Repensando la seguridad: de la contraseña a la biometría

IMAGE: Beyond Identity logo

Dos veteranos directivos de Silicon Valley, Jim Clark y Tom Jermoluk, levantan treinta millones de dólares de financiación y lanzan públicamente una compañía, Beyond Identity, con la idea de eliminar de una vez por todas las contraseñas gracias a tecnologías que se han ido desarrollando en años recientes y que se apoyan en la biometría.

¿Nunca te has planteado por qué razón puedes desbloquear algo tan personal como tu smartphone o tu ordenador con la cara o la huella digital, pero te ves obligado a recordar o almacenar un montón de contraseñas para todas las páginas o servicios que pretendes utilizar? La tecnología que permite ese acceso cómodo a tus dispositivos fue creada originalmente por Apple, que introdujo por primera vez Touch ID en el iPhone 5S junto con el enclave seguro en el interior del procesador que protege los datos biométricos, y lo incorporó posteriormente al resto de su entorno, bien mediante el uso de la huella o de la identificación facial. Posteriormente, Google copió el concepto y lo introdujo en Android.

La idea de Beyond Identity es eliminar la necesidad de cualquier contraseña en el proceso de autenticación. La mayor parte de las intrusiones en sistemas tienen como objetivo la obtención de contraseñas explotables: si las eliminamos, desaparece la razón fundamental para esas intrusiones de datos, además de proporcionar al usuario un acceso más cómodo, sin problemas relacionados con el tener que recordar una contraseña, obtenerla de un gestor o restablecerla en caso de olvido.

Para lograrlo, la compañía propone anclar todo el proceso de seguridad en la comprobación de la identidad del usuario, algo que sus dispositivos ya hacen muy bien. A partir de ahí, mediante una tecnologías ya conocida y probada, los certificados X.509, el acceso biométrico vincula el dispositivo a su usuario, y un certificado expedido por Beyond Identity autentica ese dispositivo y a su usuario al proveedor de servicios al que pretende acceder. Una cadena de certificados o de confianza que incluye al usuario y lo comparte de manera cifrada mediante TLS con el proveedor de servicios ante el que el usuario pretende identificarse.

La idea parece sencilla: asignar la comprobación de la identidad del usuario a dispositivos que ya lo hacen bien y mediante mecanismos suficientemente seguros, y vincular esa identidad mediante una cadena de certificados cifrados de manera segura. El uso comenzará seguramente en entornos corporativos, en los que la compañía pedirá al usuario que instale la app de Beyond Identity en el dispositivo que pretenda utilizar para identificarse (dentro de una lista de dispositivos aprobados para ello que, considerando las tendencias, se hará cada vez más amplia e inclusiva), dispositivo en el que se genera una clave privada que, a partir de ese momento, le permite acceder a las aplicaciones corporativas sin necesidad de contraseña, simplemente autenticándose en el dispositivo designado.

Los usuarios pueden usar el proceso en tantos dispositivos como quieran: el perfil del dispositivo generado en el momento del inicio de sesión del servicio es exclusivo de cada dispositivo. Esto permite diferenciar entre la autenticación, que se lleva a cabo a través de la criptografía, y la autorización como tal, que se produce a partir del perfil del dispositivo. En esa misma plataforma, un usuario podrá autenticar otros dispositivos dotados con identificación biométrica aprobada por la compañía, como el lector de huella de un laptop. Si el usuario cambia de dispositivo, puede dar de alta el nuevo con cualquiera de sus dispositivos anteriores, sin tener que depender por tanto de la ayuda de un helpdesk corporativo.

Según la compañía, la oferta de servicios para particulares comenzará a finales de 2020, incluso con la posibilidad de llegar a acuerdos para incluir la aplicación preinstalada en muchos dispositivos. La idea, decididamente, no tiene mal aspecto: ¿imaginas un mundo sin contraseñas, en el que acceder a servicios como la red de tu compañía, tu banco o tus redes sociales sea tan sencillo como autenticarte en tu smartphone?


This article is also available in English on my Medium page, «Imagine a world without passwords…«


11 comentarios

  • #001
    Pit - 19 abril 2020 - 14:14

    Esto es una idea que en esencia en entornos corporativos usa Microsoft con su Authenticator para implantar accesos MFA.

    El móvil es el dispositivo de confianza y es capaz de habilitar el acceso a cualquier aplicación corporativa, mediante notificación a la App MS Authenticator, que debe ser validada por el usuario.
    Es cierto que sigue existiendo una contraseña, pero es única para todos los sistemas corporativos (sean o no de Microsoft, esto es importante, gracias a la integración SSO prácticamente de cualquier servicio con Active Directory, cada vez más soportado en la nube de Azure), pero yo dejo de emplearla en la práctica, salvo cuando acceso por primera vez desde un dispositivo.

