Malware, phishing, ataques de diccionario o fuerza bruta son algunas de las amenazas que atentan contra las contraseñas, y aunque estas siguen siendo de lo más atacadas por los cibercriminales, continúan siendo a la vez el método de autenticación por excelencia a nivel mundial. Y ante la frecuente pregunta "¿estamos ante el fin de las contraseñas?", surgen nuevas alternativas para reemplazarlas, como vimos en esta infografía interactiva, con el objetivo de seguir garantizando la seguridad de los usuarios de plataformas y servicios online.
Una de estas alternativas, de la que se ha estado hablando mucho, es la identificación biométrica. De esta forma, los métodos para validar tu identidad pasarían a ser identificar la medida de tu oreja, medir tu pulso, tu velocidad de tipeo o de andar, y formas más conocidas como el reconocimiento facial.
Parece que PayPal, la popular plataforma de pagos online, se pronunció a favor de estos nuevos métodos de autenticación que utilizan al cuerpo como principal factor. Jonathan LeBlanc, Global Head of Developer Advocacy de la compañía, ha estado compartiendo una presentación en la que los menciona como el mecanismo que ayudará a proteger la información de las empresas en el futuro.
Bajo el rotundo título "Kill All Passwords", LeBlanc afirma:
Tienes una infraestructura de seguridad sólida, todos los datos de los usuarios están cifrados, ¿están correctamente protegidos? Mientras las contraseñas sigan siendo los métodos estándar para identificar a tus usuarios en la web, las personas seguirán usando "letmein" o "password123" para su login seguro, y se seguirán sorprendiendo cuando sus cuentas se vean comprometidas.
Las contraseñas no son seguras, necesitan ser reemplazadas.
Tras esta afirmación, asegura que se usan algoritmos de seguridad "malos" como MD5, SHA-1, SHA-2 y SHA-3, mientras que "buenos" algoritmos son PBKDF2, BCRYPT y SCRYPT. También aseguró que hay muchos falsos positivos en la autenticación, que deberían erradicarse. Pero lo cierto es que su propuesta va mucho más allá de lo que hoy se conoce, a nivel general, como identificación biométrica.
Según recoge Info Security, LeBlanc aventura que se deberían usar pequeños dispositivos embebibles en el cuerpo e incluso comestibles -con lo cual podríamos decir que es quizás un poco exagerado, o al menos, que en el escenario actual no sería muy factible que se incorporen.
En una entrevista con el Wall Street Journal, dijo que la identificación biométrica "tradicional" como escaneo de iris se ha vuelto "anticuada" y podría ser reemplazada por sistemas insertados en los individuos, para que se produzca una "identificación natural del cuerpo". Los niveles de glucosa o la presión de la sangre funcionarían como elementos para determinar la identidad de un usuario tratando de hacer login, y las baterías de estos dispositivos podrían recargarse con ácidos del estómago. ¿Qué tan descabellado les parece hasta aquí?
Además, habló de wearables similares a tatuajes que incorporarían un chip bajo la piel, una antena inalámbrica integrada y sensores para temperatura. Y no es de extrañar que algunos hayan tratado de bajar a tierra estas propuestas, que a priori parecen alocadas. Info Security reporta que las críticas se centraron en los costos que podrían tener mecanismos como los que menciona LeBlanc, en comparación con la necesidad de seguir profundizando la actividad de concientización y educación de los usuarios.
De todas formas, en su presentación aclara que no se trata de un plan concreto de PayPal de migrar hacia mecanismos como los mencionados, sino de una forma de abrir la discusión para que la comunidad revise la efectivad de los métodos que se usan en la actualidad.
Por otro lado, proponen como un desafío obtener la confianza de los usuarios en sistemas de este tipo, en caso de ser implementados en forma masiva. Después de todo, somos animales de costumbre y quizás sea difícil que todo el mundo acepte dejar ir a las contraseñas, que ya son algo natural para los internautas.
Mientras tanto, dado que todos seguiremos utilizando usuarios y contraseñas para acceder a servicios, es importante crear contraseñas fuertes y seguras.
¿Qué opinan de la propuesta de Jonathan LeBlanc?