La búsqueda de un sistema de autenticación sin “fricción”
27 January, 2014
category: Seguridad en Internet, Seguridad lógica
Cuando se debate acerca de las diferentes tecnologías de identificación o autenticación, a menudo surge el término “fricción”. Esto no se refiere al acto físico de friccionar un token sobre una laptop o teléfono inteligente, sino a la cuestión de cómo una tecnología de autenticación podría hacer más dificultoso el proceso de lograr acceso a un servicio o un sitio web.
Los nombres de usuario y las contraseñas no son un excelente mecanismo de autenticación, pero funcionan, salvo si la persona no los recuerda. Una fricción añadida es el problema con las contraseñas más largas y complejas.
No existe ningún esquema de autenticación que no tenga alguna fricción. Pero el objetivo de los proveedores de tecnología y las entidades que van a implementar estos nuevos sistemas, es desarrollar un esquema con la mínima fricción posible.
Kenneth Weiss, desarrollador de la tecnología basada en token que se convirtió en SecurID de RSA, funciona mediante una aplicación de teléfono inteligente que le permite a los usuarios hasta tres factores de autenticación en una laptop o PC sin utilizar hardware adicional. “Proteges tu dispositivo con algo que ya tienes”, explica Weiss, quien es ahora fundador y director general de Universal Secure Registry. Después de descargar una aplicación a una computadora o teléfono, la autenticación se efectúa a través de Bluetooth, dice Weiss. El individuo se identifica en el teléfono y la aplicación con un PIN o clave de acceso, que realiza entonces la autenticación a la computadora a modo de seguridad de doble factor. Si el teléfono tiene un lector biométrico, como es el caso del iPhone 5s, entonces sería seguridad de triple factor. El teléfono enviará una clave de acceso a la computadora vía Bluetooth cada 30 segundos, ofreciendo así una autenticación continua, señala Weiss. Si la computadora está fuera de alcance, se bloquea. La aplicación también puede configurarse para autenticación mutua, o sea, que no solo el teléfono autentifica para la computadora, sino también a la inversa.
Aunque la aplicación inicialmente se utilizará para el acceso a computadoras, existen planes de crear una API, de modo que también se pueda habilitar para el acceso a sitios web y redes seguras, añade Weiss. Los usuarios podrían registrarse automáticamente en sitios y redes que acepten la tecnología de autenticación. También se trabaja en una versión empresarial de la aplicación, que permitiría múltiples semillas de cifrado. Un usuario podría emplear diferentes semillas por diferentes razones. Por ejemplo, podría escoger una semilla para emplear el el hogar y otra para el trabajo, apunta Weiss. Universal Secure Registry también se plantea cambiar las semillas periódicamente. Si una semilla se ve comprometida a causa de una violación, como ocurrió con RSA hace algunos años, se sustituye automáticamente. También en el caso de pérdida del teléfono, la aplicación sería destruida por vía remota.
La vida de la batería constituye siempre una preocupación con los teléfonos inteligentes y Weiss explica que el uso de Bluetooth no producirá efectos negativos. La última especificación Bluetooth 4 , que es empleada por los teléfonos iPhone y Android más recientes, tiene un consumo muy bajo de batería y no tendría impacto sobre la vida de la batería en general. Universal Secure Registry está desarrollando aplicaciones tanto para iOS como para Android, y espera hacer un lanzamiento en algún momento del segundo trimestre de 2014, informa Weiss. El sistema también será diseñado para dar soporte a computación multiplataforma, por ejemplo, un dispositivo iOS en una computadora con sistema Windows, y en Android en sistema Apple, etc.