Muy pronto existirá un enfoque de autenticación que evitará por completo el uso de las contraseñas.

En su lugar, los usuarios simplemente desbloquearán sus teléfonos inteligentes para iniciar sesión en sitios web o servicios en línea.

Apple, Google y Microsoft lo han anunciado esta semana.

Los expertos afirman que los cambios deberían ayudar a derrotar muchos tipos de ataques de suplantación de identidad y aliviar la carga general de contraseñas de los usuarios de Internet, pero advierten que un futuro sin contraseñas puede estar aún a años vista para la mayoría de los sitios web.

Los gigantes de la tecnología forman parte de un esfuerzo liderado por la industria para sustituir las contraseñas, que se olvidan fácilmente, son robadas con frecuencia por malware y sistemas de phishing, o se filtran y venden en línea a raíz de las violaciones de datos corporativos.

Apple, Google y Microsoft son algunos de los contribuyentes más activos a un estándar de inicio de sesión sin contraseña elaborado por la Alianza FIDO (“Fast Identity Online”) y el Consorcio de la World Wide Web (W3C), grupos que han estado trabajando con cientos de empresas tecnológicas durante la última década para desarrollar un nuevo estándar de inicio de sesión que funcione de la misma manera en múltiples navegadores y sistemas operativos.

Cómo funcionará el nuevo sistema

Según la Alianza FIDO, los usuarios podrán iniciar sesión en sitios web mediante la misma acción que realizan varias veces al día para desbloquear sus dispositivos, incluyendo el PIN del dispositivo o un dato biométrico como una huella dactilar o un escáner facial mediante Face ID.

“Este nuevo enfoque protege contra la suplantación de identidad y el inicio de sesión será radicalmente más seguro en comparación con las contraseñas y las tecnologías multifactoriales heredadas, como los códigos de acceso de un solo uso enviados por SMS“, asegura la alianza en un comunicado de prensa distribuido el pasado 5 de mayo.

Sampath Srinivas, director de autenticación de seguridad en Google y presidente de la Alianza FIDO, explica que con el nuevo sistema el teléfono almacenará una credencial FIDO llamada “clave de acceso” que se utiliza para desbloquear la cuenta en línea.

“La clave de acceso hace que el inicio de sesión sea mucho más seguro, ya que se basa en la criptografía de clave pública y sólo se muestra a la cuenta en línea cuando se desbloquea el teléfono”, escribió Srinivas. “Para iniciar sesión en un sitio web en tu ordenador, sólo necesitarás tu teléfono cerca y simplemente se te pedirá que lo desbloquees para acceder. Una vez que hayas hecho esto, no necesitarás tu teléfono de nuevo y podrás iniciar sesión simplemente desbloqueando tu ordenador.”

Como señala ZDNet, Apple, Google y Microsoft ya admiten estas normas sin contraseña (por ejemplo, “Iniciar sesión con Google”), pero los usuarios tienen que iniciar sesión en cada sitio web para utilizar la funcionalidad sin contraseña. Con este nuevo sistema, los usuarios podrán acceder automáticamente a su clave de acceso en muchos de sus dispositivos -sin tener que volver a registrar cada cuenta- y utilizar su dispositivo móvil para iniciar sesión en una aplicación o sitio web en un dispositivo cercano.

Johannes Ullrich, decano de investigación del Instituto Tecnológico SANS, calificó el anuncio como “el esfuerzo más prometedor para resolver el reto de la autenticación”.

“Lo más importante de esta norma es que no requerirá que los usuarios compren un nuevo dispositivo, sino que podrán utilizar como autentificadores dispositivos que ya poseen y que saben utilizar”, dijo Ullrich.

Mucho tiempo para llevarlo acabo

Steve Bellovin, profesor de informática de la Universidad de Columbia y uno de los primeros investigadores y pioneros de Internet, calificó la iniciativa sin contraseña de “gran avance” en la autenticación, pero dijo que muchos sitios web tardarán mucho tiempo en ponerse al día.

Bellovin y otros dicen que un escenario potencialmente complicado en este nuevo esquema de autenticación sin contraseña es lo que sucede cuando alguien pierde su dispositivo móvil, o su teléfono se rompe y no puede recordar su contraseña de iCloud.

“Me preocupa la gente que no puede permitirse un dispositivo adicional, o que no puede reemplazar fácilmente un dispositivo roto o robado”, dijo Bellovin. “Me preocupa la recuperación de la contraseña olvidada para las cuentas en la nube”.

Google dice que incluso si pierdes tu teléfono, “tus claves de acceso se sincronizarán de forma segura con tu nuevo teléfono desde la copia de seguridad en la nube, permitiéndote continuar justo donde lo dejaste en tu antiguo dispositivo”.

Apple y Microsoft también tienen soluciones de copia de seguridad en la nube que los clientes que utilizan esas plataformas podrían utilizar para recuperar un dispositivo móvil perdido. Así que parece que estamos listos para olvidar para siempre las contraseñas… y depender más que nunca de nuestros teléfonos.