Apple cree que 249 de mis contraseñas necesitan atención. Algunos de ellos han sido reutilizados. Algunos de ellos se han visto atrapados en violaciones de datos. Algunas son simplemente malas contraseñas.
Es por eso que, durante los últimos 11 años, un grupo llamado FIDO Alliance ha estado trabajando para eliminar las contraseñas, o al menos hacernos menos dependientes de ellas. FIDO, abreviatura de Fast IDentity Online, quiere que el inicio de sesión en sus cuentas no sólo sea más seguro sino también, como su nombre lo indica, más rápido y sencillo. Dado que entre sus miembros se incluyen Amazon, Apple, Google, Meta y otros arquitectos de nuestra experiencia en línea, la Alianza FIDO también está en condiciones de lograrlo.
Ya sea que se haya dado cuenta o no, los esfuerzos de FIDO ya han transformado la forma en que inicia sesión en todo en línea. Es posible que hayas notado hace unos años, por ejemplo, que muchos más sitios comenzaron a requerir algo llamado autenticación multifactor, que agrega un paso adicional al proceso de inicio de sesión, como enviar un código de texto a tu teléfono para que el sitio pueda verificar tu identidad. Eso fue obra de FIDO.
Pero después de años de hacer que el inicio de sesión sea más difícil pero más seguro, la alianza recientemente inició un importante esfuerzo para lograr que tanto las plataformas como las personas adopten una tecnología que puede eliminar las contraseñas por completo: las claves de acceso.
Las claves de acceso son un nuevo tipo de credencial que puede utilizar para iniciar sesión en cuentas web sin utilizar una contraseña. Este nuevo estándar de autenticación está haciendo que las contraseñas sean irrelevantes al introducir un flujo de trabajo nuevo, más simple pero más seguro. Hay un logo y todo.
Puede pensar en las claves de acceso como dos archivos cifrados, uno en su extremo y otro en el extremo del sitio web, que abren el acceso a su cuenta cuando uno coincide con el otro, muy parecido a una llave y un candado. Las claves de acceso no se pueden copiar ni falsificar, y no se pueden realizar phishing.
Una vez que haya configurado una clave de acceso para un sitio web, puede iniciar sesión de la misma manera que desbloquea su teléfono: con su rostro, su huella digital o un PIN. El proceso es tan rápido y familiar que es posible que ya esté utilizando claves de acceso en sitios como Google y Amazon. Muy pronto, las claves de acceso podrían ser todo lo que usarías. Que tus contraseñas descansen en paz.
El problema de la contraseña, brevemente explicado
No siempre fue así. En los primeros días de la informática, cuando las computadoras ocupaban habitaciones enteras y requerían varias personas para operarlas, no había necesidad de contraseñas. Pero una vez que la gente empezó a compartir esos sistemas, las contraseñas se convirtieron en clave para la informática en privado.
A principios de la década de 1960, investigadores del MIT construyeron una computadora gigante llamada Compatible Time-Sharing System, una máquina pionera que condujo al desarrollo de cosas como el correo electrónico y el intercambio de archivos. Permitió que varias personas trabajaran en sus propios proyectos a la vez, por lo que Fernando Corbató, el jefe del proyecto, ideó una forma para que las personas mantuvieran archivos privados en el sistema. Hizo posible que los investigadores crearan cuentas y accedieran a ellas con cadenas únicas de caracteres, y así nació la contraseña.
«Desafortunadamente, se ha convertido en una especie de pesadilla», dijo Corbató al Wall Street Journal en 2014.
Resulta que las contraseñas no son nada privadas. Los investigadores del MIT rápidamente descubrieron formas de robar las contraseñas de sus colegas y gastarles bromas. Unas décadas después, la gente utiliza cientos de contraseñas para proteger sus cientos de cuentas en línea (o, a veces, es la misma contraseña para todo). Es absolutamente una pesadilla. Las contraseñas son fáciles de olvidar y pueden resultar difíciles de restablecer. Si un pirata informático roba esa contraseña que usa porque es complicado realizar un seguimiento de varias, puede iniciar sesión en todas sus cuentas, robar su dinero y, en general, causar estragos.
Los piratas informáticos también pueden simplemente robar contraseñas, a veces millones de ellas a la vez, para robar las identidades de las personas. Los ataques de phishing, cuando un mal actor engaña a alguien para que proporcione sus credenciales de inicio de sesión, son una forma particularmente insidiosa de obtener acceso a grandes cantidades de datos confidenciales. En realidad, estas filtraciones de datos son las que llevaron a la creación de FIDO en 2013, cuando un consorcio de empresas de tecnología, bancos y gobiernos se unieron para idear una mejor manera de proteger las cuentas.
El esfuerzo comenzó agregando capas de seguridad además de la contraseña básica. La autenticación multifactor se volvió común hace aproximadamente una década. Esto mejoró la seguridad, pero también fue una verdadera molestia.