    Este modelo es perfectamente replicable para usuarios particulares, Google tiene un modelo similar.

    Añadir la capa biométrica a la autenticación en el móvil es la evolución natural, pero es importante mantener la opcion de acceso tradicional para situaciones de emergencia.

    • Quique - 19 abril 2020 - 16:08

      Iba a comentar en el mismo sentido. Si a lo que indicas añades la tecnología Windows Hello!, ya tienes una identidad única y fiable basada en la biometría.

  • #003
    Miguel V - 19 abril 2020 - 14:29

    Pesima idea aunque es el sueño erótico de muchos gobiernos y empresas, empezando por China.

    • Matt - 19 abril 2020 - 20:32

      Lo más triste es que los chinos viven en una dictadura y no tienen más remedio que obedecer pero en occidente estamos entregando nuestra privacidad y libertad por no poner una contraseña, por no lo levantarnos a encender la luz o subir o bajar las persionas o por no sacar un billete de la cartera.

      • Gorki - 20 abril 2020 - 00:50

        Opino lo mismo. estamos ofreciendo nuestra intinidad a cambio del chocolate del loro
        .

      • Bakya - 20 abril 2020 - 09:51

        Aquí otro «majara»que piensa lo mismo

  • #007
    Gorki - 19 abril 2020 - 14:54

    La biometria, en el supuesto de que funcione con segurifdad, por ejemplo diferenciando la cara de dos gemelos, es en prncipio parece muy segura si tu careto es único. Es una llave perfecta para abrir las aplicaciones del ordenador. Pero pensemos que un hacker consigue engañar la biometría, pues resulta que no podras cambiar la clave.

    Recuerdo una película muy desagradable, que unos presos pueden salir de la carcel, porque las cerraduras se abren leyendo el iris y los ladrones llevan en un palito el ojo del carceloro.

    Sin llegar a estos niveles, ¿Seguro que un lector de huellas dactilares no se confunde con una huella digital impresa en un papel?. Y un careto, ¿no se puede simular con una foto? . Puede que sea mas facil confundir a un lector boimetrico, que imitar una firma.manuscrita,.algo que desde el invento de del photoshop y la impresora esta al alcance del mas tonto.

    • mhyst - 21 abril 2020 - 20:32

      Iba a decir algo parecido, pero ya lo has dicho tú, Gorki. En 2018 unos investigadores consiguieron crear una huella maestra que funcionara una de cada cinco veces. El problema añadido con los móbiles, que algunos insisten en llamar dispositivos de confianza, es que sus sensores solo captan una huella parcial; por no decir que sus sistemas biométricos son de juguete. Yo prefiero mis contraseñas, las cuales puedo cambiar cuando quiera.

  • #009
    IzK - 19 abril 2020 - 15:46

    Hace mucho tiempo (aunque por suerte en esta web se mantiene) se podían publicar comentarios de forma anónima. La gran cantidad de abusos en múltiples formas y varias leyes distópicas consiguieron hacerlos desaparecer.

    Entrar con un login y un password es una forma relativamente no intrusiva de identificarte para acceder a foros o servicios a pesar de los múltiples esfuerzos por evitar que seas tan anónimo, de intentar averiguar algo más de la identidad detrás del nick:
    Una forma es acceder a una web mediante la cuenta de Google o de Facebook, por tu comodidad.
    Otra que últimamente estoy viendo mucho es la de obligar al usuario a identificarse sólo para poder visualizar su web.

    Entiendo que hayan servicios que puedan verse beneficiados por el aporte de una seguridad adicional (como servicios bancarios), pero en líneas generales sólo lo veo como otra forma más de controlar al usuario.

  • #010
    Lua65 - 19 abril 2020 - 19:41

    No me metere en el tema del «entorno corporativo» (alla cada empresa con lo suyo), pero que una empresa «aliena» tenga que certificar que yo, soy yo… como que no me da confianza…

    Para uso personal, existen desde hace mucho tiempo lectores de huella USB, que te lo llevas en el llavero y te autenticas en cuanta maquina lo tengas instalado.

  • #011
    Miguel García - 20 abril 2020 - 11:17

    Estimado Señor Dans:
    Nuestra intimidad ya fue violada desde el primer día que compramos un smartphone y lo encendimos…Por lo tanto, la intimidad fue vendida al mejor postor.

Dejar un Comentario

Los comentarios están cerrados