A estas alturas, todos sabemos cómo se debe construir una buena contraseña para que sea fuerte y robusta y prevenir que sea vulnerable ante posibles ataques de cibercriminales. Ahora, un nuevo sistema irrumpe con fuerza y podría representar el fin de las contraseñas como las entendemos a día de hoy: el Passwordless. En este post de Conversia lo explicamos.
Un ciberdelincuente puede obtener una contraseña en tan solo un segundo
Según un estudio realizado por el Centro de seguridad nacional de Reino Unido, el NCSB (National Cyber Security Centre), más de 40 millones de usuarios usan contraseñas que un ciberdelincuente es capaz de desvelar en tan solo un segundo.
A pesar de que actualmente las contraseñas son el método más frecuente utilizado por usuarios para registrarse en cualquier servicio, poco a poco se va implementando el uso de otros sistemas, muchos de ellos relacionados con los datos biométricos, para acceder a aplicaciones y dispositivos. Cada vez más usuarios desbloquean sus smartphones con la huella dactilar o con el reconocimiento facial; o al realizar una compra online, los consumidores reciben en su dispositivo un código de números al azar que deben introducir antes de efectuar la transacción. Y todo esto a causa de que las contraseñas no son un método con las suficientes garantías de seguridad.
El Passwordless llega para quedarse
Desde el Instituto Nacional de Ciberseguridad (Incibe) apuestan por la desaparición de las contraseñas, tal y como las entendemos a día de hoy, y aventuran que el futuro será de la mano del Passwordless. Los sistemas passwordlessbasan su funcionamiento en el uso de criptografía asimétrica o de clave pública. El sistema funciona proporcionando dos claves al usuario, una pública y otra privada, las cuales necesitará para realizar su autenticación en el servicio.
La clave privada se almacena de forma segura en el dispositivo, junto a varios identificadores necesarios para saber a qué servicio pertenece. A la clave privada se podrá acceder solamente con el mecanismo de seguridad elegido en el proceso de registro: un código PIN, la huella dactilar, el reconocimiento facial, etc. La clave pública será enviada al servidor y vinculada con la cuenta del usuario.
El acceso al servicio se realizará utilizando la clave privada generada en el proceso de registro. El usuario indica que quiere autenticarse en el servicio, para ello el servidor envía unos datos generados aleatoriamente. Una vez que esos datos son recibidos, el usuario debe introducir el sistema de seguridad elegido para acceder a su clave privada “huella dactilar, cara, PIN, etc.” y firmarlos con esta. Una vez firmados, son enviados al servidor que comprueba que la firma es correcta permitiendo al usuario acceder al sistema, todo ello gracias a la clave pública que almacenó en el proceso de registro.
Beneficios de la utilización del Passwordless
Entre las principales ventajas del uso del Passwordless, desde Conversia destacamos:
- Las contraseñas dejarán de ser el único método para acceder a los sistemas.
- El recurso más usado por los cibercriminales (el robo de contraseñas) ya no se podrá utilizar.
- Se complica el acceso fraudulento al sistema ya que los ciberdelincuentes necesitan estar en posesión del dispositivo, donde se encuentra la clave privada. También necesitan poder desbloquear el teléfono con el método elegido (biometría, PIN…).
- ¡Se acabó tener que recordar las complicadas contraseñas que exige cada sitio!