El correo electrónico, las redes sociales, cuentas bancarias online o la propia intranet de tu universidad requiere una contraseña de acceso como medida de seguridad para garantizar la privacidad de los datos de usuario. Pero a pesar de todo, son muchos los usuarios que aún sienten cierta desconfianza en que los trámites que se realizan estén realmente protegidos ante posibles ataques basados en el robo de contraseñas. A esta preocupación latente hay que añadirle la necesidad de gestionar contraseñas para cada una de las aplicaciones, y que a su vez se extiende también a la cada vez más habitual compra de productos y servicios online.
Paypal, la conocida empresa estadounidense de pago en comercio electrónico y otros servicios web, y el segundo mayor fabricante de dispositivos electrónicos del mundo Lenovo, han creado un consorcio para la puesta en marcha de un conjunto de estándares de tecnología, encaminados a reducir la dependencia de las contraseñas en las transacciones en línea, y hacer que estas sean más seguras.
Michael Barrett, jefe de seguridad de información en PayPal y cofundador de la Alianza FIDO, señala: «Hoy día, los delincuentes pueden recuperar fácilmente las credenciales de los clientes mediante técnicas como la adivinación de contraseñas, el robo de credenciales en sitios web o el phishing«. Pero con los estándares propuestos por la Alianza FIDO, el dispositivo utilizado para iniciar sesión en una cuenta jugaría un papel más importante en la autentificación. Por ejemplo, normalmente cuando alguien inicia sesión en una cuenta de correo electrónico desde su teléfono o tablet, la contraseña es encriptada y transmitida a un servidor remoto para chequearla con una base de datos de contraseñas. Durante ese proceso, la contraseña es susceptible de ser interceptada y descifrada. Además, la base de datos de contraseñas también puede verse comprometida, como sucedió recientemente en la red social Twitter y el pasado año en LinkedIn.
Uno de los objetivos de FIDO es fomentar y mejorar el uso del hardware de seguridad del que ya disponen muchos dispositivos en la actualidad. La mayoría de los ordenadores portátiles y de sobremesa —al igual que algunas tablets— ya contienen el chip TPM, una pieza de seguridad utilizada principalmente para permitir el cifrado del disco y que podría utilizarse para verificar quién está utilizando el dispositivo. Tanto ARM como Intel ya están planteándose una tecnología similar al estándar TPM en teléfonos y tablets para hacer pagos inalámbricos de forma segura.
Con el método FIDO, no se envía ninguna contraseña ni información de identificación a un servidor remoto, sino que esta es procesada por el propio software del dispositivo utilizado, que calcula cadenas criptográficas que se envían a un servidor de inicio de sesión. Dichas cadenas se pueden utilizar para confirmar que la persona ha suministrado las credenciales correctas, pero no para revelar la información de inicio de sesión. De la misma forma, el dispositivo del usuario recibe una cadena de cifrado que le permite verificar que el servidor con el que se comunica es el verdadero y no un impostor. Por tanto, se erradica el incentivo del robo masivo de contraseñas, ya que estas no quedan almacenadas en ningún servidor o base de datos, y en el supuesto caso de querer sustraer una contraseña, se tendría que sustraer también el dispositivo del usuario.
¿Cómo pueden las empresas adoptar el estándar FIDO?
Ofrecer un estándar abierto aplicable a cualquier empresa fomentará la adopción generalizada de este estándar, lo que devaluará el papel de las contraseñas a la hora de asegurar cuentas o perfiles personales en la red.
Las empresas podrían verificar la autenticidad del usuario en el inicio de sesión mediante la comprobación del chip de seguridad TPM, instalado en la gran mayoría de dispositivos. Para ello la empresa debería instalar el software adecuado en sus servidores y persuadir a los clientes para que instalen este software a modo de plug-in en sus dispositivos para acceder a sus cuentas.
Para que el consorcio logre crear un gran impacto, tendrá que tentar a muchas más empresas, aunque la implementación de estos estándares en grandes compañías de internet, como Google y Facebook, podría tener ciertas dificultades ya que, según afirma Michael Versace, director de investigación de la consultora IDC, estas empresas podrían estar trabajando en sus propios sistemas de seguridad. Como por ejemplo, la alternativa a las contraseñas que podría estar desarrollando Google, basada en llaves USB.
Imágenes | vía Flickr (by MAngelP)
