Seguridad

¿Hacia dónde evoluciona la autenticación de usuarios?

transparent_login_form_by_delduv-d4o7mhf
Escrito por Marcos Merino

Los especialistas en seguridad llevan tiempo diseñando alternativas a las tradicionales contraseñas, y cuentan ya con proyectos prometedores.

Cualquier contraseña lo suficientemente larga y compleja (esto es, que intercale de forma aleatoria números, símbolos, mayúsculas y minúsculas) puede resultar invulnerable a los ataques de fuerza bruta de cualquier cracker. La limitación, en esta caso, es humana: la longitud y complejidad de las contraseñas también dificultan enormemente su memorización… y si optamos por llevarla escrita se acabó la seguridad.

Por ello, los especialistas en seguridad llevan tiempo diseñando alternativas a las tradicionales contraseñas alfanuméricas como método de autenticación de usuarios. Y cuentan ya con proyectos prometedores:

PIN mediante emoticonos

The world’s first Emoji passcode from Intelligent Environments on Vimeo.

Los ingenieros de la empresa Intelligents Environments han decidido reinventar las tradicionales contraseñas prescindiendo de letras, números y signos… y optando, en su lugar, por los populares emojis, mucho más amigables y fáciles de recordar.

De momento, el equipo de desarrolladores de Intelligent Environments ha abordado este proyecto como una forma de sustituir a los PIN de los dispositivos móviles. En este caso, la gran variedad de emojis disponible ofrece 3.498.308 combinaciones diferentes, frente a las 7.290 de los tradicionales códigos alfanuméricos de 4 caracteres.

El lado negativo es la complejidad de insertar la combinación: podemos llegar a perder varios minutos haciendo scroll. Sin duda, esto restringirá su uso a opciones muy concretas.

Proyecto Abacus

Con el Proyecto Abacus (dirigido específicamente a smartphones), Google busca la sustitución de las viejas contraseñas por un sistema de autenticación multifactor real basado en la detección de los patrones vinculados al usuario (hábitos de movimiento, velocidad de tecleo, apps más usadas, biometría de la voz, etc), que al combinarse permiten identificar a los usuarios de forma más precisa que los sistemas basados en contraseñas.abacus

La división ATAP (Advanced Technology and Projects) de Google, responsable del desarrollo de Abacus (con la colaboración de Princeton, el MIT, y otras 31 universidades), sostiene que la combinación de todos esos factores puede ser hasta 10 veces más segura que el uso de cualquiera de ellos por separado.

Cuenta con la ventaja de que su implementación únicamente requiere de software específico, puesto que el hardware que necesita para funcionar viene de serie en cualquier smartphone moderno. Eso lo convierte en una de las opciones más prometedoras para convertir en obsoletas a las contraseñas a corto-medio plazo.

¿Aspectos negativos? La gran cantidad de datos que el Proyecto Abacus necesita recopilar sobre nosotros para poder establecer los patrones (y que se suma a toda la que ya dispone Google sobre nosotros) supone un gran problema en lo que respecta a la privacidad del usuario. Sirva de ejemplo el test que sirvió de base para el desarrollo de Abacus, basado en el análisis de hasta 40 Tb de datos procedentes de 3 millones de sesiones realizadas por 1500 usuarios.

Proyecto Vault

Como Abacus, el proyecto Vault es una iniciativa del grupo ATAP Google que busca, igualmente, prescindir de las contraseñas. En este caso, lo hace a través de un dispositivo dotado con la forma de una tarjeta microSD, que todos los PCs y dispositivos móviles -con independencia del sistema operativo que usen- detectan como un dispositivo de almacenamiento extraíble.

Sin embargo, Vault es mucho más que eso: hablamos de un ordenador autónomo (dotado de 4 Gb de almacenamiento seguro, un procesador ARM y un módulo NFC) que realiza una función de encriptado de datos, mientras el software externo verifica la coincidencia entre dos archivos de lectura y escritura contenidos en el dispositivo.

Con Vault se busca conseguir autorizaciones de acceso inmediatas, con sólo insertar el dispositivo en el ordenador elegido (sin necesidad de drivers específicos, evitando así alargar el proceso o encontrarnos con problemas de compatibilidad).

vault

 

 

Imagen destacada | Delduv

Sobre el autor de este artículo

Marcos Merino

Marcos Merino es redactor freelance y consultor de marketing 2.0. Autodidacta, con experiencia en medios (prensa escrita y radio), y responsable de comunicación online en organizaciones sin ánimo de lucro.