Gestion de Identidades y Accesos

Passwordless o cómo las contraseñas han muerto

¿Cuántas password tienes para todas las webs, redes sociales, tiendas, bancos, trabajo, entretenimiento ... ? pero lo mejor aún, ¿cuantas usáis?. Si tenéis un sitio web o un negocio online, es normal que necesitáis que los usuarios creen cuentas con contraseñas.

Una situación normal que está alejando activamente a los clientes y visitantes, convirtiendo nuestros ratios de conversión. El 75% de los usuarios abandonan las webs después de restablecer la contraseña, y el 30% de los clientes online abandonan sus carritos de compra si se les obliga a registrarse y crear una contraseña. Una experiencia de cliente terrible, que impulsan a los gigantes de Internet, y se alejan de sitios y negocios minoristas.

Se podría argumentar que las contraseñas cumplen una función de seguridad imprescindible, pero "a estas alturas de la película", es algo incorrecto. Hay muchos detractores, hay quien dice que es una practica necesaria, o que al forzar a los usuarios a crear otra contraseña simplemente dará como resultado la creación de contraseñas más débiles. Y es que, es muy probable que se reutilice una contraseña extremadamente simple una y otra vez por conveniencia (El típico +1). Incluso con una contraseña segura, la seguridad no es tan estricta como parece (Siempre que podamos, tenemos que poner otro varios factores de autenticación).

Estamos entrando en una nueva etapa: ¡las contraseñas causan más daño que beneficio en un Internet claramente listo para pasar al próximo capítulo!. La evolución Passwordless

Passwordless, reemplazará todas las contraseñas con técnicas de encriptación altamente seguras e increíblemente rápidas, a la vez que brindará a los sitios web la capacidad de autenticar correctamente a sus usuarios. Pero claro, os surgirán muchas preguntas al respecto de la evolución Passwordless:

Los datos confidenciales no tienen que protegerse detrás de capas extremadamente finas de seguridad con contraseña, ya podemos dar un paso más allá.

Cómo funciona Passwordless

Comenzamos con la definición más básica: Los sistemas de inicio de sesión sin contraseña son herramientas que los sitios web pueden implementar para que sus usuarios no tengan que iniciar sesión a través de una contraseña.

Pero ... esto no significa que los usuarios simplemente ingresen al sitio sin ningún tipo de autenticación. Con cualquier tipo de inicio de sesión sin contraseña, los usuarios aún tienen que verificar sus identidades con una o más formas de autenticación (pero no con contraseñas).

Cada sistema de inicio de sesión sin contraseña funciona de forma "un poco" diferente, por lo que vamos a ver alguna de ellas:

Autenticación Passwordless en correo electrónico

El método de autenticación passwordless más prometedor, los sistemas basados en correo electrónico, verifican la identidad de un usuario mediante su dirección de correo electrónico y un código completo de clave cifrada.

Pero, ¿Cómo funciona?. Los usuarios hacen clic para iniciar sesión. Esto genera un mensaje de correo electrónico a enviar, que contiene un código de clave DKIM cifrado. Cuando el usuario envía el correo electrónico, el servidor de inicio de sesión y el sitio web reciben, procesan y descifran el código. La identidad y dirección de correo electrónico del usuario se comparan con los registros del sitio web, y si todo es correcto, se permite el acceso. Su punto fuerto es que la autenticación mediante correo electrónico, es extremadamente rápida, ultra segura y elimina completamente la necesidad de que los usuarios creen nuevas contraseñas.

Los métodos de autenticación de correo electrónico passwordless ya se están volviendo populares en ciertos contextos. Un gran ejemplo: webs de donaciones. Las donaciones se encuentran en la intersección entre la necesidad de una seguridad estricta y la necesidad de una experiencia de usuario impecable, ya que, hacer una donación debe ser rápido y seguro, de lo contrario, muchos donantes perderían su motivación.

Autenticación Passwordless basada en tokens

La autenticación basada en tokens y correo electrónico operan con conceptos similares. Con los sistemas basados en correo electrónico, la dirección de correo electrónico está asociada con una clave cifrada única que se procesa a través de servidores de seguridad. Con la autenticación basada en token, el servidor del sitio web envía un token cifrado único.

Este token se adjunta a nuestro inicio de sesión y luego se descifra a medida que se solicitan varias acciones. Esto significa que es necesario verificar los permisos para ver contenido, hacer publicaciones, cada vez que comienza una nueva acción, etc.. . Al verificar la firma del token con nuestro algoritmo de seguridad, el sitio puede verificar de manera efectiva la identidad de los usuarios para múltiples acciones y subdominios, lo que reduce considerablemente la fricción de inicio de sesión en las acciones.

La autenticación basada en token es extremadamente eficiente y flexible, pero puede ser difícil de implementar en algunos sitios. Las herramientas de autenticación basadas en correo electrónico funcionan a través de un concepto similar de claves encriptadas, por lo que a menudo son la forma más rápida en que los sitios web pueden comenzar con estas innovadoras técnicas de inicio de sesión, al contrario que la autenticación con tokens.

Autenticación Passwordless Biométrica

Creciendo en popularidad está la autenticación de huellas dactilar, facial, iris, esta última algo menos (también conocidas como biométrica). Es posible que ya utilices un escáner de huellas dactilares (En mi caso, lo tienen en el gimnasio) o rostro  (FaceID de Apple). Probablemente no pienses en ellos en estos términos, pero son una forma de inicio de sesión sin contraseña.

Para la autenticación de huellas digitales, los usuarios presionan con el pulgar en la cámara del lector de huellas digitales del teléfono para autorizar los pagos u obtener acceso a sus cuentas. Si bien esta técnica es intuitiva y segura, agiliza completamente el proceso de inicio de sesión, pero presenta algunos desafíos. Es decir, el acceso a la tecnología con un lector de huellas digitales puede ser costoso para algunos usuarios, aunque cada vez menos (Ya tenemos Xiaomis a 100€ con lector) y la tecnología es menos rentable de adoptar para las empresas.

Desafortunadamente, estas tecnologías también han demostrado ser menos seguras de lo esperado. Las cámaras del lector de huellas digitales pequeñas solo registran partes de su huella digital, por ejemplo. Las probabilidades de que el dedo de otra persona coincida con esa parte de su propia impresión son sorprendentemente altas.

Sin embargo, la biometría se está desarrollando rápidamente. Un sistema de inicio de sesión sin contraseña que utiliza la autenticación de correo electrónico cifrada y una biométrica verdaderamente segura podría cambiar por completo la forma en que nos usamos Internet.

¿Son los sistemas Passwordless más seguros?

¿Los sistemas de inicio de sesión basados en contraseñas son inseguros? Sí. ¿Son los sistemas passwordless más seguros? Tambien si.

Si bien hay muchas maneras de hacer que las contraseñas sean más fuertes de forma activa, cambiándolas de forma temporal, evitando el uso de información que un ciberdelincuente podría aprender sobre nosotros, etc., pocas personas tomamon precauciones. Se debe principalmente a que estamos demasiado ocupados para lidiar con estas precauciones o simplemente, porque los sentimos como una pérdida de tiempo.

Debido a esto, muchas personas usan la misma contraseña o variaciones similares. Esto crea un efecto dominó que permite a los cibercriminales acceder a varias cuentas con solo descifrar una sola contraseña.

Como administrador web, la información de los usuarios podría estar en riesgo incluso estableciendo controles estrictos sobre las contraseñas. La falta de seguridad en otros sitios podría facilitar que los hackers obtengan información confidencial. Por ejemplo, si un pirata informático descifra la dirección de correo electrónico de un usuario, puede solicitar un cambio de contraseña en un sitio web, poniendo en peligro los datos de su usuario y haciéndolo responsable de la violación.

Los sistemas de inicio Passwordless ofrecen una alternativa más inteligente. La autenticación de correo electrónico permite a sus nuevos usuarios registrarse simplemente ingresando su dirección de correo electrónico, donde tendrán un acceso seguro sin crear más y más vulnerabilidades debido a contraseñas débiles. Estos sistemas utilizan métodos de autenticación más avanzados que los sistemas de nombre de usuario / contraseña tradicionales.

