Con la llegada del año nuevo, llegan las predicciones habituales del fin de las contraseñas tal y como las conocemos.
Cada año, hasta ahora, se ha probado que esas predicciones estaban equivocadas y que las contraseñas continúan vivas pese a sufrir un sin número de enfermedades, la mayoría referentes a lo fácil que son de olvidar, robar y usar mal.
La moraleja debería ser prestar oídos sordos a este tipo de vaticinio. Sin embargo, los comentarios post navideños del jefe de seguridad de Microsoft, Bret Arsenault, sugieren que puede que esta vez sí que no estemos acercando al fin de la era de las contraseñas.
La prueba es el uso de Windows Hello, la tecnología de esa empresa para autenticar a los usuarios de Windows usando el reconocimiento facial.
Presentado en 2015 como parte de Windows 110, Arsenault dijo que Hello era la forma por defecto de los 125.000 empleados de su empresa de conectarse a sus oprdenadores.
No es de extrañar que Microsoft quiera liderar este tipo de tecnología con Hello, pero Arsenault va un paso más allá con un argumento sobre la necesidad de reemplazar las contraseñas, que a los que trabajamos en seguridad informática nos suena:
Durante décadas, la industria se ha centrado en securizar los dispositivos, pero no es suficiente. Nos debemos centrar en securizar a los individuos. Podemos mejorar el uso y la experiencia dejando que tú seas la contraseña.
Pienses lo que pienses sobre Windows Hello o la biométrica en general, sus observaciones parecen acertadas.
Las contraseñas se crearon para un mundo de dispositivos y sistemas, ninguno de los cuales tenía la necesidad de verificar la identidad de las personas en tiempo real basándose en poco más que una serie de caracteres.
Un punto de vista es que la autenticación de factor múltiple puede realizar esto sin necesidad de abolir completamente las contraseñas, pero el argumento en contra es que dejar que continúen las contraseñas es innecesario, complicado y poco seguro.
Mejor romper completamente con el pasado. Como Microsoft dice con Hello “tú eres la contraseña”.
Una advertencia es que mientras que los sistemas de reconocimiento facial sustituyan las contraseñas, no supone que los datos confidenciales empleados para reconocer nuestra cara desaparezcan, por lo que deben ser almacenados de una manera segura. Microsoft ha dejado claro que deben estar dentro de un chip Trusted Platform Module (TPM).
Como el susto del pasado noviembre con Infineon TPMs nos recordó, estos no son invulnerables. Cambiar una contraseña comprometida es complicado, pero hacer lo mismo con una cara robada, huella dactilar o voz parece imposible.
Irónicamente Hello tampoco está a salvo de preocupaciones, ya que un reciente estudio demostraba que se podía engañar utilizando una foto de infrarrojos retocada del usuario, aunque este ataque es difícil de implementar en el mundo real y se puede solucionar con cámaras avanzadas de infrarrojos.
Microsoft afirma que aproximadamente un 70% de los usuarios de Windows 10 con dispositivos biométricos usan Windows Hello. La pregunta puede ser por qué el 30% de los usuarios que invirtieron en una cámara no están usando Hello.
Puede que la tecnología biométrica acabe con las contraseñas, pero ¿alguien las echará en falta si realmente desaparecen algún día? Parece que por ahora no ocurrirá pero seguro que llegado el momento muchos sentirán nostalgia del mundo más simple en el que fueron concebidas.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario