GIF: Alex Cranz (Gizmodo)

Las contrase√Īas no funcionan muy bien para las webs modernas y las aplicaciones. Son inseguras, dif√≠ciles de recordar y un gran dolor de gesti√≥n por la protecci√≥n b√°sica que ofrecen. Ahora Chrome y Firefox est√°n liderando la campa√Īa para eliminar las contrase√Īas de la web para siempre.

Advertisement

Este esfuerzo para convertir los logins en eficientes, seguros y fluidos viene de una norma de autenticación propuesta por la Alianza FIDO (Fast Identity Online en inglés) y el World Wide Web Consortium (W3C), la organización de estándares responsable por la mayoría de normas en internet. La nueva norma tiene soporte de Firefox 60 y Chrome 67, y así funciona.

Las contrase√Īas son malas, pero labiometr√≠a es buena

Imagen: Alex Cranz (Gizmodo)

Advertisement

La idea detr√°s del est√°ndar de Autenticaci√≥n Web (tambi√©n conocido como WebAuthn en ingl√©s) es una en la cual puedes utilizar todo tipo de opciones en lugar de una contrase√Īa, como una huella, una c√°mara web, un USB conectado a tu ordenador, etc. Estos m√©todos de login han existido por muchos a√Īos, pero Autenticaci√≥nWeb est√° dise√Īado para conseguir que se conviertan en el est√°ndar a lo largo dela web y que se integren de forma eficiente a los logins en l√≠nea.

Tal como con las contrase√Īas, el protocolo permite que las web les pongan un reto a los usuarios para que confirmen su identidad. En este caso, sin embargo, todo est√° bajo la seguridad m√°s alta posible. Solo funciona con HTTPS y no se transmite informaci√≥n personal. Por lo tanto, nadie que mira por en encima de tu hombre o que est√° a unas cuantas mesas de tu lado en una cafeter√≠a va a poder robar tus credenciales.

En pr√°ctica, hay varias formas diferentes para que esto funcione. En un caso, est√°s registr√°ndote para una nueva cuenta sin utilizar tu m√≥vil. En vez de introducir otro nombre de usuario o contrase√Īa, la web te pregunta si quieres registrarte con tu dispositivo actual. Accedes, confirmas tu identidad con una huella o un c√≥digo PIN (justo lo que har√≠as si estuvieras comprando algo de una tienda de aplicaciones), y est√°s dentro.

Advertisement

Si est√°s entrando mediante un port√°til, podr√≠as recibir un mensaje que dice que tienes que entrar utilizando tu m√≥vil. Luego puedes utilizar la huella de tu tel√©fono o tu cara para demostrar que eres quien dices que eres. La comunicaci√≥n ser√≠a gestionada mediante NFC o Bluetooth. De forma alternativa, la web podr√≠a comprobar si tienes un USB registrado conectado al ordenador en vez de pedir una contrase√Īa.

Pantallazo: GIzmodo

En realidad, es una extensi√≥n l√≥gica de lo que ya hacen los navegadores: guardar tus contrase√Īas y rellenarlas autom√°ticamente cuando las necesitas. La mayor√≠a de nosotros ya tenemos nuestros credenciales guardados en el navegador, con algo como una contrase√Īa de Windows o macOS para prevenir que otros accedan al navegador y entren en las webs que quieran.

Advertisement

Con WebAuthn, esto se convierte en un proceso a√ļn m√°s simple. Solo se requiere un clic en la mayor√≠a de los casos. Un beneficio a√Īadido es que la pr√≥xima vez que un mont√≥n de contrase√Īas se filtran a la web, no tienes que preocuparte tanto, porque todav√≠a tienes tu huella, los contornos de tu cara o un USB para acceder a las webs que necesitas.

Si utilizas el Smart Lock en Chromebook o tu Apple Watch para desbloquear tu Mac, es casi igual. Cuando aparece la pantalla de login en tu ordenador, si hay un dispositivo verificado cerca, el proceso empieza autom√°ticamente. No hay necesidad de seleccionar una cuenta o introducir una contrase√Īa. WebAuthn quiere hacer que el proceso de acceder una web sea igual de f√°cil.

Advertisement

Todav√≠a hay varias asuntos que se necesitan resolver, como tener un sistema de recuperaci√≥n por si te hackean y a asegurar que es f√°cil cambiar de tel√©fonos. Pero es un paso significativo con respecto a comodidad y seguridad frente a pensar en 100 contrase√Īas y usuarios o tener que abrir la aplicaci√≥n de autenticaci√≥n de dos pasos cada vez que quieres entrar en un sitio nuevo.

