Ir al contenido principal

La industria tecnológica quiere matar la contraseña. O lo hace?

Algunas personas no pueden dejar de hablar sobre la muerte de la contraseña. Las contraseñas son viejas, inseguras y fáciles de filtrar. Pronto, todos usaremos biometría, claves de seguridad de hardware y otras soluciones futuristas, ¿verdad? Bueno, no tan rápido.

Hablamos con el jefe de seguridad de 1Password, Jeffery Goldberg, quien dijo que es "cautelosamente optimista de que esta vez podamos ver una abolladura en el problema de la contraseña ".

Esa es la idea optimista, y está lejos de la muerte de las contraseñas.

Por qué la gente quiere matar la contraseña

Al discutir el objetivo de la compañía de "Construir un mundo sin contraseñas", en mayo de 2018, el equipo de seguridad de Microsoft escribió:

"A nadie le gustan las contraseñas. Son inconvenientes, inseguros y caros. De hecho, no nos gustan tanto que hemos estado ocupados en el trabajo tratando de crear un mundo sin ellos, un mundo sin contraseñas ".

Las contraseñas se han vuelto más molestas con el tiempo, y Todos nos hemos hecho conscientes de los riesgos de reutilizar uno. Si usa la misma contraseña en varios sitios y hay una pérdida de contraseña, la suya se puede usar para acceder a su cuenta en otro sitio web. Por lo tanto, debe elegir una contraseña segura y única para cada servicio que utilice. Atrás quedaron los días de reutilizar una contraseña corta y simple en un puñado de sitios web.

Para la mayoría de las personas que no tienen recuerdos sobrehumanos, es imposible recordar una contraseña segura y única para cada cuenta en línea. Por eso recomendamos administradores de contraseñas: recuerdan todas esas contraseñas seguras y únicas para usted. Solo tiene que recordar su contraseña maestra, que es mucho más fácil que recordar 100 y mucho más segura que reutilizar la misma.

Sin embargo, incluso con un administrador de contraseñas, esto no es completamente seguro. Alguien con un keylogger en su sistema podría capturar su contraseña e iniciar sesión como usted. Es por eso que los servicios agregan seguridad adicional. A menudo escribimos una contraseña y luego tenemos que autenticarnos por segunda vez con un código o clave.

¿Hay una mejor manera?

¿Qué podría reemplazar la contraseña?

Goldberg dijo que ha visto "esquema tras esquema" propuesto para matar contraseñas en los últimos veinte años, muchos de los cuales no aprendieron de lo que había fallado en el pasado. Pero los más nuevos podrían tener una mejor oportunidad de tener éxito debido a avances como dispositivos locales más potentes.

La biometría puede reemplazar una contraseña. Puede usar Touch o Face ID (biometría) para iniciar sesión en su iPhone en lugar de escribir un PIN. Los teléfonos Android también tienen funciones de huellas dactilares y de inicio de sesión facial.

Ahora también puede crear cuentas de Microsoft "sin contraseña" para iniciar sesión en Windows. Su nombre de usuario es su número de teléfono y la "contraseña" que escribe es un código enviado a su número de teléfono por SMS.

También puede usar una clave de seguridad física en lugar de una contraseña para autenticar sus cuentas en línea. Mantiene la clave con usted (incluso puede guardarla en su llavero) y la usa a través de USB, NFC o Bluetooth cuando es hora de iniciar sesión.

Los teléfonos también pueden reemplazar las contraseñas. Google ahora permite que los dispositivos Android funcionen como teclas FIDO2. Es posible que también deba autenticarse con una huella digital en su teléfono cuando inicie sesión en un sitio web en su computadora portátil.

Muchas compañías intentan reducir la dependencia de las contraseñas ofreciendo proveedores de "inicio de sesión único". Esto es cuando inicia sesión en Facebook, Google, etc., y luego usa esa cuenta para iniciar sesión en otros servicios; no se necesitan contraseñas adicionales.

"Reemplazos de contraseña" No reemplace las contraseñas

Sin embargo, aquí hay un gran problema. Las tecnologías promocionadas como "reemplazos" de contraseñas no son en realidad reemplazos, al menos, todavía no.

La biometría, como Face o Touch ID, todavía requiere un código de acceso y una contraseña de Apple ID en su dispositivo. Algunas tareas también requieren un PIN para fines de cifrado en segundo plano. Las características biométricas en Android y Windows Hello en Windows 10 funcionan de la misma manera, básicamente, como una característica conveniente. Es más fácil iniciar sesión en su dispositivo porque no tiene que escribir una contraseña cada vez, pero no reemplaza su contraseña.

Una cuenta sin contraseña que te envía códigos telefónicos tampoco es genial. En lugar de una contraseña para su cuenta, este servicio genera una nueva cada vez que intenta iniciar sesión y se la envía por SMS. Esto es menos seguro que el método tradicional de una sola contraseña más un código de seguridad que se le envía cuando inicia sesión.

Desafortunadamente, los atacantes roban fácilmente números de teléfono en muchas situaciones, lo que lo hace menos seguro. Es un excelente método para llegar a las personas en países donde los números de teléfono son ubicuos, y reduce la fricción de registrarse para obtener una cuenta, por lo que Amazon también ofrece esto. Pero no es una buena solución para reemplazar las contraseñas.

La mayoría de los servicios que han adoptado claves de seguridad física las usan como una opción de autenticación adicional. Aún debe iniciar sesión con su contraseña y luego proporcionar la clave de seguridad como confirmación secundaria para ingresar. La capacidad de usar una clave sin contraseña aún está muy lejos.

Hay un problema de privacidad con servicios de inicio de sesión único también. Cuando hace clic en "Iniciar sesión con Google" o "Iniciar sesión con Facebook", el operador del servicio, Google o Facebook, sabe a qué se está conectando.

