Daniel García, actualmente director tecnológico de la iniciativa empresarial “PRiSE”, nos ha ofrecido una conferencia sobre el inminente futuro de las contraseñas, tratando los siguientes puntos:
1. ¿Qué es una contraseña y para qué sirve?
2. ¿Por qué hay tanta preocupación con las contraseñas?
3. El futuro de las contraseñas
4. Protección contra la debilidad de las contraseñas
5. Cómo evitar las molestias de las protecciones de las contraseñas
6. Cómo en la iniciativa empresarial “PRISE” reducen el uso de las contraseñas
A continuación, mostraremos un resumen sobre todo lo que se ha hablado en cada uno de los apartados anteriores.
1: ¿Qué es una contraseña y para qué sirve?
Las contraseñas son credenciales que utilizan los sujetos para identificarse, es decir, para demostrar que son quien dicen ser. Estas credenciales pueden ser:
•Algo que el sujeto sabe: Se trata de un secreto compartido entre el sujeto que quiere identificarse, y el sistema o personas responsables de identificarlo. Por ejemplo, una clave formada por caracteres de texto.
•Algo que el sujeto tiene: Podría ser un dispositivo único con el que poder continuar con el proceso de identificación del sujeto. Por ejemplo, un código o “token” generado por el teléfono móvil de la persona que quiere identificarse.
•Algo que el sujeto es: Se trata de alguna característica inherente al sujeto que puede usarse para su identificación. Por ejemplo, su huella dactilar.
2: ¿Por qué hay tanta preocupación con las contraseñas?
La forma de identificación más conocida y usada actualmente es el sistema de inicio de sesión mediante un usuario y una contraseña. Sin embargo, este sistema de contraseñas es débil, debido a su mal uso por parte de los usuarios. Existen datos preocupantes que ponen en riesgo la seguridad y fortaleza del mismo. Por ejemplo:
• El 24% de los americanos usan contraseñas triviales y fáciles de averiguar, como “1234” o “qwerty”.
• Solo el 34% de los americanos cambia regularmente su contraseña
• El 66% de los americanos usa la misma contraseña para múltiples cuentas.
• Solo el 45% de los americanos dicen que cambiarían sus contraseñas tras haber sido hackeados
• EL 42% de las organizaciones realizan la gestión de las contraseñas mediante post-its, de manera que cualquier persona que acceda a las oficinas, puede averiguar las credenciales.
• En el mercado criminal, se vende software para realizar ataques de fuerza bruta para la obtención de contraseñas, por una media
de sólo 4 dólares.
• El 75% de los americanos se sienten frustrados por mantener la gestión de sus contraseñas
3: El futuro de las contraseñas
A corto plazo, las contraseñas actuales no van a desaparecer, puesto que están presentes en la mayoría de los sistemas informáticos. Además, son fáciles de utilizar, implementar y usar por parte de los usuarios.
No obstante, es muy probable que a medio plazo, el uso de las contraseñas como las conocemos hoy en día vaya cambiando, y se acaben usando únicamente de manera local, es decir, en algún dispositivo para proteger otro tipo de credenciales que sean las que realmente se utilicen para identificar a los usuarios. Por ejemplo, sería el caso del pin de un certificado digital.
A largo plazo, el uso de las contraseñas actuales se reducirá en gran medida, o incluso podrá acabar desapareciendo.
Pero… si no desparecen ¿Cómo podemos protegernos de su debilidad?
4. Protección contra la debilidad de las contraseñas actuales
Aumentar la seguridad de las contraseñas actuales es un verdadero reto, puesto que los usuarios están acostumbrados únicamente a ingresar un usuario y una contraseña, siendo cualquier paso adicional una molestia para ellos. Presentaremos algunas de las alternativas consideradas, junto con sus ventajas e inconvenientes:
• Usar como credencial un código o Token que se genere mediante un dispositivo concreto, y que se encuentre protegido por una palabra de paso o mediante un acceso biométrico previo. Sin embargo, ligar la generación del código con un dispositivo concreto (por ejemplo, el teléfono del sujeto), presenta problemas de movilidad. Es decir, si en un momento dado no disponemos de dicho dispositivo, no podremos identificarlos. Aunque presentemos este sistema en varios artefactos, necesitamos que todos ellos soporten esta tecnología. Además, esto implicaría un mayor número de objetos que proteger, y un mayor riesgo.
