La clave de la autenticación del futuro: Sea usted mismo
03 September, 2015
category: Biometría, Finanzas, Identificación digital, Seguridad en Internet
Paul Madsen, arquitecto técnico senior, Ping Identity
Ya hace un tiempo estamos conscientes de la larga lista de problemas que resultan del empleo de contraseñas como mecanismo de autenticación, incluyendo pobre usabilidad, costoso mantenimiento y vulnerabilidad ante las violaciones que afectan los servidores. Pese a ello, no ha existido una tecnología de autenticación con particular atractivo como para servir de reemplazo a las contraseñas.
Afortunadamente eso está cambiando. Una serie de recientes desarrollos, tendencias y nuevos estándares están combinándose para posibilitar un nuevo y poderoso modelo para la autenticación de usuario, uno que minimiza el elemento “algo que conoces” de las contraseñas a favor de “algo que tienes” más “algo que eres”.
La primera tendencia aprovecha el dispositivo móvil de un usuario para suplementar o incluso para reemplazar un login de contraseña. Los teléfonos móviles, debido a su poder de procesamiento, conectividad, interfaz de usuario y la afinidad que sus dueños tienen con ellos, resultan un factor de autenticación “lo que posees” sumamente útil. No se requiere que los empleados lleven consigo sus teléfonos para permitir un segundo factor de autenticación, ya que los empleados ya los portan.
Existen diferentes modelos para utilizar un teléfono como factor de autenticación. Uno muy popular es la evolución de los anteriores sistemas basados en SMS. En esta nueva versión el usuario instala una aplicación autenticadora en el dispositivo. Al hacerlo, ese dispositivo queda vinculado de modo efectivo a su cuenta en el servidor de autenticación. En el momento de hacer el login, el servidor de autenticación envía una notificación a la aplicación a través del correspondiente servicio de notificación automática. Entonces en el teléfono el usuario responde a la notificación sea con un simple gesto o copiando un código del teléfono a otra computadora. Si la respuesta tiene éxito, entonces el servidor de autenticación puede confiar en que el dueño del dispositivo válido es quien está tratando de conectarse.
Una segunda tendencia de autenticación aprovecha las capacidades biométricas que están apareciendo en las PC, laptops y dispositivos móviles. Cada vez se distribuyen más dispositivos de computación con hardware biométrico integrado, tales como TouchID del iPhone y el escáner de huellas digitales del Samsung S5. Además de la biometría en el hardware, hay múltiples aplicaciones disponibles para descargar que permiten otros métodos biométricos, como reconocimiento facial o de voz. Incluso hay una aplicación que autentifica al usuario mediante la detección de la manera en que presiona la pantalla cuando sostiene el teléfono contra el oído para una llamada.
Normalmente la biometría en el teléfono presenta una alternativa con respecto a los modos típicos de PIN o patrón para desbloquear el teléfono, o potencialmente una aplicación específica en ese teléfono. Aunque útil, esta biometría no permite autenticación del usuario a un servidor en línea, lo cual es un requisito fundamental si se trata de reducir el empleo de contraseñas para ese mecanismo.
FIDO Alliance está definiendo un conjunto de especificaciones para cubrir ese vacío. FIDO estandariza un modelo en el que el usuario se autentica lógicamente a un dispositivo, de forma potencial, pero no exclusivamente, a través de biometría. Esta autenticación lógica sirve para desbloquear una clave criptográfica que puede entonces utilizarse para autenticar a un servidor de autenticación en línea. Es crítico en el modelo FIDO que los datos biométricos nunca abandonen el dispositivo y no se comprometan aunque haya una violación que afecte al servidor de autenticación.
Otro ejemplo de modelo de autenticación biométrica es el de Nymi, una pulsera que puede medir el ECG del usuario y compararlo con otro registrado anteriormente. Si los patrones coinciden, entonces la pulsera le da indicación a una aplicación en el teléfono acompañante.
Los modelos de autenticación explicados hasta ahora presumen una acción explícita de autenticación por parte del usuario, sea ingresando un PIN, deslizando el dedo sobre la pantalla de un teléfono, o colocando la huella digital en un escáner. Aunque estas alternativas brindan una mejor experiencia de usuario que las contraseñas, hace falta una experiencia de autenticación más perfecta.
La tercera tendencia en la autenticación se sale de esos logins explícitos, hacia un modelo más pasivo, caracterizado como “reconocimiento” por Bob Blakley en el 2011. A ese modelo de autenticación generalmente se le llama “continuo” para distinguirlo de la realidad intermitente de hoy día. La premisa es que los sistemas, aplicaciones y dispositivos con los que interactuamos, controlen constantemente nuestra conducta, acciones y atributos físicos. Entonces han de comparar toda esa información con los patrones esperados, las transacciones, la geometría facial y otros elementos, para verificar la identidad del usuario.
La lista puede incluir acciones tales como cuán fuerte uno desliza el dedo sobre la pantalla del teléfono, cuán rápido teclea palabras sencillas, nuestra manera de andar, hacer que el mouse de nuestra computadora escanee nuestras huellas digitales, y quizás cuán a menudo escribimos algo en Twitter o Facebook.
Inicialmente los modelos continuos de autenticación tenían más posibilidades de emplearse para detectar conductas anómalas, tales como determinar que otra persona no era uno. Como ejemplo concreto, recientemente se otorgó a Apple una patente para usar la cámara y el software de reconocimiento facial de su teléfono para autenticar al usuario. Por supuesto, esta idea no es nueva. Aquí lo que puede considerarse una novedad es que el modelo de Apple no hará que el teléfono tome la foto del usuario una sola vez, sino a una determinada frecuencia. Según la patente:
“En una representación del invento, un dispositivo móvil desbloqueado se configura para capturar imágenes, analizar las imágenes para detectar el rostro de un usuario, y automáticamente bloquear el dispositivo como respuesta a la determinación de que el rostro del usuario no aparece en las imágenes”.
En otras palabras, además de desbloquear el teléfono cuando reconoce al usuario, el sistema bloqueará el teléfono cuando no reconoce al usuario.
Hemos presentado tres tendencias en la autenticación – dispositivos móviles, la biometría que pasa a ser predominante, y la emergencia de la autenticación continua. Aunque son mayormente independientes, su verdadero impacto radica en su combinación.
En el futuro, los logins explícitos serán la excepción en lugar de la regla, la decisión de requerir un login es determinada por algún cálculo de riesgo por el sistema. Cuando ocasionalmente tenemos que hacer login, aprovecharemos las capacidades biométricas de los dispositivos móviles y de otros objetos que nos rodean. Dicho esto, las contraseñas serán también la excepción y no la norma. Y esos mismos dispositivos nos van a monitorear en el transcurso del tiempo, alertando al servidor de autenticación si cambia nuestro estatus y cuándo.
Tomadas en su conjunto, estas tecnologías y modelos hacen posible una experiencia de autenticación mucho menos intrusiva para los usuarios, pero con mejores características de seguridad en comparación con el actual status quo de las contraseñas, una dinámica que en el pasado se consideraba imposible.