Más contraseñas, más problemas

Es fácil recordar un nombre de usuario y una contraseña. Mantener cinco o diez seguidos es mucho más difícil. La sobrecarga de contraseñas ha afectado durante mucho tiempo a los técnicos, pero como todos pasamos más tiempo haciendo de todo, desde compras hasta operaciones bancarias y juegos en la Web, se ha convertido en un problema más generalizado.





Varias empresas están tratando de combatir el problema. Los enfoques van desde administradores de contraseñas que protegen sus datos de inicio de sesión con una contraseña maestra hasta métodos que eliminan la necesidad de múltiples contraseñas en primer lugar.

A 2007 estudio por Microsoft Research exploró la fuerza, la frecuencia y el uso de contraseñas pertenecientes a 500.000 usuarios de computadoras. El estudio encontró que cada persona tenía un promedio de 6.5 contraseñas que usaba para 25 cuentas en línea diferentes, lo que significa que cada contraseña se reciclaba unas cuatro veces.

Cinco años después, la mayoría de nosotros tenemos muchas más cuentas a las que accedemos a través de computadoras de escritorio, teléfonos inteligentes y tabletas. Pero probablemente no seamos mejores para crear contraseñas seguras (aquellas que no se pueden adivinar o descifrar fácilmente con una computadora) y, como muestran las brechas de seguridad de alto perfil en sitios web como LinkedIn y eHarmony, las contraseñas débiles ponen nuestras identidades en línea en riesgo.



La herramienta más común para organizar un exceso de contraseñas es el administrador de contraseñas, pero pocas personas las usan, dice Cormac Herley , autor del estudio de Microsoft Research de 2007. Una startup llamada Dashlane espera cambiar esto, con una simple administración de contraseñas y una herramienta de llenado de formularios automatizada que, según dice, puede facilitar las compras en línea. Dashlane cifra y almacena las contraseñas en la computadora o el teléfono inteligente de un usuario. Entonces, solo se puede usar la contraseña maestra, que no se almacena en los servidores de Dashlane, para acceder a la información.

La compañía surgió de una prueba beta privada en abril, y Daniela Perdomo, directora de crecimiento de usuarios de Dashlane, dice que actualmente tiene cientos de miles de usuarios que han almacenado colectivamente 1.5 millones de contraseñas con su software de escritorio y teléfono inteligente (la mayoría usa una versión gratuita). del servicio). Afirma que la tecnología de llenado automático de formularios de Dashlane es precisa entre el 90 y el 95 por ciento de las veces.

El punto débil aquí, por supuesto, es olvidar su contraseña maestra. Pero el enfoque también dificulta que otros accedan a sus datos simplemente robando su dispositivo. Y configurar un administrador de contraseñas podría inspirarlo a hacer que sus contraseñas individuales sean más seguras, sabiendo que ahora solo necesitará recordar esa contraseña maestra para acceder a todas sus cuentas en su computadora. Perdomo reconoce que la mayoría de la gente no está preparada para ser proactiva con contraseñas idénticas o débiles. A la persona promedio no le importa hasta que son pirateados, dice, haciéndose eco de la opinión de varios expertos en seguridad.



Otro inconveniente clave de los administradores de contraseñas es que a menudo deben instalarse y sincronizarse en cada dispositivo que usa para acceder a sus cuentas. Esto puede ser conveniente si está en la computadora de su casa o del trabajo, pero menos si está en la casa de un amigo.

Sin embargo, es probable que tengas tu teléfono inteligente contigo. También entra en juego como una forma de equilibrar la seguridad y la comodidad del inicio de sesión. Esa es la idea detrás PhoneID , que los ingenieros de software Mike Thomas y Vahur Roosimaa crearon a principios de septiembre en un hackathon, un evento de codificación maratónico en el que los programadores presentan nuevas ideas, organizado por el blog de tecnología TechCrunch. Actualmente, un prototipo, PhoneID le permite iniciar sesión en sitios web con su computadora de escritorio utilizando su teléfono inteligente para escanear un código QR en pantalla, dice Thomas. De esta manera, nunca tendrá que escribir un nombre de usuario y una contraseña.

