Microsoft ha anunciado recientemente que sus casi 800 millones de usuarios de servicios como Outlook, Office o Skype ahora tienen la opción de iniciar sesión en estas plataformas sin usar una contraseña, según informan especialistas en forense digital del Instituto Internacional de Seguridad Cibernética.
El anuncio es parte de los planes de varias compañías para migrar al uso de Internet sin contraseña a través de la implementación de WebAuthn, la tecnología clave para completar esta transición. De acuerdo con los especialistas en seguridad digital y ciberseguridad, la implementación de esta tecnología implica el uso de datos biométricos (como reconocimiento facial o de huellas digitales) u otros métodos de autenticación en lugar de seguir utilizando el sistema de nombre de usuario y contraseña.
Si bien esta es una medida relevante para la seguridad de los usuarios de Internet, aún es necesario pasar por un largo proceso de implementación, en el cual los usuarios deberán ser persuadidos para adoptar nuevas formas de autenticación para acceder a las distintas plataformas digitales. El uso de la contraseña es relativamente simple para cualquier usuario de Internet, por lo que este método ha prevalecido como el más utilizado. Por otro lado, la autenticación sin contraseña funciona de manera diferente, puede ser complicada de entender e implica la necesidad de aprender nuevos acrónimos o conceptos, como FIDO2, WebAuthn o CTAP, por lo que los especialistas en forense digital tratarán de explicar de manera general cómo funciona la autenticación sin contraseña.
Cuando alguien usa un sitio web, la forma más común de registrarse es elegir un nombre de usuario y una contraseña. Una vez que el usuario comparte estos datos con el sitio web, se pierde cualquier tipo de control sobre lo que hace el sitio con sus palabras clave, los usuarios solo pueden confiar en que el sitio web almacenará y procesará esa información de manera segura. Sobre la base de la cantidad de incidentes de seguridad de datos ocurridos recientemente, podemos deducir que esta expectativa no siempre se cumple.
Según los expertos en forense digital con la autenticación sin contraseña, los usuarios ya no dependerán de que el sitio web almacene su información correctamente. Esto se debe a que se utiliza la criptografía de clave pública, que autentica al usuario mediante dos claves criptográficas: una clave privada que es secreta y una pública.
El usuario guarda su clave secreta y otorga la clave pública al sitio web cuando se registra. Debido a que esta clave será pública, los usuarios no deben preocuparse de que su información confidencial se vea comprometida en caso de una violación de datos. La clave pública solo puede desbloquear cosas que estaban bloqueadas usando la clave privada correspondiente.
Por otro lado, el usuario se autentica utilizando su clave privada para cifrar un «desafío» (un número muy grande seleccionado al azar) enviado al sitio web y luego hará que el sitio lo descifre con la clave pública. Si la secuencia de cifrado / descifrado funciona y el servidor web recupera el desafío del usuario, se completa el proceso de autenticación sin contraseña.
Para que esto funcione correctamente, el usuario necesitará un «autenticador», un administrador de claves y un conjunto de reglas que permitan que su dispositivo, su navegador y los sitios web que visita completen el proceso.
