Cientos de millones de personas usan contraseñas todos los días: desbloquean nuestros dispositivos, correo electrónico, redes sociales e incluso cuentas bancarias. Sin embargo, las contraseñas son una cada vez más débil manera de protegernos: Apenas pasa una semana sin que un gran error de seguridad aparezca en las noticias. Esta semana es cisco – fabricante de gran parte del hardware que esencialmente impulsa Internet.
En este momento, casi todo el mundo busca ir más allá de las contraseñas para autenticación multifactor: requerir "algo que tienes" o "algo que eres" además de algo que sabes. Las tecnologías biométricas que miden ojos, huellas dactilares, rostros y/o voces son volviéndose más práctico, pero con frecuencia fallan para algunas personas y son difíciles de llevar a cientos de millones de usuarios.
Vídeos recomendados
¿No estamos pasando por alto lo obvio? ¿No está ya en nuestros bolsillos la solución a la seguridad multifactor?
Relacionado
- Los 15 smartphones más importantes que cambiaron el mundo para siempre
- SMS 2FA es inseguro y malo; en su lugar, utilice estas 5 fantásticas aplicaciones de autenticación
- La fatiga por la suscripción a aplicaciones está arruinando rápidamente mi teléfono inteligente
Banca en línea
Lo creas o no, los estadounidenses han estado utilizando la autenticación multifactor durante años cada vez que realizan operaciones bancarias en línea o, al menos, versiones suavizadas de la misma. En 2001, el Consejo Federal de Examen de Instituciones Financieras (FFIEC) exigió que los servicios bancarios en línea de EE. UU. implementaran una verdadera autenticación multifactor para 2006.
Estamos en 2013 y todavía iniciamos sesión en la banca en línea con contraseñas. ¿Qué pasó?
"Básicamente, los bancos presionaron", dijo Rich Mogull, director ejecutivo y analista de seguridad. “La biometría y los tokens de seguridad pueden funcionar bien de forma aislada, pero es muy difícil ampliarlos incluso a la banca. Los consumidores no quieren lidiar con múltiples cosas como esa. La mayoría de la gente ni siquiera pone contraseñas en los teléfonos”.
Entonces, los bancos retrocedieron. En 2005, la FFIEC emitió directrices actualizadas que permitía a los bancos autenticarse mediante contraseña e "identificación del dispositivo", básicamente, perfilar los sistemas de los usuarios. Si un cliente inicia sesión desde un dispositivo conocido, solo necesita una contraseña; de lo contrario, el cliente necesita superar más obstáculos, generalmente preguntas desafiantes. La idea es que la elaboración de perfiles de dispositivos equivale a verificar algo que los usuarios tener (una computadora, teléfono inteligente o tableta) para acompañar la contraseña que saber.
Los bancos se han vuelto más sofisticados en la identificación de dispositivos y pautas federales aún más recientes exigir a los bancos que utilicen más que una cookie de navegador que se pueda copiar fácilmente. Pero el sistema todavía es débil. Todo sucede a través de un solo canal, por lo que si un mal actor puede acceder a la conexión de un usuario (tal vez mediante robo, piratería o malware), todo se acabó. Además, cualquier persona es tratada como un cliente que utiliza un dispositivo nuevo y como New York Times columnista David Pogue puede dar fe, las preguntas de seguridad respondidas sinceramente a veces ofrecen poca protección.
Sin embargo, la forma limitada de seguridad multifactorial de la banca en línea ha grande ventajas para los consumidores. Para la mayoría de los usuarios la mayor parte del tiempo, la creación de perfiles del dispositivo es invisible y funciona como una contraseña, que casi todos entienden.
Autenticador de Google
Los tokens digitales, las tarjetas de seguridad y otros dispositivos se han utilizado en la autenticación multifactor durante décadas. Sin embargo, al igual que la biometría, hasta ahora nada ha resultado viable para millones de personas comunes y corrientes. Tampoco existen estándares generalizados, por lo que la gente podría necesitar una docena de llaveros, tokens, memorias USB y tarjetas diferentes para acceder a sus servicios favoritos. Nadie va a hacer eso.
Entonces, ¿qué pasa con los teléfonos en nuestros bolsillos? Hace casi un año, los investigadores encontraron Casi el 90 por ciento de los adultos estadounidenses poseían teléfonos móviles. – casi la mitad tenía teléfonos inteligentes. Las cifras deben ser mayores ahora: ¿seguramente se utilizarán para la autenticación multifactor?
