El camino al infierno del doble factor
14 October, 2015
El infierno de las contraseñas es malo, pero el remedio popular pudiera ser peor
Por Andre Boysen, director de identidad, SecureKey
Hoy en día vivimos en el infierno de contraseñas. Los medios principales de prensa publican regularmente artículos sobre los problemas de los usuarios, y periódicamente se producen violaciones masivas de datos en los servicios en línea, incluso en marcas grandes y respetadas que están bien financiadas y administradas.
Es clara la evidencia de que tanto usuarios como los servicios en línea están batallando con las contraseñas. Los usuarios se enfrentan a la terrible elección entre optar por la opción arriesgada de no cumplir con lo recomendado y mantener algunas de sus mismas contraseñas, o cumplir lo orientado y sufrir los problemas de la recuperación de contraseña cuando tratan de acceder a los servicios.
Los servicios web luchan de forma similar advirtiendo a los usuarios que creen contraseñas más largas y complejas, una medida que no ha servido de nada para acabar con las violaciones de datos. Los atacantes solo necesitan adivinar correctamente una contraseña en una base de datos con hash de contraseñas para realizar la ingeniería inversa de los contenidos de toda la base de datos. Un buen comienzo para los delincuentes con el fin de efectuar la ingeniería inversa de los contenidos, es probar algo como ”password123” o “letmein” (déjame entrar) si tienen razón algunos estudios recientes sobre las contraseñas de uso más popular.
La autenticación de dos factores se emplea con frecuencia para fortalecer la seguridad de las contraseñas. Normalmente el doble factor se implementa en un dispositivo como token RSA, como aplicación en un teléfono inteligente, o incluso como mensaje SMS. El doble factor puede reducir el área susceptible de ataques, pero con el curso y velocidad actual de estas implementaciones, vamos a pasar de un infierno de contraseñas a un infierno de doble factor ¡y eso va a ser mucho peor!
Los usuarios interactúan con demasiados sitios como para poder configurar el doble factor de forma consistente, y peor aún, no todos los servicios web implementarán el doble factor de la misma manera. Posiblemente será un SMS por acá, una aplicación allá, aquí un token RSA, allí una clave Yubico, y así por el estilo. ¿Realmente quieres tener doble factor para cada servicio web en que ahora utilizas una contraseña, y volver a parear con el sitio cuando pierdes o cambias dispositivos?
La cantidad de contraseñas que los usuarios manejan fluctúa entre 13 y 300. Eso significa un montón de códigos SMS para volver a teclear después de ingresar una identificación de usuario y una contraseña. ¿Y qué pasa si cambias de teléfono? ¿Habría que volver a parear el teléfono móvil con cada sitio web?
Pero el doble factor está aquí para quedarse y formará parte del camino hacia adelante para incrementar la confianza de los negocios en las transacciones en línea, así es que ¿cómo deberá aplicarse?
Imagine por un momento que usted tiene una única tarjeta de crédito para cada comerciante del que compra. ¿Cómo sería eso? Decir que es un total fastidio es poco decir.
Considere estos hechos de interés acerca de las tarjetas de crédito: las tarjetas de crédito son federadas; las tarjetas emitidas por proveedores de confianza son aceptadas en todos los destinos; y las tarjetas de crédito son el mayor ejemplo de autenticación de doble factor en el mundo, ahora que existen aproximadamente 3,400 millones de tarjetas EMV en circulación globalmente. Así es, EMV es de doble factor, es un fuerte token de seguridad en el chip junto con un PIN.
Piense en esto por un momento. Su sitio web de su medio social preferido tiene un conjunto de molestas obligaciones respecto a las contraseñas, en cuando a longitud, complejidad, deber de cambiarla con frecuencia, etc. Pero una tarjeta de pagos EMV solo tiene un PIN de cuatro dígitos. Esto parece una paradoja en la seguridad ¿cómo es que los bancos no pierden dinero? Los bancos están seguros porque el uso de chips EMV tiene escondida su compleja seguridad en el chip, de modo que el usuario no tiene que atiborrarse con los detalles.
Tres cosas mantienen segura la red global de pagos:
La tarjeta ha firmado criptográficamente las transacciones y la tarjeta no puede ser clonada.
La persona que realiza la transacción conocía el PIN para la tarjeta.
La persona para quien se emitió la tarjeta no ha pedido que se le revoque la tarjeta.
Si la gestión de identidad y acceso tomara el mismo camino de las redes de pago, lo cual es la argumentación de este artículo, ocurrirían algunas cosas importantes:
Podríamos ir más allá de las insustanciales contraseñas como mecanismo primario de acceso, y hacer uso de protocolos robustos, como el Protocolo de Canal Seguro de Global Platform, implementado de forma segura en dispositivos de consumo inteligentes, aprovechando así las capacidades de hardware de esos dispositivos cuando esto es posible.
La identidad y acceso federados serían realizados por un conjunto más pequeño de emisores de confianza que dan las afirmaciones en nombre de usuarios que tienen que probar su identidad en línea. Los gobiernos estatales, los bancos y los operadores inalámbricos, entre otros, están bien preparados para brindar estos servicios. Los protocolos centrados en el usuario, como es el Acceso Gestionado por el Usuario, les permiten a los usuarios mayor control y proporcionan transparencia respecto a qué organizaciones tienen acceso a los datos, así como permiten mejores mecanismos de revocación por el usuario.
El doble factor en sí parece ser un gran paso adelante hasta que uno examina bien los detalles y se da cuenta que simplemente transfiere el mismo problema de proliferación que tienen las contraseñas, en este caso a un segundo factor. La autenticación se duplica, y el infierno se duplica más todavía. Hasta que la industria encuentre un modelo mejor para proteger las identidades en un mundo cada vez más conectado, estamos sencillamente condenados a repetir los mismos problemas como ocurre en el filme “Groundhog Day” (conocido en español como “Hechizo del tiempo”). ¿Podemos realmente esperar un desenlace diferente?
En su lugar, usar las capacidades de doble factor en los dispositivos actuales para federar la autenticación a los servicios que los consumidores quieren usar, sin pedirles que tengan que mantener el mismo problema de uno-a-uno, identidad de usuario-a-servicio, que trajo como resultado el actual desastre de las contraseñas. En lugar de ello, usar el modelo de uno-a-muchos, empleando dispositivos y un pequeño conjunto de emisores de identidad de confianza que pueden demostrar la identidad en línea, y así saldremos finalmente del infierno de las contraseñas y estaremos en mejor camino hacia el paraíso de la identidad.