Google se une a FIDO: adiós a la autenticación por contraseña

Publicado el 25 abril 2013 por Cosmoduende @cosmoduende

Algo hemos aprendido en estas casi dos décadas en internet y es que las contraseñas son muy malos guardianes de nuestra seguridad, pero ¿de qué otra manera podemos proteger nuestra información en el mundo digital? Ahora que Google se unió a la alianza FIDO parece que ya tenemos el estándar que reemplazará al viejo acceso de usuario y contraseña.

Aceptémoslo, las contraseñas son muy vulnerables a los ataques, es común ver cuentas de todo tipo en internet “hackeadas”, mails de servicios que piden cambiar la contraseña por que sus bases de datos fueron vulneradas. Anteayer tuvimos un caso, muy especial, no es raro que se hackéen las cuentas de Twitter pero esta vez la víctima fue Associated Press @AP, por medio del phishing fue vulnerada su cuenta y los infiltrados, publicaron un tuit que decía, “dos explosiones en la casa blanca y Barack Obama está herido”, el escandaloso y falso tuit causó fluctuaciones en los mercados.

Así es, una pequeña publicación, en una red social puede causar cambios económicos mundiales. Un caso como este pide una solución de inmediato y de hecho Twitter está por sacar autenticación en dos pasos justo para evita estas situaciones.

Alguien que ya maneja la autenticación en dos pasos es Google, la ventaja de este sistema, es que además de requerir la contraseña, que potencialmente cualquiera puede tener, se requiere un token o clave dinámica, que solo un portador puede tener al momento, en este caso, en su smartphone. Pero lo ideal sería que todos o la mayoría de los sitios que guardan información personal, pudieran implementar un sistema como estos, donde se requiere hardware adicional o un sistema biométrico adicional a la contraseña, esa es la idea de FIDO.

Existe una alianza llamada FIDO (Fast Identity Online) que busca hacer un estandar de autenticación más seguro, la alianza se forma en 2012 por varias empresas, entre ellas, PayPal, Lenovo y justamente ayer, FIDO anunció (PDF) que Google se les unía y siendo Google el gran gigante del internet le da un gran impulso al nuevo estándar.

FIDO busca ser flexible para dar varias formas de identificarse, la idea es poder usar sistemas biométricos (huellas, iris, voz) y hardware que puede ser una USB, NFC, otro dispositivo que de claves dinámicas o un chip de seguridad en nuevos teléfonos y computadoras.

La idea es muy buena y de hecho existen otros sistemas de autenticación sin contraseña, como el caso de YubiCo, pero FIDO tienen una fuerte posibilidad de convertirse en la nueva forma de ingresar a nuestro mail, redes sociales y cuentas bancarias. Lo mejor de todo es que ya no habrá más contraseñas por aprender o en su defecto el famoso 1234567890.

Alianza FIDO