Esa es la idea detrás La verificación en dos pasos de Google, que envía un código PIN de un solo uso a un teléfono mediante SMS o voz al iniciar sesión en los servicios de Google. Los usuarios ingresan tanto su contraseña como el código para iniciar sesión. Por supuesto, los teléfonos se pueden perder o ser robados, y si la batería se agota o no hay servicio móvil disponible, los usuarios quedan bloqueados. Pero el servicio funciona incluso con teléfonos básicos y ciertamente es más seguro (aunque menos conveniente) que una sola contraseña.
La verificación en dos pasos de Google se vuelve más interesante con Autenticador de Google, disponible para Android, iOS y BlackBerry. Google Authenticator utiliza contraseñas de un solo uso basadas en tiempo (TOTP), un estándar respaldado por Iniciativa para la autenticación abierta. Básicamente, la aplicación contiene un secreto cifrado y genera un nuevo código de seis dígitos cada 30 segundos. Los usuarios ingresan ese código junto con su contraseña para demostrar que tienen el dispositivo correcto. Siempre que el reloj del teléfono sea correcto, Google Authenticator funciona sin servicio telefónico; Además, sus códigos de 30 segundos funcionan con otro servicios que soportan TOTP: en este momento, eso incluye buzón, Ultimo pase, y Servicios web de Amazon. Asimismo, otras aplicaciones que admiten TOTP pueden funcionar con Google.
Pero hay problemas. Los usuarios envían códigos de verificación en el mismo canal que las contraseñas, por lo que son vulnerables a los mismos escenarios de interceptación que la banca en línea. Dado que las aplicaciones TOTP contienen un secreto, cualquier persona (en cualquier parte del mundo) podría generar códigos legítimos si la aplicación o el secreto se descifran. Y ningún sistema es perfecto: el mes pasado Google solucionó un problema que podría permitir apropiaciones totales de cuentas a través de contraseñas específicas de la aplicación. Divertido.
¿A dónde vamos desde aquí?
El mayor problema con sistemas como la verificación en dos pasos de Google es simplemente que son un dolor de cabeza. ¿Quieres jugar con tu teléfono y códigos? cada vez ¿Inicias sesión en un servicio? ¿Tus padres, abuelos, amigos o hijos? La mayoría de la gente no lo hace. Incluso los tecnófilos que aman el factor cool (y la seguridad) probablemente encuentren el proceso incómodo en sólo unas pocas semanas.
Los números sugieren que el dolor es real. En enero, Google proporcionó cableado Robert MacMillan un gráfico de adopción en dos pasos, incluyendo un pico acompañando el “de Mat Honan”Hackeo épico”artículo del pasado mes de agosto. ¿Observa qué eje no tiene etiquetas? Los representantes de Google se negaron a decir cuántas personas utilizan su autenticación de dos factores, pero el vicepresidente de seguridad de Google, Eric Grosse, le dijo a MacMillan que un cuarto de millón de usuarios se habían inscrito después del artículo de Honan. Según esa métrica, mi estimación aproximada es que alrededor de 20 millones de personas se han registrado hasta la fecha, apenas una mella en más de 500 millones de personas. reclamos tener cuentas de Google+. Esa cifra le pareció correcta a una empleada de Google que no quería ser identificada: estimó que menos del diez por ciento de los usuarios "activos" de Google+ se habían registrado. “Y no todos lo mantienen”, señaló.
“Cuando tienes una audiencia desenfrenada, no puedes asumir ningún tipo de comportamiento más allá de lo básico, especialmente si no le has dado a esa audiencia una razón para hacerlo. desear ese comportamiento”, dijo Christian Hessler, director ejecutivo de la empresa de autenticación móvil LiveAsegurar. "No hay manera de capacitar a mil millones de personas para que hagan algo que no quieren hacer".
LiveEnsure depende de que los usuarios verifiquen fuera de banda utilizando su dispositivo móvil (o incluso por correo electrónico). Ingrese solo un nombre de usuario (o use un servicio de inicio de sesión único como Twitter o Facebook) y LiveEnsure aprovechará el contexto más amplio del usuario para autenticarse: no se requiere contraseña. En este momento, LiveEnsure utiliza "línea de visión": los usuarios escanean un código QR en la pantalla usando su teléfono para confirmar su inicio de sesión, pero pronto habrá otros métodos de verificación. LiveEnsure evita la interceptación mediante el uso de una conexión separada para la verificación, pero tampoco depende de secretos compartidos en navegadores, dispositivos o incluso en su servicio. Si el sistema está descifrado, LiveEnsure dice que las piezas individuales no tienen valor para un atacante.
