La contraseña no está muriendo
El año pasado, hubo artículos de noticias circulando en internet que afirmaban que las grandes empresas de tecnología se estaban uniendo para eliminar contraseñas. Algunas startups incluso declararon que las contraseñas eran obsoletas y anticuadas.
Founder
Introducción
El año pasado, hubo artículos de noticias circulando en internet que afirmaban que grandes empresas de tecnología como Apple, Google y Microsoft se estaban uniendo para eliminar las contraseñas. Algunas startups incluso declararon que las contraseñas eran obsoletas y anticuadas. Después de adentrarme en el ámbito de la gestión de identidades durante meses, comencé a cuestionar la validez y la practicidad de estas afirmaciones.
¿Para qué sirve una contraseña?
A primera vista, la respuesta parece obvia: las contraseñas se utilizan para iniciar sesión y verificar identidades. Sin embargo, tengo una opinión diferente si consideramos el hecho de que las contraseñas no pueden verificar realmente quién eres:
- Cuando un usuario inicia sesión en un sitio web con un correo electrónico y una contraseña, el sitio web no tiene forma de confirmar la persona real detrás de esas credenciales. Podría ser un humano o incluso un gato.
- Cualquiera puede desbloquear un iPhone con el PIN correcto.
En realidad, el propósito de una contraseña es demostrar anónimamente la propiedad de algo: una cuenta de usuario, un dispositivo o el acceso a una puerta.
Los actuales "asesinos de contraseñas"
Las empresas mencionadas anteriormente han propuesto varios "asesinos de contraseñas". Muchos afirman ser alternativas más seguras que eliminan la necesidad de que los usuarios recuerden contraseñas complejas y estáticas durante la autenticación. Sin embargo, la mayoría de estas alternativas no son prácticas para eliminar completamente las contraseñas.
Autenticación FIDO
La autenticación FIDO (Fast Identity Online), como se explica en la documentación oficial, utiliza técnicas de criptografía de clave pública para el registro y el inicio de sesión (vale la pena mencionar que WebAuthn es un componente central de las especificaciones FIDO2). A primera vista, el proceso parece atractivo:
%3btext-align:center%3b%7d%23mermaid-0 .edgeLabel p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .edgeLabel rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .labelBkg%7bbackground-color:rgba(232%2c 232%2c 232%2c 0.5)%3b%7d%23mermaid-0 .cluster rect%7bfill:%23ffffde%3bstroke:%23aaaa33%3bstroke-width:1px%3b%7d%23mermaid-0 .cluster text%7bfill:%23333%3b%7d%23mermaid-0 .cluster span%7bcolor:%23333%3b%7d%23mermaid-0 div.mermaidTooltip%7bposition:absolute%3btext-align:center%3bmax-width:200px%3bpadding:2px%3bfont-family:arial%2csans-serif%3bfont-size:12px%3bbackground:hsl(80%2c 100%25%2c 96.2745098039%25)%3bborder:1px solid %23aaaa33%3bborder-radius:2px%3bpointer-events:none%3bz-index:100%3b%7d%23mermaid-0 .flowchartTitleText%7btext-anchor:middle%3bfont-size:18px%3bfill:%23333%3b%7d%23mermaid-0 rect.text%7bfill:none%3bstroke-width:0%3b%7d%23mermaid-0 .icon-shape%2c%23mermaid-0 .image-shape%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3btext-align:center%3b%7d%23mermaid-0 .icon-shape p%2c%23mermaid-0 .image-shape p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bpadding:2px%3b%7d%23mermaid-0 .icon-shape rect%2c%23mermaid-0 .image-shape rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 :root%7b--mermaid-font-family:arial%2csans-serif%3b%7d%3c/style%3e%3cg%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointEnd'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 0 L 10 5 L 0 10 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='4.5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointStart'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 5 L 10 10 L 10 0 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='11' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleEnd'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='-1' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleStart'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='12' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossEnd'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='-1' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossStart'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cg