el usuario solo tiene que presionar un botón, escanear su huella, etc. El único inconveniente es que aún no está ampliamente adoptado.
De Vuelta a la Realidad
Una experiencia completamente sin contraseñas es difícil en el mundo real: demasiados sistemas y servicios. No hay una solución mágica. Lo que sí podemos hacer es usar acciones simples para desencadenar procesos complejos en segundo plano.
Funciona como las redes móviles. Al encender el teléfono, este busca señal y envía su identificador único. La conexión se mantiene mediante el intercambio periódico de paquetes según protocolos analógicos o digitales.
El usuario promedio no tiene idea de cómo funciona. Solo enciende el teléfono.
El Cambio de Juego
¿Y si te dijera que esa experiencia fluida ya existe? Así es. Puedes disfrutar de una experiencia ‘sin contraseñas’ en sitios, apps y archivos protegidos con una sola solución: Hideez.
Hideez Enterprise Solution y Hideez Key para usuarios individuales gestionan toda la autenticación en segundo plano. No necesitas pensar en contraseñas.
- Paso 1. Hideez actúa como una bóveda que recuerda tus contraseñas (¡hasta 2.000!) y las protege con capas de cifrado.
- Paso 2. Hideez introduce tus credenciales en segundos. Usa: a) botón en Hideez Key, o b) atajos personalizados. ¡Voilà!
- Bonus: olvídate de los ataques de phishing. Hideez no revelará tus credenciales a sitios falsos.
- Paso 3. Usa Hideez para bloquear y desbloquear tu PC. Opciones: a) proximidad, b) toque del dongle Bluetooth, c) RFID.
- Paso 4. Hideez Enterprise permite a los administradores actualizar las contraseñas en el servidor, sin molestar al usuario ni saturar el soporte técnico.
- Paso 5. Siguiendo las mejores prácticas y recomendaciones de NIST, Hideez ofrece 2FA con generador integrado de OTP.
Ese fue nuestro breve manual para lograr una experiencia sin contraseñas en 2020.
Una llave. Un botón. Múltiples personalizaciones. Tus credenciales están seguras y la autenticación funciona en segundo plano.
¿No puedes esperar para probar Hideez? Rellena el formulario abajo. Añade el código “Passwordless” para obtener una oferta especial como agradecimiento por leer hasta el final :)