"Lo que hay en nuestra base de datos podría enviarse por correo en CD como regalo de Navidad y sería inútil", afirmó Hessler. “Ningún secreto pasa por la red, la única transacción es un simple sí o no”.
El enfoque de LiveEnsure es más fácil que ingresar PIN, pero aún requiere que los usuarios jueguen con dispositivos móviles y aplicaciones para iniciar sesión. Otros pretenden hacer el proceso más transparente.
Toofer está aprovechando el conocimiento de la ubicación de los dispositivos móviles a través de GPS o Wi-Fi como una forma de autenticar a los usuarios de forma transparente, al menos desde ubicaciones previamente aprobadas.
"Toopher está aportando más contexto a la decisión de autenticación para hacerla invisible", dijo el fundador y director de tecnología Evan Grimm. "Si un usuario normalmente está en casa haciendo operaciones bancarias en línea, puede automatizarlas para que la decisión sea invisible".
No se requiere automatización: los usuarios pueden confirmar en su dispositivo móvil cada vez, si lo desean. Pero si los usuarios le dicen a Toopher lo que es normal, sólo necesitan tener su teléfono en el bolsillo y la autenticación se realiza de forma transparente. Los usuarios simplemente ingresan una contraseña y todo lo demás es invisible. Si el dispositivo está en una ubicación desconocida, los usuarios deben confirmarlo en su teléfono, y si no hay conectividad, Toopher recurre a un PIN basado en el tiempo utilizando la misma tecnología que Google Autenticador.
"Toopher no intenta cambiar fundamentalmente la experiencia del usuario", dijo Grimm. "El problema con otras soluciones multifactor no fue que no agregaran protección, sino que cambiaron la experiencia del usuario y, por lo tanto, tuvieron impedimentos para su adopción".
Tienes que estar en el juego.
Las contraseñas no desaparecerán, pero aumentarán con ubicaciones, PIN de un solo uso, soluciones de línea de visión y línea de sonido, datos biométricos o incluso información sobre dispositivos Bluetooth y Wi-Fi cercanos. Los teléfonos inteligentes y los dispositivos móviles parecen ser la forma más probable de agregar más contexto para la autenticación.
Por supuesto, debes estar en el juego si quieres jugar. No todo el mundo tiene teléfonos inteligentes, y la nueva tecnología de autenticación puede excluir a los usuarios sin tecnología reciente, dejando al resto del mundo más vulnerable a los hackeos y el robo de identidad. La seguridad digital podría fácilmente convertirse en algo que distinga a los que tienen de los que no tienen.
Y, hasta ahora, no se sabe qué soluciones triunfarán. Toopher y LiveEnsure son sólo dos de muchos actores, y todos enfrentan el problema del huevo y la gallina: sin la adopción tanto de los usuarios como de los servicios, no ayudan a nadie. Toopher consiguió recientemente 2 millones de dólares en financiación inicial; LiveEnsure está hablando con algunos nombres importantes y espera salir pronto del modo sigiloso. Pero es demasiado pronto para decir dónde terminará cada uno.
Mientras tanto, si un servicio en el que confía ofrece alguna forma de autenticación multifactor, ya sea mediante SMS, una aplicación de teléfono inteligente o incluso una llamada telefónica, considérelo seriamente. Es casi seguro que es una mejor protección que una sola contraseña... incluso si también es casi seguro que es un dolor de cabeza.
Imagen vía Shutterstock / Adam Radosavljevic
[Actualizado el 24 de marzo de 2013 para aclarar detalles sobre FFIEC y LiveEnsure y corregir un error de producción.]
Recomendaciones de los editores
- Cómo encontrar archivos descargados en su teléfono inteligente iPhone o Android
- Tu plan Google One acaba de recibir dos grandes actualizaciones de seguridad para mantenerte seguro en línea
- Cómo tu smartphone podría sustituir a una cámara profesional en 2023
- El Pixel 6 de Google es un buen teléfono inteligente, pero ¿será suficiente para convencer a los compradores?
- El líder de Google dice que está "decepcionado" con el nuevo programa de seguridad del iPhone de Apple
