Autenticación sin contraseña

Método de autenticación de identidad

Ejemplo de autenticación sin contraseña con una clave de acceso ( Discord con Bitwarden )

La autenticación sin contraseña es un método de autenticación en el que un usuario puede iniciar sesión en un sistema informático sin tener que introducir (ni tener que recordar) una contraseña o cualquier otro secreto basado en el conocimiento . En las implementaciones más comunes, se solicita a los usuarios que introduzcan su identificador público (nombre de usuario, número de teléfono, dirección de correo electrónico, etc.) y que luego completen el proceso de autenticación proporcionando una prueba segura de identidad a través de un dispositivo o token registrado.

Los métodos de autenticación sin contraseña generalmente se basan en una infraestructura de criptografía de clave pública donde la clave pública se proporciona durante el registro en el servicio de autenticación (servidor remoto, aplicación o sitio web) mientras que la clave privada se guarda en el dispositivo del usuario ( PC , teléfono inteligente o un token de seguridad externo ) y solo se puede acceder a ella proporcionando una firma biométrica u otro factor de autenticación que no esté basado en el conocimiento.

Estos factores clásicamente se dividen en dos categorías:

• Factores de propiedad (“Algo que el usuario tiene”) como un teléfono celular , un token OTP , una tarjeta inteligente o un token de hardware .
• Factores inherentes (“Algo que el usuario es”) como huellas dactilares , escaneos de retina , reconocimiento facial o de voz y otros identificadores biométricos.

Algunos diseños también podrían aceptar una combinación de otros factores como ubicación geográfica , dirección de red , patrones de comportamiento y gestos , siempre que no se utilicen contraseñas memorizadas.

La autenticación sin contraseña a veces se confunde con la autenticación multifactor (MFA), ya que ambas utilizan una amplia variedad de factores de autenticación, pero mientras que la MFA a menudo se utiliza como una capa adicional de seguridad sobre la autenticación basada en contraseña, la autenticación sin contraseña no requiere un secreto memorizado y generalmente utiliza solo un factor altamente seguro para autenticar la identidad (es decir, un token de seguridad externo), lo que la hace más rápida y sencilla para los usuarios.

"MFA sin contraseña" es el término utilizado cuando se emplean ambos enfoques y el flujo de autenticación no tiene contraseña y utiliza múltiples factores, lo que proporciona el mayor nivel de seguridad cuando se implementa correctamente.

Historia

La idea de que las contraseñas deberían volverse obsoletas ha estado circulando en la ciencia informática desde al menos 2004. Bill Gates , hablando en la Conferencia RSA de 2004 , predijo la desaparición de las contraseñas diciendo que "simplemente no cumplen con el desafío de nada que realmente quieras proteger". ^{[1] [2]} En 2011, IBM predijo que, dentro de cinco años, "nunca volverás a necesitar una contraseña". ^[3] Matt Honan, un periodista de Wired , que fue víctima de un incidente de piratería, escribió en 2012 "La era de las contraseñas ha llegado a su fin". ^[4] Heather Adkins, gerente de Seguridad de la Información en Google , dijo en 2013 que "las contraseñas se hacen en Google". ^[5] Eric Grosse, vicepresidente de ingeniería de seguridad en Google, afirma que "las contraseñas y los tokens portadores simples, como las cookies, ya no son suficientes para mantener seguros a los usuarios". ^[6] Christopher Mims , escribiendo en The Wall Street Journal, dijo que la contraseña "finalmente está muriendo" y predijo su reemplazo por la autenticación basada en dispositivos, sin embargo, revelar deliberadamente su contraseña de Twitter resultó en verse obligado a cambiar su número de teléfono celular. ^[7] Avivah Litan de Gartner dijo en 2014 "Las contraseñas estaban muertas hace unos años. Ahora están más que muertas". ^[8] Las razones dadas a menudo incluyen referencias a la usabilidad , así como a los problemas de seguridad de las contraseñas.

Bonneau et al. compararon sistemáticamente las contraseñas web con 35 esquemas de autenticación de la competencia en términos de usabilidad, capacidad de implementación y seguridad. ^{[9] [10]} (El informe técnico es una versión ampliada del artículo revisado por pares del mismo nombre). Su análisis muestra que la mayoría de los esquemas funcionan mejor que las contraseñas en materia de seguridad, algunos esquemas funcionan mejor y otros peor en cuanto a usabilidad, mientras que todos los esquemas funcionan peor que las contraseñas en cuanto a capacidad de implementación. Los autores concluyen con la siguiente observación: “Las ganancias marginales a menudo no son suficientes para alcanzar la energía de activación necesaria para superar los importantes costos de transición, lo que puede proporcionar la mejor explicación de por qué es probable que vivamos considerablemente más tiempo antes de ver llegar al cementerio la procesión fúnebre de las contraseñas”.

