Adiós a las contraseñas en la Web
El consorcio que regula el funcionamiento de la Web (W3C) aprueba el estándar Webauthn para identificarse sin usar contraseñas
Combinar un nombre de usuario (o dirección de email) y de una contraseña para identificarse en sitios web como Facebook o Gmail es una técnica de identificación obsoleta: entre otros inconvenientes no es un sistema seguro, no es eficaz y resulta un engorro para los usuarios.
Un usuario promedio tiene decenas de estas combinaciones y, en general, los usuarios fallan al elegir contraseñas que sean medianamente seguras.
«Todos sabemos que las contraseñas ya no son eficaces», dicen desde el W3C. «No solo son débiles y fáciles de robar, también son la causa del 81% de las brechas de seguridad, y además suponen una pérdida de tiempo y de recursos.»
Las contraseñas convencionales han llegado a su fin
El nuevo estándar de identificación para la Web aprobado por el WWW Consortium (W3C) quiere eliminarlas y reemplazar ese sistema de identificación por un estándar denominado Webauthn.
«Ha llegado el momento de que los servicios web y las empresas adopten Webauthn para evolucionar más allá de las contraseñas y ayudar a los usuarios de la Web a mejorar la seguridad», dice Jeff Jaffe, CEO de W3C. «La Recomendación del W3C establece una guía de interoperabilidad para toda la Web, estableciendo expectativas coherentes para los usuarios y los sitios que visitan. El W3C está trabajando para implementar esta mejor práctica en su propio sitio».
Del mismo modo que cada vez más la identificación mediante PIN de cuatro dígitos para desbloquear los móviles ha dado paso a la identificación biométrica —reconocimiento facial o de retina, huellas dactilares…— Webauthn hará innecesario elegir, recordar e introducir combinaciones de nombre de usuario y contraseña.
El usuario es la contraseña
De modo que con Webauthn el usuario podrá elegir cómo identificarse ante un sitio o servicio web: utilizando datos biométricos, llaves físicas de seguridad, o a través del móvil o de relojes inteligentes.
Es decir, que a diferencia de como sucede con las «contraseñas clásicas», con Webauthn la contraseña no se almacena en un sitio remoto para luego compararla con la que teclea el usuario, sino que la «contraseña» se guarda solo en algún dispositivo del usuario e, incluso mejor, con Webauthn el usuario es la contraseña.
Grandes compañías de internet a favor de Webauthn
Entre las grandes compañías que apoya Webauthn están Google, Microsoft, Mozilla o Cisco, y actualmente el estándar de seguridad es compatible con la ibnemnsa mayoría de navegadores web, incluyendo Safari de Apple, Chrome para ordenadores y móviles, de Google, Microsoft Edge, y Firefox.
También son compatibles con Webauthn servicios como Dropbox, que anunció la adopción de esta tecnología a mediados del año pasado para «añadir una capa extra de seguridad.»