La primera vez que visita un sitio web participante en su computadora de escritorio, aparece un código QR en la pantalla. Escanearlo con su teléfono le pedirá a su computadora que le pida su número de teléfono, y PhoneID le enviará a su teléfono celular un SMS en el que se puede hacer clic para iniciar sesión en el sitio y autenticarlo. En visitas posteriores, escanear un código QR en pantalla lo iniciaría de inmediato.



PhoneID requiere un sitio web para agregar varias líneas de código. Y aunque se puede configurar para que funcione con sitios en los que ya tienes una cuenta y una contraseña, actualmente está orientado a configurar una nueva cuenta en un sitio. Thomas dice que el enfoque podría evitar que los sitios web tengan que almacenar y proteger la información de las contraseñas, y evitar que los consumidores recuerden sus credenciales de inicio de sesión. Incluso para alguien con conocimientos técnicos, mantener un registro de todas sus contraseñas es difícil, dice.

El analista de Gartner, Gregg Kreizman, cree que las soluciones como PhoneID se volverán más comunes a medida que las empresas aprovechen las cámaras, los sensores y las capacidades de geolocalización de los teléfonos inteligentes. Estas características podrían ayudar al proporcionar otras formas de autenticar a los usuarios, dice.

Pero, ¿y si pudiéramos reducir las contraseñas por completo? Los ejemplos existentes más populares de este enfoque son Facebook Connect y Sign in with Twitter, dos servicios que le permiten iniciar sesión en sitios web con sus credenciales de Facebook o Twitter. Esto hace que las cosas sean convenientes para los usuarios, al mismo tiempo que otorga a los sitios acceso a parte de su información personal. Sin embargo, no es tan seguro. Otro enfoque vino recientemente de Intel, que, en el Intel Developer Forum, anunció un plan que suena futurista para autenticar a las personas leyendo patrones de venas.



Una startup llamada OneID tiene una idea diferente. Requiere que los sitios web utilicen su método de inicio de sesión, que utiliza criptografía de clave pública (tecnología de seguridad que encripta y desencripta datos usando dos tipos de clave que pertenecen a cada parte, una mantenida en secreto y la otra publicada abiertamente) y conocimiento de los dispositivos que usa para inicie sesión con un solo clic.

El fundador de OneID, Steve Kirsch, quien también fundó el motor de búsqueda Infoseek, dice que cuando un usuario presiona un botón de OneID en un sitio web, el sitio envía su clave pública a la computadora del usuario. Luego, esa clave se reenvía a un servidor OneID, que puede tomar una determinación rápida en función de las especificaciones del sitio web y las preferencias del usuario sobre lo que debe suceder a continuación, si se requiere autenticación adicional o si el usuario simplemente puede ingresar al sitio.

Los usuarios de OneID no necesitan establecer una contraseña. Sin embargo, una aplicación para teléfonos inteligentes que aprueba actividades de mayor riesgo, como realizar compras en línea, requiere un PIN. Si bien alguien aún podría robar su computadora y luego obtener acceso a algunos sitios web de baja seguridad que no requieren autenticación de dos factores, puede deshabilitar el acceso OneID de ese dispositivo de forma remota para detener la violación.

OneID está en proceso de implementar su tecnología, aunque la compañía no pudo nombrar ningún sitio que la esté usando. Kirsch dice que la compañía está buscando sitios, como negocios de comercio electrónico y bancos, que requieren alta seguridad. A medida que lo prueben y la gente vea los resultados, más y más personas lo intentarán, dice Kirsch.

Moxie Marlinspike , un investigador de seguridad informática con sede en San Francisco, dice que los inicios de sesión únicos que se centran en la seguridad son difíciles de vender. La mayoría de esos sitios no ven la conveniencia de no tener que administrar un nombre de usuario y contraseña como un beneficio real, dice, y si eligen habilitar uno, generalmente optarán por las opciones de Facebook o Twitter, ya que eso les dará acceso a parte de la información social de un usuario.

Marlinspike cree que para que los usuarios cambien sus comportamientos, los desarrolladores deberán seguir trabajando para hacer que la seguridad sea lo más invisible posible. Pero, dice, las contraseñas probablemente estarán con nosotros por un tiempo.

esconder