No hay que lamentar la desaparición de OTP basados en texto
15 August, 2016
category: Biometría, Finanzas, Gobierno, Identificación digital
¿Usaría una computadora que ya tiene cinco años? ¿Y un teléfono inteligente con los mismos años? Probablemente no.
Al igual que avanza la tecnología de computación en el transcurso del tiempo, lo hace la tecnología de autenticación. Estas últimas semanas algunos están preocupados cuando finalmente leyeron la propuesta de actualización a la Publicación Especial 800-63, en que se recomienda desaprobar los códigos de un solo uso por aire.
Los titulares señalaban que NIST iba a prohibir o ilegalizar los OTP, lo que no es el caso … al menos por ahora. La agencia por el momento solo está recomendando que las agencias encuentren otras soluciones, ya que se han producido hackeos frecuentes de este tipo de tecnología de autenticación de doble factor de primera generación.
Jeremy Grant, director general del Grupo Chertoff y asesor de FIDO Alliance, publicó un artículo de blog sobre la discusión y cómo resulta un motivo de celebración. “La tecnología evoluciona constantemente – y la seguridad evoluciona con ella”, señala. “Como la tecnología continúa cambiando, no hay que temer que algunas soluciones se hagan obsoletas, esto más bien es motivo de satisfacción. Sobre todo cuando la razón es que sustituir viejas tecnologías por otras más seguras y fáciles de usar”.
Están surgiendo nuevas herramientas que son más seguras y fáciles de usar para ayudar a los usuarios a contar con mejor seguridad en línea. Mientras que las OTP basadas en texto fueron en su momento la primera generación, actualmente estamos ya en la segunda generación de los códigos de seguridad basados en aplicaciones. “Aunque ofrecen ventajas de seguridad, estas aplicaciones no han respondido a la necesidad 1) de que los consumidores descarguen activamente una aplicación dedicada a una fuerte autenticación, y 2) una experiencia mediocre de usuario en que se pide a los consumidores que dejen de hacer lo que están haciendo, lancen una aplicación y después ingresen un código”, plantea Grant.
La próxima generación hará que la autenticación resulte más fácil. Los dispositivos móviles tienen incorporados sensores biométricos, Entorno de Ejecución de Confianza, Módulo de Plataforma de Confianza, o Enclave Seguro, todos los cuales harán que la autenticación en línea sea más segura y fácil de usar.
Difícilmente NIST es el primero en lanzar señales de alerta a través de OTP basados en texto. Google, FTC y Gartner lanzaron alertas el pasado año. “Las soluciones de autenticación de nueva generación ya están presentes y resuelven las debilidades de SMS y otras tecnologías de ‘secretos compartidos’, proporcionando herramientas que no solamente son más seguras, sino también de más fácil empleo”, afirma Grant.