• No usar contraseñas y utilizar certificados digitales (DNIe, FNMT…), pero aún así, estos certificados habría que protegerlos mediante el uso de un PIN. Esto presenta una vez más un inconveniente de movilidad, puesto que necesitamos tener los certificados en los dispositivos.
• Usar factores biométricos. Esto resolvería la movilidad, puesto que no dependemos de nada más que de nuestras propias características físicas, y además, no necesitaríamos acordarnos de ninguna contraseña. Podríamos identificarnos en cualquier sistema, usando, por ejemplo, nuestra huella dactilar.
• Usar reconocimiento facial. Hace unos años esta opción no era rentable, puesto que no se tenía suficiente potencia de cálculo en los dispositivos personales para procesar esta tarea. Sin embargo, actualmente, en unos segundos, nuestros dispositivos pueden reconocer a una persona simplemente obteniendo una imagen de la misma. Sería relativamente sencillo desarrollar código Javascript que acceda a la cámara de nuestros dispositivos, y enviara la información obtenida a modo de contraseña. Esta opción resolvería el problema de la movilidad y las molestias del usuario. No obstante, existen inconvenientes en el mundo web, ya que este sistema no está regulado ni estandarizado a nivel mundial. Lo ideal sería que los desarrolladores pudieran llamar a una API que realice esta tarea de reconocimiento facial, sin depender de terceros. Actualmente este sistema solo se usa en teléfonos móviles por grandes corporaciones, teniendo ciertas implicaciones sobre la privacidad de los usuarios.
5. Cómo evitar las molestias de las protecciones de las contraseñas
Los usuarios quieren más seguridad en los sistemas que usan, pero cualquier paso adicional más allá de ingresar un usuario y una contraseña, les provoca molestias:
• Retrasan el acceso a los servicios
• Algunos usuarios se niegan a usar sus dispositivos personales para generar o recibir el segundo factor en determinadas ocasiones, por ejemplo, si la empresa en la que trabajas te obliga a vincular tu móvil personal a un servicio determinado en lugar de ofrecerte un dispositivo nuevo para ello.
• Gran parte de la generación no nativa digital tiene problemas para identificarse con los dobles factores.
Una idea podría ser molestar al usuario con dobles factores, únicamente cuando el sujeto se registre en el sistema, y posteriormente, solo cuando no estemos seguros de que ese usuario es quien dice ser, es decir, cuando se detecte un inicio de sesión sospechoso, con características fuera de lo habitual. Esto es posible mediante el uso de aprendizaje automático aplicado al propio comportamiento del usuario. En otras palabras, que el sistema aprenda de forma automática cómo un sujeto concreto utiliza el sistema, registrando patrones como:
• Hora del primer acceso del día del usuario
• Direcciones IP de origen del usuario
• Navegadores web que use el sujeto
• Número medio de errores consecutivos que comete el usuario al tratar de identificarse
Cuando detectamos cambios en los patrones de conducta, pediríamos un segundo factor, o incluso podríamos disparar alertas de seguridad, así como bloquear de forma automática la cuenta del usuario.
Nótese que no en todos los contextos esta es la mejor solución. Si estamos tratando con un sistema muy rígido y sensible, la alta frecuencia de uso de los segundos factores, están justificados.
6. Cómo evitamos en PRiSE el uso de contraseñas
En “PRiSE”, tratan de solventar las debilidades e inconvenientes de las contraseñas actuales. Para ello:
• Promueven el uso de certificados digitales. No obstante, las personas no nativas digitales, no los suelen usar.
• Delegan la autenticación de los usuarios en plataformas como “Cl@ve”.
• Han desarrollado con la Universidad de Málaga un sistema de autenticación mediante QR. Los equipos de uso público, como los ordenadores de las bibliotecas o aulas, pueden ser manipulados para robar las credenciales de los usuarios que los utilicen. Cualquier persona podría instalar un “key logger” en los equipos, un software que registra todas las pulsaciones del teclado de un ordenador, y obtener las credenciales de todos los alumnos. Por ello, PRiSE propone lo siguiente:
1. El sujeto inserta su usuario en el ordenador público.
2. A continuación, se genera un código QR que el usuario puede escanear mediante su teléfono móvil, para insertar la contraseña desde su propio dispositivo.
3. El QR generado estaría vinculado a la identidad del usuario, y solo se da por válido si lo envía el usuario que lo generó.