Los recientes avances tecnológicos (por ejemplo, la proliferación de dispositivos biométricos y teléfonos inteligentes) y la cultura empresarial cambiante (aceptación de la biometría y la fuerza laboral descentralizada, por ejemplo) están promoviendo continuamente la adopción de la autenticación sin contraseña. Las principales empresas tecnológicas (Microsoft, ^[11] Google ^[12] ) y las iniciativas de toda la industria están desarrollando mejores arquitecturas y prácticas para llevarlas a un uso más amplio, y muchas adoptan un enfoque cauteloso, manteniendo las contraseñas detrás de escena en algunos casos de uso. El desarrollo de estándares abiertos como FIDO2 y WebAuthn ha generado aún más la adopción de tecnologías sin contraseña como Windows Hello . El 24 de junio de 2020, Apple Safari anunció que Face ID o Touch ID estarían disponibles como un autenticador de la plataforma WebAuthn para el inicio de sesión sin contraseña. ^[13]

Mecanismo

El usuario debe registrarse primero en un sistema para poder verificar su identidad. Un proceso de registro sin contraseña puede incluir los siguientes pasos: ^[14]

• Solicitud de registro : cuando un usuario intenta registrarse en un sitio web, el servidor envía una solicitud de registro al dispositivo del usuario.
• Selección del factor de autenticación : cuando el dispositivo del usuario recibe la solicitud de registro, configura un método para autenticar al usuario. Por ejemplo, el dispositivo puede utilizar datos biométricos como un escáner de huellas dactilares o reconocimiento facial para la identificación del usuario. ^[15]
• Generación de claves : el dispositivo del usuario genera un par de claves pública / privada y envía la clave pública al servidor para su futura verificación. ^[16]

Una vez registrado, un usuario puede iniciar sesión en el sistema a través del siguiente proceso:

• Desafío de autenticación : el servidor envía un desafío de autenticación al dispositivo del usuario cuando el usuario intenta iniciar sesión en el sitio. ^[16]
• Autenticación de usuario : El usuario prueba su identidad a su dispositivo mediante el escáner biométrico, desbloqueando su clave privada. ^[17]
• Respuesta al desafío : el dispositivo del usuario firma digitalmente una respuesta al desafío de autenticación con la clave privada del usuario. ^[18]
• Validación de respuesta : el servidor utiliza la clave pública del usuario para verificar la firma digital y proporciona acceso a la cuenta del usuario. ^[18]

Beneficios y desventajas

Los defensores señalan varias ventajas únicas en comparación con otros métodos de autenticación:

• Mayor seguridad : se sabe que las contraseñas son un punto débil en los sistemas informáticos (debido a la reutilización, el intercambio, el descifrado, la difusión, etc.) y se consideran un vector de ataque importante, responsable de un gran porcentaje de violaciones de seguridad.
• Mejor experiencia de usuario : los usuarios no solo no tienen que recordar contraseñas complicadas ni cumplir con diferentes políticas de seguridad, sino que tampoco tienen que renovar sus contraseñas periódicamente.
• Costos de TI reducidos : dado que no se necesita almacenar ni administrar contraseñas, los equipos de TI ya no tienen la carga de establecer políticas de contraseñas, detectar fugas, restablecer contraseñas olvidadas y cumplir con la regulación del almacenamiento de contraseñas.
• Mejor visibilidad del uso de credenciales : dado que las credenciales están vinculadas a un dispositivo específico o a un atributo inherente del usuario, no se pueden usar de forma masiva y la gestión del acceso se vuelve más estricta.
• Escalabilidad : gestión de múltiples inicios de sesión sin necesidad de contraseñas adicionales ni registros complicados.

Mientras que otros señalan desventajas operativas y de costos:

• Costos de implementación : si bien se acepta que la autenticación sin contraseña genera ahorros a largo plazo, los costos de implementación son actualmente un factor limitante para muchos usuarios potenciales. El costo está asociado con la necesidad de implementar un mecanismo de autenticación en un directorio de usuarios existente y, a veces, con el hardware adicional que se implementa para los usuarios (por ejemplo, OTP o claves de seguridad).
• Se necesita capacitación y experiencia : si bien la mayoría de los sistemas de gestión de contraseñas están diseñados de manera similar y se han utilizado durante muchos años, la autenticación sin contraseña requiere adaptación tanto de los equipos de TI como de los usuarios finales.
• Punto único de falla : en particular, las implementaciones que utilizan OTP o notificaciones push para aplicaciones de dispositivos celulares pueden crear un desafío para el usuario final si un dispositivo se rompe, se pierde, es robado o simplemente se actualiza. ^[19]

