huella dactilar autenticación sin contraseña

La gestión de las contraseñas siempre ha sido un reto para las empresas, y supone una enorme responsabilidad para los usuarios habituales que manejan cientos de contraseñas en su vida digital cada día. La idea de un futuro “sin contraseñas” o passwordless parece música para los oídos de todos, ¿verdad? Por supuesto. Pero antes de lanzanos a ser 100% Passwordless, desmitifiquemos lo que significa y las opciones y retos a los que se pueden enfrentar las empresas.  

De todos modos, ¿qué significa “passwordless”?

Muchas de las aplicaciones de su dispositivo móvil ofrecen un inicio de sesión opcional utilizando la huella dactilar; si acepta, estará iniciando sesión con la autenticación sin contraseña. Si tiene Windows Hello activado en el portátil, puede que le resulte cómodo iniciar sesión mediante el reconocimiento facial, ¿verdad? Eso es autenticación sin contraseña. Siempre que exista una forma alternativa de iniciar sesión que no requiera una contraseña, se estará utilizando un método passwordless 

Sin embargo, hay un par de observaciones interesantes en torno a este concepto:  

  • La ausencia de contraseña no significa necesariamente que se esté eliminando la contraseña, sino que se está ofreciendo una experiencia de usuario passwordless. Si su método alternativo de autenticación (como el reconocimiento facial) falla, la contraseña normalmente seguirá estando ahí.  
  • Los métodos passwordless utilizados en el teléfono y el ordenador portátil no son interoperables. Si inicia sesión en su aplicación de banca móvil utilizando su huella dactilar, y ahora necesita  acceder a ella a través del portátil, tendrá que proporcionar su contraseña. 

La realidad es que las contraseñas no van a desaparecer pronto. Los sitios web, las suscripciones de streaming, el ordenador portátil, la tarjeta bancaria y la web del banco utilizan contraseñas, cada una de ellas con diferentes requisitos, como la longitud o una combinación específica de caracteres. 

Estoy convencido, ¿qué hago ahora?

Si su empresa está intentando cambiar a una experiencia passwordless, hay algunas opciones, pero puede que solo cubran una parte de sus necesidades.

Muchas de las aplicaciones de un móvil ofrecen un inicio de sesión opcional utilizando la huella dactilar; si acepta, estará iniciando sesión con la autenticación sin contraseña

La primera opción es utilizar SAML (Security Assertion Markup Language), un protocolo basado en XML que permite a las aplicaciones en la nube crear una relación de confianza con un proveedor de identidades, o SAML IdP. Dentro de esa confianza, cada vez que quiera acceder a una aplicación en la nube, como Salesforce, ésta le redirigirá a un proveedor de identidades donde podrá autenticarse. Las ventajas para una empresa son enormes y permiten a los empleados utilizar un método de inicio de sesión único en esas aplicaciones en la nube mediante una experiencia completamente passwordless. Tendrá que iniciar sesión una vez en el Proveedor de Identidad, pero una vez que lo haga obtendrá acceso a todas las aplicaciones configuradas, eliminando la necesidad de contraseñas. Solo tiene que utilizar un método MFA fiable para iniciar sesión en el proveedor de identidades. MFA tiene la llave del castillo.  

La segunda opción es adoptar un dispositivo FIDO2 que le proporcione una experiencia passwordless.  FIDO Alliance creó especificaciones para crear un método passwordless para iniciar sesión en sitios web y aplicaciones. Normalmente requiere un token de hardware que utiliza un determinado método de conexión – USB, Bluetooth, NFC, etc. – para autenticarse en una aplicación compatible con FIDO2. Al igual que el ejemplo del reconocimiento facial de Windows Hello, los dispositivos FIDO2 también pueden utilizarse para iniciar sesión en el ordenador sin utilizar una contraseña. Es un método excelente y totalmente seguro, pero viene con barreras como las aplicaciones de apoyo limitadas y la necesidad de métodos de autenticación de respaldo en caso de que su token se olvide o se pierda. Por no hablar de la barrera del coste: los dispositivos FIDO2 pueden resultar bastante caros.

Una implementación passwordless debe tener en cuenta la experiencia del usuario así como la seguridad. Por ejemplo, no debe eliminar la contraseña si planea mantener un método 1FA para autenticar. Los OTPs por SMS, por ejemplo, son notoriamente inseguros; hacerlos su única forma de autenticación es un gran error. Cuando se utiliza únicamente la autenticación basada en push, sin un método adicional, los atacantes pueden seguir utilizando el bombardeo de MFA para forzar a los usuarios a aceptar un Push si el propio proceso de MFA no está protegido.   

Por último, veo que mucha gente se cuestiona la necesidad de un gestor de contraseñas si la nueva tendencia es la ausencia de contraseñas.  Las contraseñas no van a desaparecer pronto, y es casi imposible tener contraseñas diferentes y complejas para todas y cada una de las aplicaciones. Un gestor de contraseñas es una gran manera de educar a los usuarios y mitigar los problemas con las bases de datos de la dark web difíciles de crackear, todo ello ofreciendo a los usuarios una experiencia passwordless. Acceda a su gestor de contraseñas con MFA y deje que inicie el sitio web e inicie la sesión automáticamente. 

En resumen…

He aquí algunas ideas y sugerencias clave basadas en el estado actual de la autenticación passwordless:  

  • “Passwordless” significa que el usuario no está introduciendo una contraseña; no significa que la contraseña ya no exista.  
  • Las contraseñas no se van a ir a ninguna parte, así que tendrá que encontrar mejores formas de gestionar y mitigar cualquier problema que surja en el camino.  
  • Para las aplicaciones empresariales en la nube, SAML es una forma excelente de proporcionar acceso Passwordless SSO a las aplicaciones protegidas en la nube.  
  • Para los inicios de sesión en el ordenador, los tokens FIDO2 pueden ofrecer una gran experiencia de usuario y seguridad, pero normalmente a un precio mayor. 
  • Un gestor de contraseñas puede ofrecer a los usuarios una experiencia passwordless para las aplicaciones que no soportan MFA de forma nativa, a la vez que mitiga múltiples problemas relacionados con las credenciales.  

Como puede verse, dependiendo de lo que se esté intentando lograr, un método completamente passwordless podría ser el mejor curso de acción.  

El hecho es que todavía no existe un estándar claro para la autenticación passwordless que pueda interoperar con múltiples dispositivos y aplicaciones. Necesitará un token de hardware muy caro, como una “navaja suiza”, para tener experiencias similares con su ordenador portátil y su dispositivo móvil, pero solo para un número muy limitado de aplicaciones. Supongamos que cada día inicia sesión en su ordenador utilizando el reconocimiento facial con Windows Hello; el inicio de sesión de Windows Hello no puede utilizarse para acceder a la mayoría de los sitios web a los que accede cada día, cada sitio web tiene su propio método de inicio de sesión. Dentro de unos años FIDO2 podría convertirse en el estándar de facto para passwordless, pero por ahora su uso es todavía muy limitado.  

Mi recomendación, como siempre, es que identifique las aplicaciones más críticas que intenta proteger y qué métodos passwordless podrían aplicarse a cada una de ellas. Tenga en cuenta la experiencia del usuario, pero no olvide la seguridad ni los costes de gestión. 

Por Alexandre Cagnoni, Director of Authentication en WatchGuard Technologies 

>