Mezclan datos confidenciales y descentralizan el acceso utilizando estas técnicas:

  • La tokenización es una forma de seguridad que genera aleatoriamente un token o una cadena de caracteres. Este token puede sustituir a los datos reales y es más difícil de descifrar porque no existe una relación matemática entre los datos reales y el token.
  • El cifrado es muy similar a la tokenización, pero utiliza un algoritmo para transformar información confidencial en texto cifrado. Este texto cifrado solo se puede descifrar con la clave de cifrado.

¿Cuáles son los beneficios de implementar un sistema de inicio de sesión Passwordless?

Ahora que conocemos la seguridad de los inicios de sesión passwordless, es probable que nos preguntemos, qué otros beneficios tendrá la implementación de un sistema similar en una empresa (Recordamos que uno de los principales beneficios, era la experiencia de usuario, y esto no es una prioridad en el negocio).

Las organizaciones buscan constantemente las mejores prácticas para que el proceso de inicio de sesión sea rápido y fácil. Los sistemas de inicio de sesión passwordless no solo simplifican el proceso, sino que también evitan a los usuarios la molestia de recordar una nueva contraseña.

Si bien es esencial tener una cuenta si las organizaciones desean alentar a sus usuarios a realizar transacciones repetidas, es menos probable que los usuarios realicen nuevamente la acción si no pueden recordar su contraseña o la misma no es la usada habitualmente, la corporativa o sincronizada en los sistemas y de uso habitual.

Los usuarios no tendrán que esforzarse para crear una contraseña que consideren segura, lo que puede ser uno de los aspectos que más tiempo llevan creando una cuenta. Además, es más probable que sus usuarios hagan compras impulsivas porque el proceso será mucho más fácil.

La implementación de un sistema de inicio de sesión sin contraseña ahorra tiempo y elimina la frustración de tener que recordar y cambiar contraseñas.

¿Existe algún riesgo en el uso de passwordless?

Al igual que con cualquier sistema nuevo que implemente nuestra organización, los sistemas de inicio de sesión sin contraseña vienen con su propio conjunto de riesgos. Pero en comparación con la debilidad de los sistemas de inicio de sesión tradicionales, los riesgos son relativamente bajos.

Por supuesto, se tendrá que ver compatible con la infraestructura de nuestro sitio web.

Los proveedores passwordless, suelen tener distinta medidas adicionales de seguridad, por ejemplo, si se recibe un intento de inicio de sesión de un dispositivo o dirección IP diferente, se enviará al usuario un mensaje de texto para confirmar que la solicitud fue realizada por el usuario.

Otros sistemas de inicio de sesión passwordless tienen su propio conjunto de riesgos y desafíos. Por ejemplo, los cibercriminales pueden acceder a una cuenta protegida por datos biométricos creando una huella digital maestra utilizando las características más comunes de las huellas digitales, y los escáneres faciales pueden ser engañados utilizando fotos de alta calidad.

Cada opción de inicio de sesión passwordless viene con su propio conjunto de riesgos, pero en comparación con los inicios de sesión con contraseña y nombre de usuario tradicionales, estas alternativas son mucho más seguras.

¿Qué organizaciones pueden usar el inicio de sesión passwordless?

Los sistemas de inicio de sesión con contraseña son completamente universales, lo que significa que todas las organizaciones pueden usarlos. Lo interesante es que el inicio de sesión passwordless se puede usar para algo más que una forma de ingresar a nuestras cuentas.

Acceso sin contraseña para empresas

Nuestra empresa puede usar alternativas de contraseña para la seguridad interna, usuarios online o una combinación de ambas.

Además, cualquier cuenta puede ser reemplazada con una contraseña segura alternativa. El inicio de sesión passwordless se puede utilizar para:

  • Inicio de sesión en una cuenta online.
  • Hacer pagos seguros a un sitio de comercio electrónico.
  • Regístrese para una suscripción o servicio.

Al utilizar las opciones de inicio de sesión passwordless, podremos mantener segura la información del usuario y aplicar medidas de seguridad más estrictas para los empleados.

Acceso sin contraseña para organizaciones sin fines de lucro o fundaciones

Las organizaciones sin fines de lucro / fundaciones y basadas en la "confianza" pueden usar el inicio de sesión passwordless para hacer que el proceso de donación sea más fácil y más seguro para los participantes.