Siempre habrá contraseñas (en segundo plano )

Incluso si el sueño de Google de reemplazar las contraseñas con teléfonos se hace realidad, no eliminará la contraseña. The Verge resumió los planes de Google de esta manera: "Si ya ha iniciado sesión en su teléfono, esto podría usarse para 'arrancar' el próximo dispositivo que desea iniciar sesión en su cuenta de Google".

Puede evitar usar su contraseña durante mucho tiempo, pero aún está allí en segundo plano. Después de todo, lo necesitará si pierde todos sus dispositivos.

Las contraseñas aún están muy extendidas. Son fáciles de configurar y usar. Los "reemplazos" de contraseñas ofrecen más comodidad o seguridad adicional. Pero siempre necesitará una forma de recuperar el acceso si pierde su dispositivo y no puede utilizar su seguridad biométrica o de hardware.

"Creo que siempre habrá casos extremos que requieren contraseñas". dijo el jefe de operaciones de 1Password, Matt Davey. Por ejemplo, Iniciar sesión con Apple en iOS 13 ofrece una opción de inicio de sesión basada en la web que utiliza su contraseña de ID de Apple cuando inicia sesión en un dispositivo que no es de Apple. Una contraseña funciona en todas partes y es el valor predeterminado universal cuando la biometría sofisticada o las funciones de seguridad de hardware no están disponibles.

Como dijo Goldberg, "las contraseñas son realmente fáciles de implementar". "Siguen siendo lo más sencillo para los operadores de servicios".

Es por eso que 1Password es optimista sobre el futuro de los administradores de contraseñas. La compañía dijo que había visto más usuarios nuevos incluso a medida que la competencia crece, y compañías como Apple, Google y Mozilla se toman más en serio la administración de contraseñas.

¿Qué depara el futuro?

El sueño de eliminar la contraseña está muy lejos. Incluso si el proceso va bien, el mejor de los casos es avanzar lentamente, con alternativas más fáciles a las contraseñas.

Algún día, las contraseñas podrían quedar tan relegadas a un segundo plano que serán un método de recuperación de cuenta olvidado hace mucho tiempo. Pero probablemente estarán por mucho tiempo por venir. La batalla para desterrarlos del uso diario para la mayoría de las personas será larga y dura. ¿Pero matar contraseñas por completo? Eso es aún más difícil de imaginar.

Fuente: How to Geek

Vea También:

Etiquetas:

Comentarios

Publicar un comentario

Entradas populares de este blog

¿Qué son stdin, stdout y stderr en Linux?

stdin, stdout y stderr son tres flujos de datos creados al iniciar un comando de Linux. Puede usarlos para saber si sus scripts se están canalizando o redirigiendo. Le mostramos cómo. Streams Unir dos puntos Tan pronto como Cuando comienzas a aprender sobre Linux y sistemas operativos tipo Unix, te encontrarás con los términos stdin, stdout y stederr. Estas son tres secuencias estándar que se establecen cuando se ejecuta un comando de Linux. En informática, un flujo es algo que puede transferir datos. En el caso de estas corrientes, esos datos son texto. Las corrientes de datos, como las corrientes de agua, tienen dos extremos. Tienen una fuente y un flujo de salida. Cualquiera que sea el comando de Linux que esté utilizando, proporciona un extremo de cada transmisión. El otro extremo está determinado por el shell que lanzó el comando. Ese extremo estará conectado a la ventana del terminal, conectado a una tubería o redirigido a un archivo u otro
Publicar un comentario
Leer más

Cómo usar el comando Echo en Linux

El comando echo es perfecto para escribir texto formateado en la ventana del terminal.Y no tiene que ser texto estático. Puede incluir variables de shell, nombres de archivo y directorios. También puede redirigir echo para crear archivos de texto y archivos de registro. Siga esta sencilla guía para descubrir cómo. Echo repite lo que le dice que repita A Zeus le gustaba abandonar el Olimpo para asociarse con hermosas ninfas. En un viaje, le dijo a una ninfa de la montaña llamada Echo que matara a su esposa, Hera, si ella lo seguía. Hera vino a buscar a Zeus, y Echo hizo todo lo que pudo para mantener a Hera en conversación. Finalmente, Hera perdió los estribos y maldijo al pobre Echo para que solo repitiera las últimas palabras que alguien más había dicho. Lo que Hera le hizo a Zeus cuando lo alcanzó es la suposición de nadie. Y eso, más o menos, es mucho eco en la vida. Repite lo que se le ha dicho que repita. Esa es una función simple, pero vit
Publicar un comentario
Leer más

Cómo usar el comando rev en Linux

El comando rev de Linux invierte las cadenas de texto. Este comando puede operar en el texto proporcionado o en un archivo, y parece ser aparentemente simple. Pero al igual que muchas utilidades de la línea de comandos, su poder real se hace evidente cuando lo combinas con otros comandos. El comando rev es una de esas sencillas utilidades de Linux que, a primera vista, parece ser una especie de rareza. Realiza una sola función: invierte cadenas. Y aparte de poder imprimir una página de ayuda rápida (-h) y mostrarle su número de versión (-V), no acepta ninguna opción de línea de comandos. Por lo tanto, rev invierte cadenas, ¿y eso es? ¿No hay variaciones u opciones? Pues sí y no. Sí, no tiene permutaciones, pero no, eso no es todo. Este tutorial le muestra cómo combinarlo para operaciones poderosas. Cuando usa rev como un bloque de construcción en secuencias de comandos más complicadas, realmente comienza a mostrar su valor. rev es uno de un grupo de
Publicar un comentario
Leer más