class='root'%3e%3cg class='clusters'/%3e%3cg class='edgePaths'%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_A_B_0' d='M185.391%2c35L189.557%2c35C193.724%2c35%2c202.057%2c35%2c209.724%2c35C217.391%2c35%2c224.391%2c35%2c227.891%2c35L231.391%2c35'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_B_C_1' d='M459.063%2c35L463.229%2c35C467.396%2c35%2c475.729%2c35%2c483.396%2c35C491.063%2c35%2c498.063%2c35%2c501.563%2c35L505.063%2c35'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_C_D_2' d='M745.172%2c35L749.339%2c35C753.505%2c35%2c761.839%2c35%2c769.505%2c35C777.172%2c35%2c784.172%2c35%2c787.672%2c35L791.172%2c35'/%3e%3c/g%3e%3cg class='edgeLabels'%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3cg class='nodes'%3e%3cg transform='translate(96.6953125%2c 35)' id='flowchart-A-0' class='node default'%3e%3crect height='54' width='177.390625' y='-27' x='-88.6953125' style='' class='basic label-container'/%3e%3cg transform='translate(-58.6953125%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='117.390625'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eInicio de registro%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(347.2265625%2c 35)' id='flowchart-B-1' class='node default'%3e%3crect height='54' width='223.671875' y='-27' x='-111.8359375' style='' class='basic label-container'/%3e%3cg transform='translate(-81.8359375%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='163.671875'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eAprobaci%c3%b3n del usuario%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(627.1171875%2c 35)' id='flowchart-C-3' class='node default'%3e%3crect height='54' width='236.109375' y='-27' x='-118.0546875' style='' class='basic label-container'/%3e%3cg transform='translate(-88.0546875%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='176.109375'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eCreaci%c3%b3n de nueva clave%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(868.3125%2c 35)' id='flowchart-D-5' class='node default'%3e%3crect height='54' width='146.28125' y='-27' x='-73.140625' style='' class='basic label-container'/%3e%3cg transform='translate(-43.140625%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='86.28125'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eCompletado%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
¿Simple, verdad? Desafortunadamente, hay un obstáculo significativo en el camino: la compatibilidad. En comparación con la combinación tradicional de "identificador y contraseña", la autenticación FIDO requiere:
- Que los sitios web o las aplicaciones admitan FIDO.
- Que los navegadores y/o sistemas operativos admitan FIDO.
- Que los dispositivos del usuario tengan un mecanismo de verificación fácil de usar.
El incumplimiento de cualquiera de estos requisitos hace que la autenticación FIDO no esté disponible, obligando a recurrir a otros métodos.
Además, incluso si se cumplen todas las condiciones, ¿qué califica como un "mecanismo de verificación amigable para el usuario" en un dispositivo? Actualmente, puede implicar métodos biométricos como reconocimiento de huellas dactilares o faciales, acompañados de una opción alternativa como un código PIN, o sea, una contraseña. Al final, volvemos al punto de partida.
Técnicamente, no es un "asesino de contraseñas", sino más bien un proceso de autenticación o verificación más seguro y fácil de usar protegido por contraseñas.
Contraseña de un solo uso
Aunque el nombre incluye el término “contraseña”, las contraseñas de un solo uso (OTP) no son contraseñas tradicionales porque son dinámicas. Existen dos tipos populares de OTPs:
- Contraseña de un solo uso basada en el tiempo (TOTP): generada algorítmicamente utilizando el tiempo actual como fuente de singularidad. Comúnmente se utiliza en la autenticación de varios factores (MFA) o 2FA.
- Contraseña de un solo uso SMS/correo electrónico: generada en el servidor con algoritmos aleatorios. En algunos países, ha sido ampliamente adoptada como método de inicio de sesión primario.