Desde entonces, has visto rutinas de inicio de sesión aún más complicadas. Los requisitos para las contraseñas se han vuelto más complejos (piense en una docena de caracteres, mayúsculas y minúsculas, caracteres especiales, todo eso). Incluso una vez que haya ingresado una contraseña increíblemente larga y compleja, es posible que reciba una notificación automática en otro dispositivo para verificar que es usted mismo en su computadora portátil. Es posible que reciba un enlace mágico en su correo electrónico. Incluso podría haber un código QR involucrado. Todos estos métodos también son vulnerables a intentos de phishing.
“Para resolver el problema, es necesario llegar realmente a la raíz del problema”, me dijo el director ejecutivo de FIDO, Andrew Shikiar. «Al abordar el problema de las contraseñas, en realidad se está abordando el problema de la filtración de datos».
Las claves de acceso prometen solucionar muchos de los problemas creados por las contraseñas. Gracias a FIDO y W3C, el consorcio que gestiona los estándares para la World Wide Web, ahora existe un flujo de trabajo acordado para que las claves de acceso reemplacen las contraseñas por completo.
Desde el punto de vista del usuario, el proceso de clave de acceso es bastante sencillo. Simplemente inicia sesión a la antigua usanza, con una contraseña o un código o lo que sea, y luego el sitio web o la plataforma le preguntará si desea configurar una clave de acceso. Si lo hace, generará esos dos archivos (el candado y la llave, por así decirlo) que componen la clave de acceso. También le pedirá que desbloquee su teléfono con su rostro, huella digital, PIN o patrón de deslizamiento, según sus preferencias. Luego, la clave de acceso se asociará con ese dispositivo y se almacenará en la nube o en su administrador de contraseñas. La próxima vez que inicie sesión, ese sitio irá para ver si tiene la llave adecuada para su cerradura. Si es así, desbloquea tu dispositivo y volverás a entrar. Quizás te lleve dos segundos.
Crear una clave de acceso no necesariamente eliminará su contraseña para siempre. Muchos sitios mantienen la contraseña como respaldo, si de alguna manera pierdes la pista de tu clave de acceso. Además, hemos estado usando contraseñas durante tanto tiempo que sería extraño si desaparecieran de repente.
«La gente no quiere sentir que estamos perdiendo su contraseña», dijo Shikiar. «Ese es un pensamiento aterrador».
No para mí. Personalmente, no podía esperar para cambiar de contraseñas a claves de acceso, una vez que me enteré de la implementación más amplia. Entonces, durante la semana pasada, configuré tantas claves de acceso como pude. Pero no configuré 249 nuevas claves de acceso para lidiar con todas esas contraseñas problemáticas. Mi recuento de claves de acceso está más cerca de 12.
El proceso de configuración es ligeramente diferente para cada sitio, pero una vez que la clave de acceso está en su lugar, iniciar sesión es esencialmente un proceso de un solo toque o un vistazo. La mayoría de las veces ni siquiera veo un lugar para ingresar mi contraseña. El sitio simplemente escanea mi huella digital o mi cara y estoy dentro.
El principal desafío, por ahora, es que no muchas empresas utilizan claves de acceso, lo que explica el reciente impulso de FIDO para que más empresas se registren. Puedes configurar claves de acceso para tus cuentas de Google y Amazon, por ejemplo, pero no para Facebook e Instagram. WhatsApp, sin embargo, utiliza claves de acceso. Todo es un poco confuso por ahora. (Aquí hay una lista completa de los principales sitios web que admiten claves de acceso).
El otro problema aquí es que, si bien las personas pueden recordar las contraseñas en su cabeza, las claves de acceso realmente necesitan administradores de claves de acceso. Debido a que la mayoría de los dispositivos nuevos vienen con administradores de contraseñas integrados, esto en realidad no es gran cosa: los administradores de contraseñas también son administradores de claves de acceso.
Google y Apple comenzaron a hacer la transición a las claves de acceso hace un par de años. Si está utilizando un Android o un iPhone, puede utilizar los administradores de contraseñas integrados en esos dispositivos para guardar todas sus claves de acceso. Google Chrome también tiene un administrador de claves de acceso, al igual que Microsoft Windows. Los administradores de contraseñas, como 1Password y Bitwarden, ahora también pueden manejar claves de acceso. Si desea cambiar de un iPhone a un dispositivo Android o cambiar de administrador de contraseñas, tendrá problemas para migrar todas esas claves de acceso, pero FIDO está trabajando en una solución.
Las claves de acceso fueron diseñadas para eliminar las contraseñas, pero será una muerte lenta. Aunque las contraseñas se mantienen por ahora, gradualmente se volverán inútiles a medida que más sitios y plataformas dependan de claves de acceso. En cierto sentido, las contraseñas se convertirán en zombis de Internet, acechando y probablemente causando problemas ocasionalmente.
«La contraseña nunca desaparecerá por completo», dijo Jacob Hoffman-Andrews, tecnólogo senior de la Electronic Frontier Foundation. «Siempre habrá dispositivos y rincones de Internet donde las contraseñas permanecerán».