GIF: Alex Cranz (Gizmodo)

Las contrase├▒as no funcionan muy bien para las webs modernas y las aplicaciones. Son inseguras, dif├şciles de recordar y un gran dolor de gesti├│n por la protecci├│n b├ísica que ofrecen. Ahora Chrome y Firefox est├ín liderando la campa├▒a para eliminar las contrase├▒as de la web para siempre.

Advertisement

Este esfuerzo para convertir los logins en eficientes, seguros y fluidos viene de una norma de autenticaci├│n propuesta por la Alianza FIDO (Fast Identity Online en ingl├ęs) y el World Wide Web Consortium (W3C), la organizaci├│n de est├índares responsable por la mayor├şa de normas en internet. La nueva norma tiene soporte de Firefox 60 y Chrome 67, y as├ş funciona.

Las contrase├▒as son malas, pero labiometr├şa es buena

Imagen: Alex Cranz (Gizmodo)

Advertisement

La idea detr├ís del est├índar de Autenticaci├│n Web (tambi├ęn conocido como WebAuthn en ingl├ęs) es una en la cual puedes utilizar todo tipo de opciones en lugar de una contrase├▒a, como una huella, una c├ímara web, un USB conectado a tu ordenador, etc. Estos m├ętodos de login han existido por muchos a├▒os, pero Autenticaci├│nWeb est├í dise├▒ado para conseguir que se conviertan en el est├índar a lo largo dela web y que se integren de forma eficiente a los logins en l├şnea.

Tal como con las contrase├▒as, el protocolo permite que las web les pongan un reto a los usuarios para que confirmen su identidad. En este caso, sin embargo, todo est├í bajo la seguridad m├ís alta posible. Solo funciona con HTTPS y no se transmite informaci├│n personal. Por lo tanto, nadie que mira por en encima de tu hombre o que est├í a unas cuantas mesas de tu lado en una cafeter├şa va a poder robar tus credenciales.

En pr├íctica, hay varias formas diferentes para que esto funcione. En un caso, est├ís registr├índote para una nueva cuenta sin utilizar tu m├│vil. En vez de introducir otro nombre de usuario o contrase├▒a, la web te pregunta si quieres registrarte con tu dispositivo actual. Accedes, confirmas tu identidad con una huella o un c├│digo PIN (justo lo que har├şas si estuvieras comprando algo de una tienda de aplicaciones), y est├ís dentro.

Advertisement

Si est├ís entrando mediante un port├ítil, podr├şas recibir un mensaje que dice que tienes que entrar utilizando tu m├│vil. Luego puedes utilizar la huella de tu tel├ęfono o tu cara para demostrar que eres quien dices que eres. La comunicaci├│n ser├şa gestionada mediante NFC o Bluetooth. De forma alternativa, la web podr├şa comprobar si tienes un USB registrado conectado al ordenador en vez de pedir una contrase├▒a.

Pantallazo: GIzmodo

En realidad, es una extensi├│n l├│gica de lo que ya hacen los navegadores: guardar tus contrase├▒as y rellenarlas autom├íticamente cuando las necesitas. La mayor├şa de nosotros ya tenemos nuestros credenciales guardados en el navegador, con algo como una contrase├▒a de Windows o macOS para prevenir que otros accedan al navegador y entren en las webs que quieran.

Advertisement

Con WebAuthn, esto se convierte en un proceso a├║n m├ís simple. Solo se requiere un clic en la mayor├şa de los casos. Un beneficio a├▒adido es que la pr├│xima vez que un mont├│n de contrase├▒as se filtran a la web, no tienes que preocuparte tanto, porque todav├şa tienes tu huella, los contornos de tu cara o un USB para acceder a las webs que necesitas.

Si utilizas el Smart Lock en Chromebook o tu Apple Watch para desbloquear tu Mac, es casi igual. Cuando aparece la pantalla de login en tu ordenador, si hay un dispositivo verificado cerca, el proceso empieza automáticamente. No hay necesidad de seleccionar una cuenta o introducir una contraseña. WebAuthn quiere hacer que el proceso de acceder una web sea igual de fácil.

Advertisement

Todav├şa hay varias asuntos que se necesitan resolver, como tener un sistema de recuperaci├│n por si te hackean y a asegurar que es f├ícil cambiar de tel├ęfonos. Pero es un paso significativo con respecto a comodidad y seguridad frente a pensar en 100 contrase├▒as y usuarios o tener que abrir la aplicaci├│n de autenticaci├│n de dos pasos cada vez que quieres entrar en un sitio nuevo.