Cuando los donantes donan a la organización, se pueden guardar la información de pago utilizando una contraseña alternativa como la autenticación de correo electrónico. ¡La próxima vez que un donante dé, la persona solo completará tres simples pasos!

Las organizaciones son vulnerables a los ciberdelincuentes que desean obtener acceso a las base de datos.Como tal, las organizaciones, pueden implementar el correo electrónico, el token o la autenticación biométrica para los programas internos para que la información sea más segura.

¿Cómo de fácil es usar es el inicio de sesión passwordless?

A medida que las contraseñas se vuelven más obsoletas, es posible que los usuarios ya estén familiarizados con alternativas de contraseña similares. Si alguna vez te has registrado en un sitio web con su cuenta de Facebook o Gmail, entonces has utilizado un formulario de inicio de sesión sin contraseña.

Dicho esto, los usuarios ya tienen cierta comprensión de cómo funciona el proceso, por lo que hay una menor curva de aprendizaje.

Los expertos destacan que los sistemas de inicio de sesión passwordless no requieren ninguna memorización. En general, el proceso requiere solo de dos a tres pasos y toma aproximadamente la misma cantidad de tiempo que un proceso de inicio de sesión tradicional. Pero, sin la molestia ni la responsabilidad de crear una contraseña segura, los usuarios pueden iniciar sesión y sentirse seguros de que la información está segura frente a usuarios no autorizados.

¿Cómo de difícil es implementar passwordless?

Dado que existen varios tipos diferentes de inicio passwordless, el tiempo y el esfuerzo en implementarlos variarán. Pero en su mayor parte, estos sistemas se pueden implementar fácilmente en las webs.

Deberemos:

  • Primero, evaluar la arquitectura del sitio existente para determinar el mejor proceso de implementación.
  • En segundo lugar, los desarrolladores incorporarán la autenticación en la infraestructura de la web.
  • Por último, la organización ya podría utilizar las distintas herramientas internamente y para usuarios con poca configuración.

Alternativamente, si nuestra organización quierese usar datos biométricos, el proceso de implementación llevaría mucho más tiempo. No solo necesitaríamos el software integrado en nuestra web, sino que también tendríamos que asegurarnos que el programa funcione en todo el parque de móviles o similares.

¿Cómo promover el inicio de sesión passwordless?

Al igual que con cualquier nuevo método o proceso, nuestros usuarios dudarán sobre el uso de sistemas de inicio de sesión sin contraseñas. Es probable que cuestionen su seguridad o su facilidad de uso.

Si deseamos que las personas utilicen los sistemas de inicio de sesión sin contraseña, debemos poder tranquilizar previamente sus preocupaciones, mostrandoles primeramente cómo funciona.

Cómo promover el sistema de inicio de sesión passwordless:

  • Crea un video para publicar. Crea un video que muestre a los usuarios cómo funciona el proceso de autenticación, ya sea que estemos utilizando el correo electrónico o la verificación de huella dactilar, al mostrarles a los usuarios todos los pasos , hará que esten más familiarizados y cómodos con el proceso.
  • Haz que en un evento se demuestre el proceso. Mostrando lo fácil que es configurar y usar un sistema de inicio de sesión sin contraseña.
  • Asegúrate de vincular a otros recursos donde se pueda obtener más información sobre el proceso e incluir un enlace donde puedan iniciar sesión.
  • Participar con los usuarios en las redes sociales y sobre todo dar feedback. Anima a los usuarios a hacer preguntas en Facebook y Twitter o en redes corporativas como Wordplaces. Así, podremos responder a las inquietudes que más interesen.

Conclusión

No podemos afirmar que la autenticación passwordless funcione en todas las posibilidades y sistemas, pero sí podemos afirmar que la experiencia será abrumadoramente positiva. Deberíamos hacer que todas las explicaciones empiecen a ser "sin contraseña" a partir de ahora.

¿Has implementado la autenticación passwordless? ¿Fue una buena o mala experiencia? cuéntanos todo lo que consideres comentarios.

Author image

About Ruben.Ramiro

Profesional en Tecnologías de la seguridad y ciberseguridad en Telefónica. Apasionado de los MOOC y la autoformación. Si me tuviese que definir, tendría que ir muchísimo al gimnasio. UHHA!
  • Madrid
comments powered by Disqus