Tal como hemos mencionado, la tecnología tiene soporte en Mozilla Firefox y Google Chrome y llegará a Microsoft Edge en el futuro próximo. Hasta ahora Apple no ha comentado sobre ofrecer soporte para WebAuthn en Safari. La empresa es miembro de W3C pero no de FIDO, así que saca tus propias conclusiones.

¬ŅCu√°ndo puedo usarlo?

Pantallazo: Gizmodo

Advertisement

Aunque tenga soporte de empresas grandes, sigue siendo una tecnología experimental. Además, el W3C solo ha recomendado que las webs lo adopten, pero no lo han requerido.

Todavía no hemos visto a una web de consumo popular utilizar esta nueva tecnología, aunque los grandes nombres afirman que lo apoyarán en el futuro.

Sin embargo, puedes obtener algo parecido a WebAuthen ahora para preparar para cuando las cosas cambien. Una opci√≥n es el est√°ndar FIDO Universal de Segundo Factor, lo cual es una especie de precursor a la Autenticaci√≥n Web. Gmail es una web que tiene soporte para U2F, as√≠ que en vez de utilizar una aplicaci√≥n de autenticaci√≥n, puedes usar un USB verificado. La tecnolog√≠a tambi√©n funciona con Facebook. Esto no reemplaza tu contrase√Īa, pero s√≠ te proporciona con protecci√≥n de dos pasos.

Advertisement

Mientras esperamos a que llegue WebAuthn, deber√≠as por lo menos guardar tus contrase√Īas de la forma m√°s segura posible. Siempre hemos apoyado la idea de utilizar un gestor de contrase√Īas con buena reputaci√≥n para vigilar tus credenciales. Los mejores hasta sugieren contrase√Īas dif√≠ciles de hackear para nuevas webs. Estos gestores de contrase√Īas ‚ÄĒ como 1Password, Keeper, Dashlane o LastPass ‚ÄĒ funcionan en ordenadores, m√≥viles, aplicaciones o webs.

La mayor√≠a de los navegadores modernos tambi√©n gestionan tus contrase√Īas. Si todav√≠a no te has aprovechado de esta funci√≥n, es buena idea hacerlo mientras que esperas que WebAuthn mate a la contrase√Īa. En Chrome puedes activar esta opci√≥n en Avanzado y Gestionar contrase√Īas en Ajustes, por ejemplo. En Firefox, la opci√≥n est√° en Preferencias bajo Privacidad & Seguridad y luego Formularios y contrase√Īas.

Advertisement

Pantallazo: Google

La gesti√≥n de contrase√Īas de Safari va m√°s all√° del navegador gracias a la ayuda de iCloud Keychain, un sistema multifunci√≥n que guarda los usuarios y contrase√Īas de varios dispositivos (siempre que esos dispositivos hayan sido fabricados por Apple). Puedes activarlo mediate la opci√≥n de iCloud en tu cuenta en los ajustes de iOS. Apple est√° mejorando esta funcionalidad en iOS 12 y macOS 10.14 Mojave y ofrecer√° la opci√≥n de generar contrase√Īas fuertes as√≠ como guardarlas.

Advertisement

Google no se queda atr√°s. Ahora permite que su Smart Lock recuerde las contrase√Īas y credenciales para todos tus dispositivos (siempre que esos dispositivos tengan software de Google). Las contrase√Īas que guarda Google en Chrome y Chrome OS se copian autom√°ticamente cuando registras un dispositivo Android con la misma cuenta de Google, lo cual permite acceso f√°cil a tus aplicaciones. Tambi√©n puedes ver todas tus contrase√Īas en la web.

La experiencia de usuario para la mayor√≠a de estos servicios modernos es similar a lo que traer√° WebAuthn, pero siguen sujetados a contrase√Īas. Estas herramientas simplemente permiten que gestiones las contrase√Īas de forma m√°s f√°cil.

Autenticaci√≥n Web quiere borrar las contrase√Īas, lo cual har√≠a que entrar en una web sea tan f√°cil como desbloquear tu m√≥vil con un dedo. El trabajo en el est√°ndar sigue, as√≠ que tendr√°s que seguir recordando tus contrase√Īas por un tiempo m√°s.