Las TOTPs pueden no ser ampliamente reconocidas por su nombre. Por ejemplo, cuando un sitio web te pide que configures MFA y uses una aplicación como Google Authenticator o Duo para escanear un código QR, es probable que estés usando TOTP. También puedes haber notado que el sitio web a menudo muestra un largo "código de recuperación" y te aconseja guardarlo ya que solo se mostrará una vez. Algunos sitios web incluso alientan a los usuarios a imprimirlo en papel. En esencia, este código de recuperación funciona como una contraseña larga.
En cuanto a las OTP de SMS/correo electrónico, pueden ser costosas e inseguras:
- Construir un remitente de SMS o correo electrónico desde cero requiere configuración.
- Los remitentes de correo electrónico necesitan establecer una "reputación" positiva para mejorar la entregabilidad, de lo contrario, el remitente puede ser marcado como spam.
- Cada país tiene sus propios operadores de redes móviles, lo que conduce a tiempos de entrega impredecibles y costos notables para enviar SMS, especialmente para las startups.
Biometría
El término "biometría" se refiere al uso exclusivo de métodos biométricos para la autenticación en línea. De hecho, hay una diferencia fundamental en comparación con otros métodos: la autenticación biométrica cambia la tarea original de "probar la propiedad de algo" a "probar quién eres". Debido a problemas de privacidad, los métodos biométricos se emplean principalmente para la autenticación local.
La contraseña no es perfecta, sin embargo
Como podemos ver, los "asesinos de contraseñas" esencialmente están ocultando contraseñas o usando contraseñas como opciones de reingreso. Aquí hay un resumen de las ventajas de las contraseñas basadas en nuestra discusión:
- Accesibilidad y compatibilidad: Las contraseñas pueden usarse en varios sistemas y son accesibles para un amplio rango de usuarios.
- Rentabilidad y versatilidad: Las autenticaciones basadas en contraseñas son generalmente más rentables que otros métodos y se adaptan a diferentes escenarios.
- Anonimato y privacidad: Las contraseñas permiten el uso anónimo y protegen la privacidad del usuario.
Pero cada moneda tiene dos caras. Si bien las contraseñas tienen sus ventajas, depender únicamente de ellas para la autenticación presenta vulnerabilidades significativas. Pueden ser difíciles de administrar para los usuarios finales, y si los propietarios de sitios web no siguen las prácticas de seguridad adecuadas, las contraseñas se vuelven fáciles de comprometer. Las prácticas de seguridad peligrosas incluyen, pero no se limitan a:
- Permitir contraseñas débiles o filtradas.
- Falta de aplicación de HTTPS para conexiones.
- Uso de algoritmos de hash inseguros.
- Falta de adhesión estricta a estándares probados en batalla como OAuth u OpenID Connect (OIDC).
- Exposición de la base de datos al público.
Conclusión
No pretendo menospreciar ninguno de los métodos de autenticación mencionados anteriormente. Por el contrario, mientras trabajo en la construcción de Logto, he desarrollado un gran respeto por estos métodos de autenticación notables y las personas detrás de ellos.
Sin embargo, lograr una seguridad del 100% es un objetivo inalcanzable. Lo que podemos aspirar es a reducir la posibilidad de ataques. Un enfoque eficaz es combinar la autenticación basada en contraseñas con contraseñas de un solo uso basadas en el dispositivo o entorno actual, lo que añade una capa extra de verificación y ha sido ampliamente adoptado. Al aprovechar las fortalezas de diferentes técnicas de autenticación, podemos crear un enfoque en capas que proporciona una protección más fuerte.
Para concluir, en lugar de centrarse en palabras de moda como "asesino de contraseñas" cuando las contraseñas no están realmente siendo eliminadas, sería más valioso concentrarse en encontrar un equilibrio entre la seguridad y la experiencia del usuario. Esto implica comprender las fortalezas y limitaciones de varios métodos de autenticación y implementarlos de una manera que garantice tanto la seguridad de los datos del usuario como una experiencia de usuario fluida.