Tal como hemos mencionado, la tecnolog├şa tiene soporte en Mozilla Firefox y Google Chrome y llegar├í a Microsoft Edge en el futuro pr├│ximo. Hasta ahora Apple no ha comentado sobre ofrecer soporte para WebAuthn en Safari. La empresa es miembro de W3C pero no de FIDO, as├ş que saca tus propias conclusiones.

¿Cuándo puedo usarlo?

Pantallazo: Gizmodo

Advertisement

Aunque tenga soporte de empresas grandes, sigue siendo una tecnolog├şa experimental. Adem├ís, el W3C solo ha recomendado que las webs lo adopten, pero no lo han requerido.

Todav├şa no hemos visto a una web de consumo popular utilizar esta nueva tecnolog├şa, aunque los grandes nombres afirman que lo apoyar├ín en el futuro.

Sin embargo, puedes obtener algo parecido a WebAuthen ahora para preparar para cuando las cosas cambien. Una opci├│n es el est├índar FIDO Universal de Segundo Factor, lo cual es una especie de precursor a la Autenticaci├│n Web. Gmail es una web que tiene soporte para U2F, as├ş que en vez de utilizar una aplicaci├│n de autenticaci├│n, puedes usar un USB verificado. La tecnolog├şa tambi├ęn funciona con Facebook. Esto no reemplaza tu contrase├▒a, pero s├ş te proporciona con protecci├│n de dos pasos.

Advertisement

Mientras esperamos a que llegue WebAuthn, deber├şas por lo menos guardar tus contrase├▒as de la forma m├ís segura posible. Siempre hemos apoyado la idea de utilizar un gestor de contrase├▒as con buena reputaci├│n para vigilar tus credenciales. Los mejores hasta sugieren contrase├▒as dif├şciles de hackear para nuevas webs. Estos gestores de contrase├▒as ÔÇö como 1Password, Keeper, Dashlane o LastPass ÔÇö funcionan en ordenadores, m├│viles, aplicaciones o webs.

La mayor├şa de los navegadores modernos tambi├ęn gestionan tus contrase├▒as. Si todav├şa no te has aprovechado de esta funci├│n, es buena idea hacerlo mientras que esperas que WebAuthn mate a la contrase├▒a. En Chrome puedes activar esta opci├│n en Avanzado y Gestionar contrase├▒as en Ajustes, por ejemplo. En Firefox, la opci├│n est├í en Preferencias bajo Privacidad & Seguridad y luego Formularios y contrase├▒as.

Advertisement

Pantallazo: Google

La gesti├│n de contrase├▒as de Safari va m├ís all├í del navegador gracias a la ayuda de iCloud Keychain, un sistema multifunci├│n que guarda los usuarios y contrase├▒as de varios dispositivos (siempre que esos dispositivos hayan sido fabricados por Apple). Puedes activarlo mediate la opci├│n de iCloud en tu cuenta en los ajustes de iOS. Apple est├í mejorando esta funcionalidad en iOS 12 y macOS 10.14 Mojave y ofrecer├í la opci├│n de generar contrase├▒as fuertes as├ş como guardarlas.

Advertisement

Google no se queda atr├ís. Ahora permite que su Smart Lock recuerde las contrase├▒as y credenciales para todos tus dispositivos (siempre que esos dispositivos tengan software de Google). Las contrase├▒as que guarda Google en Chrome y Chrome OS se copian autom├íticamente cuando registras un dispositivo Android con la misma cuenta de Google, lo cual permite acceso f├ícil a tus aplicaciones. Tambi├ęn puedes ver todas tus contrase├▒as en la web.

La experiencia de usuario para la mayor├şa de estos servicios modernos es similar a lo que traer├í WebAuthn, pero siguen sujetados a contrase├▒as. Estas herramientas simplemente permiten que gestiones las contrase├▒as de forma m├ís f├ícil.

Autenticaci├│n Web quiere borrar las contrase├▒as, lo cual har├şa que entrar en una web sea tan f├ícil como desbloquear tu m├│vil con un dedo. El trabajo en el est├índar sigue, as├ş que tendr├ís que seguir recordando tus contrase├▒as por un tiempo m├ís.