Google, Microsoft y Apple han anunciado que eliminarán las contraseñas, que serán reemplazadas por el sistema FIDO. Explicamos qué es y cómo funciona.
Google, Microsoft y Apple han elegido el Día Mundial de la Contraseña (5 de mayo de 2022) para anunciar su compromiso por poner fin a las contraseñas a partir del próximo año. Las contraseñas serán reemplazadas por el nuevo sistema de seguridad FIDO, basado en la autentificación a través del dispositivo móvil.
Fuente: Google
¿Sabes ese documento donde tienes apuntadas todas tus contraseñas? Pronto te podrás deshacer de él. Quizás eres de los que usa la misma contraseña para todo... una especie de mantra religioso que ocupa un lugar sagrado en tu memoria junto a tu nombre, tu fecha de nacimiento y tu DNI.
Sea cual sea tu caso, pronto podrás liberar ese rincón de tu cerebro y ocuparlo con algo más útil.
Google, Microsoft y Apple acaban de anunciar su compromiso por eliminar las contraseñas como método de autentificación e inicio de sesión. Esta iniciativa pretende que la web sea un lugar más seguro para los usuarios y acabar con fenómenos de suplantación de la identidad online como el phishing.
Según ha explicado Google en un comunicado oficial, las contraseñas son una de las principales amenazas para la seguridad en Internet: "son fáciles de robar, son difíciles de recordar y su gestión es tediosa."
Ya hace bastante tiempo que las compañías tecnológicas están intentando luchar contra el phishing y otras formas de sustracción de la identidad digital basadas en el robo de contraseñas. Los registros online cada vez piden contraseñas más complejas que, al ser difíciles de recordar, acabamos usando en múltiples dispositivos o websites. Si eres de los que usa la misma contraseña para todo, seguramente hayas recibido un aviso de Google que te informa de que tu contraseña está en peligro porque la estás usando en varios sitios y deberías cambiarla.
Según Google, en 2020, las búsquedas de <<cómo de fuerte es mi contraseña>> aumentaron un 300%. Por otro lado, la empresa apunta que "el 66% de los estadounidenses admite utilizar la misma contraseña en varios sitios, lo que hace que todas esas cuentas sean vulnerables si alguna cae."
Google ha intentado poner solución a esta problemática con el 2 Step Verification (2SV) —verificación en dos pasos— que concede al usuario un segundo método de verificación en caso de que su contraseña haya sido suplantada por una tercera persona.
Ahora esta propuesta coge fuerza con Apple y Microsoft sumándose a la apuesta de Google por la autentificación a través del móvil como sustitución definitiva de las contraseñas: el FIDO.
Este proyecto nos lleva un paso más allá en los esfuerzos de las compañías tecnológicas por reforzar la seguridad de datos. El año pasado, Google ya causó un gran revuelo cuando anunció el fin de las cookies de terceros en Google Chrome que, entre otras cosas, implica la obsolescencia de las estrategias de recopilación de datos de muchas empresas.
- ¿Cómo sobrevivir en un mundo sin cookies? Descárgate nuestra guía completa con todo lo que necesitas saber sobre el fin de las cookies de terceros y una hoja de ruta para sobrevivir sin ellas.
Fast Identity Online (FIDO): ¿Qué es y cómo funciona?
El Fast Identity Online (FIDO) es un nuevo sistema de inicio de sesión sin contraseñas creado por la Alianza FIDO y el World Wide Web Consortium (W3C).
Con el acuerdo entre Google, Apple y Microsoft por adoptarlo como estándar, el nuevo método de autentificación funcionará tanto en Android como en iOS, en los sistemas operativos Windows y macOS y en los navegadores Chrome, Safari y Edge.
Para iniciar sesión en cualquier sitio web o app solo tendrás que desbloquear el móvil
El FIDO se basa en las credenciales multidispositivo. Pronto, el inicio de sesión en cualquier dispositivo, app o sitio web se hará a través del teléfono móvil. Es decir, la clave de acceso de desbloqueo del dispositivo móvil —la huella digital o el reconocimiento facial— será compatible con todas las páginas web y dispositivos.
