INFOBAE.- La lista de reglas para generar buenas contraseñas es larga: deben tener el mayor número posible de caracteres y no ser utilizadas varias veces para diferentes servicios. Para muchas personas, esto es obviamente demasiado trabajo.
En 2021, “123456” volvió a encabezar la lista anual de las diez contraseñas más populares del Instituto Hasso Plattner, un centro de excelencia alemán especializado en tecnologías de la información. Por otro lado, incluso las contraseñas fuertes y peculiares pueden ser interceptadas o robadas.
El inicio de sesión en dos pasos (autenticación en dos pasos o 2FA), en el que se comprueba un segundo factor además de la contraseña (por ejemplo, un código generado por una app 2FA o la huella dactilar), aumenta la seguridad, pero no hace que el inicio de sesión sea menos complicado.
Existe una solución a estos problemas que simplemente hará que la contraseña en sí sea superflua. Se trata de Fido (Fast Identity Online), que significa identificación rápida en línea. La Alianza Fido, una organización internacional de carácter no comercial, apuesta por estándares abiertos y sin licencia con el objetivo de cambiar la forma de autenticación online para hacerla más segura y rápida.
La última especificación de la alianza, Fido 2, se creó con el objetivo de permitir un acceso seguro y sin contraseña a los servicios en línea. La contraseña podría entonces ser una cosa del pasado. ¿Pero cómo funciona?
Quien quiera iniciar sesión con ayuda de Fido 2 debe registrar primero un dispositivo en el servicio correspondiente. Esto puede hacerse con un móvil, una tableta o un ordenador. Durante el registro, se generan dos cadenas de caracteres criptográficos mediante procedimientos matemáticos, que juntos forman un par: la clave pública y la privada. La clave pública se entrega al servicio, la clave secreta se almacena en el dispositivo, que se convierte así en el llamado autentificador.
En el momento de iniciar sesión, el dispositivo crea una firma digital utilizando la clave secreta. Acto seguido, el servicio comprueba la autenticidad de esta firma utilizando la clave pública.
En principio, funciona como la clásica firma en papel, explica el profesor Markus Dürmuth, del Instituto de Seguridad Informática de la Universidad Leibniz, en la ciudad alemana de Hannover. “Solo yo sé cómo escribo mi firma, y su autenticidad se puede comprobar fácilmente con una prueba caligráfica”, precisa el catedrático.
En comparación con las contraseñas, este método es seguro porque la clave privada solo la tiene el usuario. Las contraseñas, en cambio, son secretos que se introducen a través de los teclados y pueden ser interceptados localmente o en su camino a través de la red.
Dürmuth señala asimismo que las contraseñas también se almacenan de forma encriptada en el servicio correspondiente para poder cotejar la contraseña introducida por el usuario. Durante el cotejo, sin embargo, la contraseña queda brevemente expuesta, lo que supone un riesgo de seguridad
