La agonía de las contraseñas de Internet

La agonía de las contraseñas de Internet.
Por Christopher Mims.

La contraseña de mi cuenta de Twitter, que tengo desde 2007 y en la que he publicado más de 51.000 tuits, es «christophermims». Sin embargo, saber eso no lo ayudará a hackearla. Es más, publico mi contraseña para enfatizar un punto: la contraseña finalmente está muriendo, si queremos que así sea.

Antes de explicar por qué estoy tan confiado en la irrelevancia de la contraseña que hasta estoy dispuesto a revelar la mía, hablemos sobre lo que está sucediendo, al menos en una etapa de prueba, en el campus corporativo de Google: la autenticación basada en aparatos.

Google trabaja en un protocolo todavía sin nombre que permite que uno se conecte a sus cuentas en línea desde cualquier aparato al autenticar su identidad con el teléfono inteligente. Esto podría ser un código que le envían, o incluso un «anillo inteligente».

En junio, Google mostró una versión de este plan, en el cual la laptop de un usuario puede ser desbloqueada con la sola presencia de su celular. Podría parecer que reemplazar un aparato de autenticación que guarda en su cabeza (contraseña) con otro que guarda en su bolsillo (como un teléfono) es una tontería, pero considere: la contraseña puede ser obtenida por hackers, mientras usted puede desactivar el teléfono ni bien desaparece.

Si usted tiene un iPhone o uno de los teléfonos más nuevos de Samsung que funcionan con el sistema operativo Android, de Google, bloquear su teléfono de forma remota es simple. Así que incluso si un ladrón roba el aparato que brinda acceso a sus cuentas, usted puede desactivarlo fácilmente. Además, su teléfono ya está bloqueado (o debería estarlo) con un PIN o incluso un sensor de huellas digitales.

Si quiere tener un bosquejo de un futuro sin contraseñas, sólo tiene que desactivar una función de seguridad común en todos los principales servicios en la web. Está disponible en todos los gigantes de Internet, incluida cada cuenta ofrecida por Google, Yahoo, Microsoft, Facebook, Twitter y decenas de otros servicios. Sin embargo, encuestas sugieren que la mitad del público no sabe que esa función existe. Se llama autenticación de dos factores. Y si alguna vez retiró dinero de su cuenta bancaria en un cajero automático, ya lo experimentó.

Las contraseñas son una clase terrible de autenticación de un solo factor, en el cual el único factor que lo identifica es la contraseña misma. Si escuchó que las contraseñas más largas y complicadas son mejores que las cortas, eso es sólo parcialmente cierto. Es así porque, debido a nuestras memorias limitadas, casi todos reusamos contraseñas en múltiples cuentas.

A Google no le gusta dar detalles sobre este tipo de cosas, pero es muy probable que una de las formas más comunes en que se vulneran las cuentas de Gmail sea que los hackers consigan una base de datos de contraseñas de un tercero —como los 145 millones de claves de eBay que fueron vulneradas este año— y las pruebe en las direcciones de correo electrónico con las que están relacionadas.

Sea honesto: ¿usted usa una contraseña única para cada uno de sus correos electrónicos y sitios de banca en línea?

Actualmente, la autenticación de dos factores resuelve el problema de la inseguridad de las bases de datos de contraseñas. El primer factor podría ser algo que sabe —como una contraseña— y el segundo es un objeto que tiene. En el caso de un cajero automático, lo que sabe es su clave personal, y el objeto que tiene es la tarjeta de débito.

La autenticación basada en un aparato para su e-mail o cuentas bancarias en línea funciona de forma algo distinta: lo que sabe es una contraseña, y lo que tiene es un smartphone. En la mayoría de las implementaciones de autenticación de dos factores, cuando intenta conectarse a través del método usual, el sitio web le pide que ingrese un código (habitualmente de seis dígitos) que le acaba de enviar por mensaje de texto. Como nadie más en el mundo tiene su número de teléfono, y el sistema internacional para enviar mensajes de texto es, según expertos, casi imposible de hackear, el resultado es un sistema de ingreso mucho más seguro que una contraseña sola.

Pero hay más: la autenticación a través de un mensaje de texto (o en algunos casos una aplicación en su teléfono inteligente) es mucho mejor que una contraseña sola que, de cierto modo, convierte a la contraseña en obsoleta. Es verdad que incluso la autenticación de dos factores puede ser vulnerada por un puñado de métodos, pero todos esos métodos son iguales de efectivos más allá de la longitud y características de su contraseña. Por eso, ya hay empresas trabajando en servicios de autenticación de dos factores.

Eso no quiere decir que la autenticación de dos factores, y su prima más avanzada, la autenticación basada en un aparato, sea una panacea. La seguridad es una carrera armamentística, y si una buena cantidad de personas adoptan estos nuevos métodos, los hackers encontrarán sus debilidades. Pero mientras tanto, si quiere experimentar un futuro donde ya no tenga que recordar decenas de contraseñas, ni depender de un servicio que lo haga por usted, active la función de dos factores en las cuentas que más le importan.
Fuente: The Wall Street Journal, 18/07/14.