Por tanto, para iniciar sesión en cualquier página web o app solo tendrás que desbloquear tu teléfono móvil, sin contraseñas.
Según el comunicado oficial de Microsoft, escrito por Vasu Jakkal, vicepresidente de seguridad, cumplimiento, identidad y privacidad de Microsoft, "las credenciales FIDO multidispositivo, conocidas comúnmente como passkeys, ofrecen a los usuarios una forma nativa de iniciar sesión de forma segura y rápida en cualquiera de sus dispositivos sin necesidad de contraseñas. Es prácticamente imposible de suplantar y está disponible en todos los dispositivos. Es una clave de acceso que te permite iniciar sesión autentificándote con la cara, la huella digital o el PIN de tu teléfono móvil."
La fortaleza del sistema FIDO es que, debido a que el proceso de autentificación requiere de un dispositivo físico, impide fraudes como el phishing que redirigen a los usuarios a un sitio web para obtener su contraseña.
Además de la seguridad, tanto Google, como Apple y Microsoft coinciden en que el fin de las contraseñas también mejora la experiencia de usuario, evitando que los usuarios tengan que recordar varias contraseñas cada vez más complejas y facilitando el inicio de sesión.
Este nuevo funcionamiento basado en la criptografía pública exige la plena compatibilidad entre dispositivos y plataformas web, situando la integración cloud en el punto de mira y obligando a Google, Microsoft y Apple a hacer sus respectivos sistemas más compatibles. La clave de acceso de desbloqueo del teléfono móvil se sincronizará con los demás dispositivos mediante una copia de seguridad en la nube: "Por ejemplo, los usuarios podrán iniciar sesión en Google Chrome que se ejecuta en Microsoft Windows, utilizando una clave de acceso en un dispositivo Apple" asegura Vasu Jakkal.
¿Qué pasa si perdemos el móvil?
La pregunta del millón. Tanto Google como Apple como Microsoft han decidido apostar por el FIDO porque están convencidos de que es más seguro que las contraseñas. Sin embargo, el nuevo estándar está completamente basado en los smartphones y, por tanto, plantea una duda: ¿qué pasa si perdemos el móvil?
Google ha aclarado que esto no supondrá un problema, ya que la clave de acceso FIDO estará sincronizada con nuestra cuenta de Google. Por tanto, si perdemos el móvil, nuestras credenciales se sincronizarán automáticamente en el nuevo móvil a través de la cuenta de Google.
Perder el móvil no supondrá un problema. Sin embargo, el sistema FIDO sí que supondrá un problema para el 16,28% de la población mundial que no dispone de un teléfono móvil inteligente, según cifras de 2022.
El fin de las contraseñas: ¿Cuándo se pondrá en marcha?
Google, Apple y Microsoft han elegido el 5 de mayo de 2022, Día Mundial de la Contraseña, para hacer público su acuerdo para terminar con las passwords en favor de las passkeys.
Sin embargo, el sistema de 'passkeys' o claves de acceso ya está en marcha. Cuenta con soporte en la segunda beta de la versión 15.5 de iOS y en la versión 22.15. 14 de Google Play (aún en desarrollo).
Todo indica que las claves de acceso FIDO y el fin de las contraseñas formarán parte de todas las plataformas de Google, Apple y Microsoft de forma generalizada en 2023, tras un periodo de transición en el que las contraseñas irán siendo reemplazadas progresivamente.
Por ahora, Google ya ha anunciado que dará soporte a los desarrolladores de páginas web y apps para que activen el nuevo sistema en sus productos y servicios.
Conclusión
Terminamos con una reflexión de Kurt Knight, director senior de marketing de producto en Apple: "Trabajar con la industria para establecer nuevos métodos de inicio de sesión más seguros que ofrezcan una mejor protección y eliminen las vulnerabilidades de las contraseñas es fundamental para nuestro compromiso de crear productos que ofrezcan la máxima seguridad y una experiencia de usuario transparente. Todo ello con el objetivo de mantener a salvo la información personal de los usuarios."