miércoles, 31 de diciembre de 2014

La muerte de las contraseñas: ¿qué viene después?

La muerte de las contraseñas: ¿qué viene después?

Durante mucho tiempo se viene especulando sobre la muerte de las contraseñas como mecanismo de autenticación. ¿Es posible que suceda? ¿Qué las reemplazaría?

Hace diez años, Bill Gates vaticinó la muerte de las contraseñas, declarando que los empleados de Microsoft empezarían a usar tarjetas biométricas para acceder a distintas áreas y servicios en el trabajo. Las contraseñas, dijo Gates, son problemáticas: si son fáciles de recordar, son débiles, y si no, necesitamos tantas diferentes que la gente termina anotándolas en un pedazo de papel, lo que acaba con todo propósito.

Los problemas con las contraseñas como sistema de seguridad son fácilmente visibles. Por esta razón muchas compañías y proveedores de servicio han adoptado distintos sistemas de verificación biométrica, como huellas digitales, escáneres de iris o reconocimiento de voz. Estos métodos, si bien pueden usarse aisladamente, suelen ser parte de un sistema de verificación en dos pasos (el sistema biométrico se vuelve el factor de inherencia -“algo que eres”-, junto con la contraseña, “algo que sabes”). En algunos casos, los desarrolladores de sistemas de seguridad están investigando y desarrollando sistemas con base en un nuevo factor: “algo que haces” (por ejemplo, la manera en la que sujetas tu teléfono cuando miras un video, o la manera en la que introduces texto en el teclado de tu computadora).

Es precisamente esta característica de los sistemas biométricos la que los hace tan atractivos: la inherencia. Un hacker no puede adivinar tu dinámica de tecleo, y es muy difícil que se te pierda la huella digital. Es posible establecer un patrón para la manera en la que inclinas tu teléfono, para la rapidez con la que tecleas, crear un algoritmo con base en este patrón y así tener un mecanismo de autenticación que no puedes olvidar y que nadie puede robar. Se vuelve terriblemente atrayente la posibilidad de usar simplemente un método de autenticación por factor de inherencia para todos los servicios, todas las cuentas: tan fácil como tocar un sensor y ya estás dentro, sin tener que recordar nada.

la muerte de las contraseñas

Fotografía de thilli0207 bajo licencia CC BY NC ND 2.0

¿Puede la identificación biométrica ser la muerte de las contraseñas?

La aparente simplicidad y perfección de las soluciones de identificación biométrica es, sin embargo, apenas teórica. En primer lugar, implementar autenticación biométrica requiere hardware y software especial, distinto al que ya tienes en tus equipos informáticos. Los fabricantes están comenzando a añadir sensores de huella digital en dispositivos como teléfonos inteligentes y tabletas, lo que inevitablemente ayudará a que la huella digital como mecanismo de autenticación se vuelva mucho más utilizada, sin embargo, no será posible adoptarlo como sistema principal hasta que la mayor cantidad de usuarios posea dispositivos similares y existan estándares de interoperabilidad.

Por otra parte, mientras una contraseña sólo puede ser correcta o incorrecta, la identificación biométrica requiere cierto nivel de tolerancia, ya que no es posible mirar a un escáner exactamente de la misma manera dos veces. Esto significa que, de acuerdo al nivel de tolerancia usado, puede presentar muchos falsos negativos, muchos falsos positivos, o un poco de cada uno.

¿Estás dispuesto a entregar tu privacidad a cambio?

El principal riesgo del uso de identificación biométrica viene de la posibilidad de que los datos recopilados sean utilizados con finalidades de vigilancia. Para que la identificación funcione, es necesario que exista una base de datos que contenga toda la información relevante para cada individuo. Esto significa que esta base de datos, muy probablemente, almacene mucho más que sólo las huellas digitales o patrones de la retina de un usuario: datos como dónde y cuándo se encuentra y a qué información tiene acceso.

Más aún, con el uso de sistemas biométricos se vuelve extremadamente fácil enlazar información de diferentes bases de datos sobre un mismo usuario, construyendo así perfiles masivos que pueden ser utilizados, por ejemplo, en sistemas de vigilancia por parte de un gobierno. En este sentido, organizaciones como EFF han señalado que los sistemas biométricos pueden resultar en el incremento de visibilidad del comportamiento individual, resultando en persecución política, chantaje, extorsión, uso de “evidencia circunstancial”, y posibilitando conductas como la manipulación del comportamiento de consumidores o ciudadanos en la toma de decisiones.

la muerte de las contraseñas

Fotografìa por madanelu bajo licencia CC BY NC ND 2.0.

Una sociedad con sistemas biométricos perfectos y extendidos volvería imposible el anonimato. Si tal sociedad se volviera opresiva o abusiva, sus ciudadanos tendrían muy poca oportunidad de reaccionar.

La diferencia fundamental entre el sistema de contraseñas y el sistema biométrico termina siendo la posibilidad de mantener diferentes identidades en línea. Por muy fastidioso que pueda resultar recordar tantos usuarios y contraseñas, tener la opción de mantener el uso de ciertos mecanismos de privacidad y anonimato sigue siendo una ventaja.

Como ya sabemos, en términos de seguridad digital no existe tal cosa como “completamente seguro”. Añadir un paso más a la verificación es como tener dos cerraduras en la puerta de la casa en vez de una. Del mismo modo, confiar únicamente en la identificación biométrica es lo mismo que cambiar una cerradura por otra: puede ser diferente, pero estás confiando en la fortaleza de un solo mecanismo. Para algunas de tus cuentas, es probable que una buena contraseña sea más que suficiente.








No hay comentarios:

Publicar un comentario