¿Deshacerse de los passwords? Sí, claro
Un artículo del Wall Street Journal de esta semana cuenta cómo un grupo de las empresas más grandes del mundo (unidas en el Fast Identity Online Alliance, o FIDO) está haciendo esfuerzos para deshacerse de los passwords. Los passwords han estado con nosotros tanto tiempo que ya nadie vivo recuerda otra realidad (tal como con el anillo de Saurón, pero esa es otra historia).
El artículo cita a alguien que dice que los passwords son “las cucarachas de Internet”: resistentes, irritantes, pero vale la pena tomarse el tiempo para matarlos.
La propuesta de FIDO es usar los teléfonos móviles para conectar la llave pública del sitio web o servicio que uno quiere usar con una llave privada en el teléfono. El problema era que igual había que ingresar un password la primera vez que uno ocupa un servicio. La última versión de la tecnología que están desarrollando ocupa una combinación de reconocimiento facial, huella dactilar y PIN (que son passwords también) para entrar a un sitio web la primera vez.
En un paper famoso del año 2012, cuatro de los investigadores más reconocidos del mundo analizaron dos décadas de propuestas para deshacernos de los passwords (sí, hemos tratado harto tiempo):
- passwords gráficos, biometría, autenticación cognitiva, tokens físicos, y un largo etcétera. Para esto, analizaron más de 25 criterios distintos agrupados en tres categorías: usabilidad, seguridad y disponibilidad (es decir, qué tan disponible o barata es la tecnología para todo el mundo).
La conclusión: las tecnologías que son buenas en una cosa son malas en otra, y hasta ahora los passwords de texto son la menos mala de todas las opciones.
Los tokens físicos como una Yubikey son muy buenos en usabilidad y seguridad, pero son caros: pueden costar US$50 y puedes perderlos o echarlos a la lavadora sin querer (caso real). Un password gráfico (similar al odiado CAPTCHA) es seguro y disponible, pero no es muy usable y puede ser espiado fácilmente por alguien mirando la pantalla donde lo ingresas, lo que no ocurre con un password de texto.
La nueva propuesta de FIDO es muy segura y bastante usable, pero los teléfonos se pueden perder, ser robados, o se pueden caer al baño (real). La autenticación normal puede que sea buena, pero que la recuperación de la autenticación pueda ser una muy, muy mala experiencia.
Así que a pesar de que son bienvenidas las nuevas propuestas, y que deseamos de todo corazón que funcionen bien, lo cierto es que los passwords (tal como las cucarachas) se van a quedar con nosotros un buen tiempo más.