Comienza la era del passwordless.

Revista Transformación Digital | viernes 08 - noviembre - 2019

En los servicios tradicionales que no utilizan passwordless, el registro se realiza por medio de un correo electrónico y una contraseña que serán almacenados por la empresa que ofrece el servicio.

Los sistemas passwordless basan su funcionamiento en el uso de criptografía asimétrica o de clave pública similar al utilizado en la firma digital. El usuario tendrá dos claves, una pública y otra privada, las cuales serán usadas para realizar la autenticación en el servicio.
La clave privada se almacenará en el dispositivo de forma segura junto a varios identificadores necesarios para saber a qué servicio pertenece. La clave privada únicamente será accesible si se está en posesión del mecanismo de seguridad elegido en el proceso de registro que puede ser un código PIN, biometría como huella dactilar o reconocimiento facial, voz, token físico, etc. La clave pública será enviada al servidor y vinculada con la cuenta del usuario.

Acceso al sistema passwordless
El acceso al servicio se realizará utilizando la clave privada generada en el proceso de registro. El usuario indica que quiere autenticarse en el servicio, para ello el servidor envía unos datos generados aleatoriamente. Una vez que esos datos son recibidos, el usuario debe introducir el sistema de seguridad elegido para acceder a su clave privada “huella dactilar, cara, PIN, etc.” y firmarlos con esta. Una vez firmados, son enviados al servidor que comprueba que la firma es correcta permitiendo al usuario acceder al sistema, todo ello gracias a la clave pública que almaceno en el proceso de registro.

Beneficios del passwordless
Los beneficios que aportará este método de autenticación son varios:
Las contraseñas dejarán de ser la única vía de acceso a los sistemas, utilizando una opción más segura como es el sistema de clave pública y privada.
Los principales métodos utilizados por los ciberdelincuentes, como son el phishing, ataques de fuerza bruta o contra contraseñas débiles, dejarán de funcionar.
Para acceder de forma fraudulenta a un sistema, los ciberdelincuentes tienen que estar en posesión del dispositivo, ya que en él se encuentra la clave privada, y del método elegido para su desbloqueo. Esto hace que resulte extremadamente complicado un acceso fraudulento al sistema.
Los usuarios no tendrán que recordar complejas contraseñas ya que utilizando métodos biométricos podrán acceder a su clave privada y por lo tanto a su cuenta.
El flujo de trabajo será mucho más ágil, ya que en muchas ocasiones los usuarios no tendrán que introducir ningún dato. Solamente con algo que poseen, como su huella dactilar, podrán acceder al sistema.

Aunque su uso pueda resultar similar en términos de seguridad que el ya conocido doble factor de autenticación, passwordless permitirá un manejo más simple, eficiente y seguro de los sistemas que lo implementen.

El adiós a las contraseñas no es algo nuevo y muchos usuarios ya se están familiarizando con este paradigma. Actualmente la mayoría de dispositivos móviles cuentan con componentes que permiten su desbloqueo por medio de biometría como la huella dactilar o reconocimiento facial, ofreciendo una experiencia de usuario más fluida. Además la existencia de nuevos estándares, como FIDO2, está permitiendo integrar el passwordless en múltiples entornos y dispositivos como ya ha hecho Google con Android o Microsoft con Windows 10.

Cambio de mentalidad
Los cambios nunca son fáciles. Cuando nos acostumbramos a realizar cualquier tarea de una determinada manera, aunque sea menos eficiente que la nueva, nos produce cierto malestar. El cambio que traerá passwordless, como cualquier otro, tendrá sus detractores, pero eso no deberá ser suficiente como para dejar de lado esta tendencia en los sistemas empresariales.

Otra cuestión a tener en cuenta es que implantar passwordless en la empresa será una tarea compleja. Una forma de introducir a los usuarios y no afectar por completo a la organización es comenzar a aplicar el uso de passwordless a grupos pequeños de usuarios, pudiendo así comprobar su eficiencia sin afectar a toda la empresa.

El fin de las contraseñas ha comenzado, llega el momento de comenzar a mirar hacia un nuevo sistema de autenticación más ágil, seguro y eficiente.
Comienza la era del passwordless.

Fuente: www.incibe.es

______________________________________________________
Patrocinado

Formación bonificada Fundae.
Información general : www.docuformacion.com

Etiquetas: , , , , ,

Categorías: General, ponencias tic