Debemos reconocer que, a fecha de hoy, a pesar de los grandes avances tecnológicos que hemos vivido en los últimos años, el asunto de las contraseñas sigue aún sin solucionarse. Seguimos expuestos a sufrir cualquier ciberataque para intentar hacerse con ellas.
Efectivamente, las contraseñas siguen siendo uno de los puntos más débiles en la seguridad de todas nuestras cuentas online.
Sin embargo, esto podría concluir gracias a la presentación de un nuevo estándar abierto, apoyado por gigantes tecnológicos como Google, Microsoft y Mozilla: WebAuthn.
Qué es WebAuthn
¿Y en qué consiste? Básicamente, en la posibilidad de identificarnos en diferentes servicios con el navegador sin utilizar ninguna contraseña. En su lugar, podremos hacerlo mediante datos biométricos como la huella dactilar o nuestro propio rostro, unos tokens para el hardware y aplicaciones específicas. Un token o también llamado componente léxico es una cadena de caracteres que tiene un significado coherente en cierto lenguaje de programación.
Actualmente, todo esto es algo que algunas empresas ya implementan en ciertos dispositivos. No obstante, la llegada de este nuevo sistema permitirá que todas las empresas y servicios puedan empezar a navegar en la misma dirección y, gracias a la utilización de código abierto, los pequeños desarrolladores tendrán mucho más fácil su implementación.
El primer navegador que ha comenzado a implementarlo es Firefox. Otros navegadores como Chrome (Google), Edge (Microsoft), Opera y Safari (Apple) también han anunciado que están empezando a trabajar en ello. Igualmente, está siendo implementado por servicios como Bank of America, Paypal o Ebay en sus aplicaciones móviles nativas.
Cómo se consigue esta identificación sin contraseña
Este nuevo estándar está basado en lo que se conoce como “protocolo de conocimiento cero”. El concepto criptográfico de prueba de conocimiento cero o protocolo de conocimiento cero es un método interactivo para que un ente pruebe a otro que una declaración (usualmente matemática) es verdadera, sin revelar nada más que la veracidad de la afirmación. Aparece el concepto de “probador» (en inglés «prover«) y «verificador» (en inglés “verifier”) y se establecen una serie de pasos (protocolo).
En definitiva, todo esto implica que podremos probar nuestra identidad sin necesidad de revelarla a los servicios. En lugar de guardar una cadena de caracteres que garantice el acceso, esta metodología se basa en verificar una declaración enviada por el cliente; y a su vez, el cliente puede saber si el verificador es falso dependiendo de cómo responda.
Ventajas de este nuevo sistema
La primera ventaja que se consigue con este tipo de autenticación es que sólo dura una sesión, es decir, cada vez que el usuario pone su huella se genera una contraseña única. Si por un casual un atacante consiguiera interceptarla, no va a poder hacer nada con ella.
Otra de las ventajas es que se logran mezclar dos de las siguientes formas de autenticación: Una es algo que nosotros sabemos (por ejemplo, una contraseña), la otra es algo que nosotros tenemos (por ejemplo, un token bancario), y la tercera es algo que nosotros somos (nuestra huella dactilar, nuestra voz o el reconocimiento de nuestro rostro).
Próximos pasos de WebAuthn
Una vez que esta nueva tecnología comience a utilizarse en las webs, el siguiente paso será la posibilidad de darles a los usuarios dispositivos o aplicaciones con las que puedan identificarse. Por ello, empresas como Google y Microsoft han asegurado que están trabajando para llevarlo a los dispositivos móviles y de sobremesa.
Así, Google tiene intención de implementarlo dentro de su Android Fingerprint API para poder usarlo en dispositivos móviles. Microsoft, por su parte, tiene previsto incluirlo en Windows 10 gracias a su implementación en Windows Hello.
Qué sucede con los aparatos más antiguos
Para las computadoras de escritorio y equipos más antiguos, será necesario utilizar accesorios que incorporen lectores biométricos y que, mediante bluetooth o USB, nos permitan iniciar sesión.