Véase también

• Autenticación
• Alianza FIDO
• Descifrado de contraseñas
• Fatiga de contraseñas
• Política de contraseñas
• Psicología de las contraseñas
• Fuerza de la contraseña
• Clave precompartida
• Usabilidad de los sistemas de autenticación web

Referencias

1. Munir Kotadia (25 de febrero de 2004). "Gates predice la muerte de las contraseñas". News.cnet.com . Consultado el 12 de abril de 2020 .
2. Kotadia, Munir (25 de febrero de 2004). «Gates predice la muerte de la contraseña». ZDNet . Consultado el 8 de mayo de 2019 .
3. "IBM revela cinco innovaciones que cambiarán nuestras vidas en cinco años". IBM. 19 de diciembre de 2011. Archivado desde el original el 17 de marzo de 2015. Consultado el 14 de marzo de 2015 .
4. Honan, Mat (15 de mayo de 2012). «Eliminemos la contraseña: por qué una cadena de caracteres ya no puede protegernos». Wired . Archivado desde el original el 16 de marzo de 2015. Consultado el 14 de marzo de 2015 .
5. "Ejecutivo de seguridad de Google: 'Las contraseñas están muertas'". CNET . 25 de febrero de 2004. Archivado desde el original el 2 de abril de 2015 . Consultado el 14 de marzo de 2015 .
6. Grosse, Eric; Upadhyay, Mayank (enero de 2013). "Autenticación a escala". IEEE Security & Privacy . 11 (1): 15–22. doi :10.1109/MSP.2012.162. S2CID  57409. Archivado desde el original el 23 de abril de 2013 . Consultado el 2 de julio de 2022 .
7. • Mims, Christopher (14 de julio de 2014). "La contraseña finalmente está muriendo. Aquí está la mía". Wall Street Journal . Archivado desde el original el 9 de enero de 2015. Consultado el 14 de marzo de 2015 .
   • Mims, Christopher (15 de julio de 2014). «Comentario: lo que aprendí y lo que usted debería saber después de publicar mi contraseña de Twitter». Wall Street Journal . Archivado desde el original el 16 de julio de 2014. Consultado el 2 de julio de 2022 .
8. Vijayan, Jaikumar (14 de agosto de 2014). «El robo de credenciales ruso demuestra por qué la contraseña está muerta». Computer World . Archivado desde el original el 2 de abril de 2015. Consultado el 14 de marzo de 2015 .
9. Bonneau, Joseph; Herley, Cormac; Oorschot, Paul C. van; Stajano, Frank (2012). "La búsqueda para reemplazar las contraseñas: un marco para la evaluación comparativa de los esquemas de autenticación web". Cambridge, Reino Unido: Laboratorio de Computación de la Universidad de Cambridge. doi :10.48456/tr-817. ISSN  1476-2986 . Consultado el 22 de marzo de 2019 . {{cite journal}}: Requiere citar revista |journal=( ayuda )
10. Bonneau, Joseph; Herley, Cormac; Oorschot, Paul C. van; Stajano, Frank (2012). La búsqueda para reemplazar las contraseñas: un marco para la evaluación comparativa de los esquemas de autenticación web . Simposio IEEE sobre seguridad y privacidad de 2012. San Francisco, CA. págs. 553–567. doi :10.1109/SP.2012.44.
11. "Utilice la autenticación sin contraseña para mejorar la seguridad". Microsoft.com. 28 de enero de 2020. Consultado el 12 de abril de 2020 .
12. "Hacer que la autenticación sea aún más sencilla". security.googleblog.com. 2019. Consultado el 12 de abril de 2020 .
13. "Documentación para desarrolladores de Apple". developer.apple.com . Consultado el 7 de octubre de 2020 .
14. "Autenticación sin contraseña: una guía completa [2022] - Transmit Security". Transmit Security . 13 de enero de 2022 . Consultado el 12 de abril de 2022 .
15. "Sin contraseña para la cuenta Microsoft: ¿qué significa la autenticación sin contraseña?". Business Today . Consultado el 12 de abril de 2022 .
16. Deighton, Katie (22 de marzo de 2022). "Technology Alliance dice que está más cerca de acabar con las contraseñas". Wall Street Journal . Consultado el 12 de abril de 2022 .
17. "Acelerando el camino hacia la autenticación sin contraseña". IBM . Consultado el 12 de abril de 2022 .
18. "Autenticación sin contraseña" (PDF) . Foro Económico Mundial . Consultado el 12 de abril de 2022 .
19. Smithson, Nigel (9 de junio de 2020). "Problemas con la autenticación multifactor: PSA para usuarios de aplicaciones MFA". sayers.com . Archivado desde el original el 2020-08-10 . Consultado el 2 de julio de 2022 .