Un futuro sin contraseñas, más cerca

IMAGE: Gerd Altmann - Pixabay (CC0)

Microsoft comienza a ofrecer acceso sin contraseña en sus cuentas para usuarios de consumo – ya lo hacía en las corporativas desde el pasado marzo – y acerca, al popularizar su uso, un futuro en el que las contraseñas dejen paso a sistemas mucho más eficientes y seguros de autenticación.

La prestación requiere la descarga de Microsoft Authenticator, que requerirá permisos para enviar notificaciones y un sistema de autenticación seguro como FaceID o la huella del usuario (o, alternativamente, de Windows Hello, del uso de una llave de seguridad física o del envío de un código de verificación por SMS o correo electrónico). Tras la instalación de un método de autenticación, solo hay que definir en el perfil de nuestra cuenta que queremos utilizarlo, y podemos directamente olvidarnos de nuestra contraseña. La opción, según la compañía, será presentada a los usuarios a lo largo de las próximas semanas.

El uso de una app de autenticación es algo que puede hacerse desde hace tiempo para muchas aplicaciones, pero el hecho de que sea ahora Microsoft la que lo ofrece significa una nueva fase en la popularización de este tipo de procedimientos, con todo lo que ello conlleva.

La contraseña y los mitos relacionados con su uso son responsables de muchos de los problemas de seguridad en muchas compañías. Los sucesivos intentos de hacer las contraseñas más seguras mediante procedimientos como instruir a los usuarios para que las seleccionasen con arreglo a unos ciertos requisitos (mayúsculas, minúsculas, números, caracteres especiales y gritos de ardillas), suministrarles contraseñas con esos requisitos que no podían cambiar, o pedirles que las cambiasen cada poco tiempo fueron probándose a lo largo del tiempo como simples contratiempos para quienes trataban de acceder de manera irregular a los sistemas, o incluso generaban problemas adicionales como el que esos usuarios, incapaces de memorizar sus contraseñas, las apuntasen en un post-it detrás de la pantalla. En otras ocasiones, las contraseñas eran capturadas a través de esquemas de phishing más o menos sofisticados que obligaban a los usuarios a desconfiar de todo.

En el fondo, reducir la cultura de seguridad a ser capaces de memorizar una contraseña, que para hacerlo peor aún, muchos usuarios reutilizaban en numerosos servicios, fue un error que impidió que muchas personas entendiesen la criticidad del tema, y cometiesen errores que los convertían sistemáticamente en más vulnerables. El uso de gestores de contraseñas mejoró algo la cuestión y, al menos, hizo que muchos usuarios pasasen al siguiente nivel, el de saberse de memoria únicamente la contraseña maestra que utilizaban para el gestor de contraseñas, pero en la práctica, nunca alcanzaron un uso especialmente intenso por parte de usuarios poco especializados.

Los sistemas basados en autenticadores o en segundos factores introducen bastantes más complicaciones para los interesados en acceder irregularmente a un sistema, son de uso sencillo y, aunque algo más engorrosos que la contraseña, tienen en ese sentido muchas más ventajas. Que una compañía como Microsoft se decida a proponerlos como opción es, definitivamente, una buena noticia para la seguridad. Otras, como Google o Apple, están también trabajando en esquemas similares, lo que implica que la contraseña, esperemos que en no demasiado tiempo, podrá ser considerada como una parte de la historia de la tecnología. Buen momento para plantearnos si nuestra compañía ofrece servicios basados en contraseña, y en lo recomendable que puede ser pasar a integrarnos en esta tendencia y dejar de obligar a nuestros usuarios a que sigan memorizando palabras extrañas con ortografías 1Mp0$iBl3$…


This article is also available in English on my Medium page, «Can you imagine a future without passwords?«

10 comentarios

  • #001
    Miguel V. - 17 septiembre 2021 - 20:56

    Confiarle la autentificacion a M$ esta al mismo nivel de inocencia que confiarle la billetera a un ladrón. Conociendo el paupérrimo historial de esa empresa, de practicas abusivas, productos de mala calidad, llenos de agujeros de seguridad y tratos oscuros con agencias de inteligencia, no se puede esperar que alguien confíe en una iniciativa como esta de parte de M$. Tampoco de Facebook or Google, por supuesto.

    • LUA - 17 septiembre 2021 - 22:16

      Ni de Apple…. ni de Apple… XDDD

    • Dorado Comandante - 18 septiembre 2021 - 03:00

      Tómese una infusión de manzana… que le va a dar algo, caballero.

    • Miguel Durán - 18 septiembre 2021 - 11:08

      Pues las empresas cabalgan en ello. Tras del ciber ataque que tuvo Mapfre, todos los accesos requieren de una doble identificación precisamente vía Microsoft, que te envía un pin de un solo uso por SMS y caducable, además de tu pw de usuario.
      La consultora para la que curro, que hace más de 10 años ya te exigía un mecanismo similar con una app para generar claves de un solo uso si accedes desde fuera de su red (podías ponerlo en el portátil corporativo o en tu móvil y solo en uno de ellos, ya ha añadido el mismo mecanismo con MS si tratas de acceder al correo vía web

    • JM - 18 septiembre 2021 - 14:53

      Pienso igual.

      Sólo añadiría que sólo me fiaría de un sistema que fuera de código abierto de forma que pudiera haber muchos ojos vigilando su comportamiento.

      Por cierto, para mí que uso ING como banco creo que han añadido tantas medidas de seguridad que es un poco tostón operar.

  • #008
    Lucas - 18 septiembre 2021 - 13:59

    Necesitamos una genialidad que resuelva el problema. Evidentemente, añadir la necesidad de un segundo dispositivo, el teléfono, o cualquier otro, es una opción muy pobre. Comprendo que, a falta de ideas mejores, no nos queda más remedio pero es triste que no encontremos soluciones mejores.
    Supongo que el problema está en que competimos contra nosotros mismos, en el momento en que alguien encuentra una forma nueva de identificarse unívocamente, comienza una carrera frenética por quebrar el nuevo método.
    Me gustaría creer que esta carrera tendrá un final que no sea tan incómodo para el usuario como obligarle a llevar consigo permanentemente una pantalla extra.

  • #009
    IzK - 18 septiembre 2021 - 22:19

    Cada día avanzamos más en la pérdida de la privacidad y el anonimato.
    Hace varios años se podía comentar en muchos sitios sin identificarse. Determinadas actitudes hicieron obligado el registrarse mediante una dirección de mail y una contraseña.
    Es una forma de identificación relativamente poco invasiva (podría considerarse como usar un pseudónimo) y que a muchas empresas les chirría y va en contra de su afán de recopilar datos.
    Nada que ver con iniciar sesión mediante una aplicación en el móvil o, directamente, con un SMS.

    Ojo, no estoy criticando la existencia de estos métodos, como el inicio de sesión en determinadas páginas a través de la cuenta de Google/Amazon/Facebook/etc, si no la imposición de los mismos con pretextos de seguridad.

    Puedo entender que un banco obligue a tener esa identificación adicional para evitar accesos no autorizados (y entiendo que más por su seguridad que por la tuya), pero no en un correo electrónico o una red social.

    • Dedo-en-llaga - 21 septiembre 2021 - 16:32

      Exacto, yo, la verdad, estoy hasta aquí: ¡¡¡con lo fácil que era antes todo!!!

      PD: «Antes» se refiere con esta expresión, a un tiempo idílico, pero real, situado entre 1995 y 2000 y poco en la era de la informática.

Dejar un Comentario

Los comentarios están cerrados