Después de años de tentadores indicios de que un futuro sin contraseña está a la vuelta de la esquina, probablemente todavía no te sientas más cerca de este estallido digital. Sin embargo, diez años después de trabajar en el tema, FIDO Alliance, una asociación de la industria que trabaja específicamente en la autenticación segura, cree que finalmente ha identificado la pieza faltante del rompecabezas.
El jueves, la organización publicó un libro blanco que describe la visión de FIDO para resolver los problemas de usabilidad que han plagado las funciones sin contraseña y aparentemente han impedido que se adopten ampliamente. Los miembros de FIDO colaboraron para producir el documento y cubren fabricantes de chips como Intel y Qualcomm, desarrolladores de plataformas líderes como Amazon y Meta, instituciones financieras como American Express y Bank of America, y desarrolladores de los principales sistemas operativos: Google, Microsoft y Apple. .
Le document est conceptuel, pas technique, mais après des années d’investissement pour intégrer ce que l’on appelle les normes sans mot de passe FIDO2 et WebAuthn dans Windows, Android, iOS, etc., tout repose désormais sur le succès de cette próxima etapa.
“La clave del éxito de FIDO es estar fácilmente disponible: debemos ser tan ubicuos como las contraseñas”, dice Andrew Shikiar, director ejecutivo de FIDO Alliance. “Las contraseñas son parte del ADN de la propia web y estamos tratando de suplantarlas. No usar una contraseña debería ser más fácil que usar una contraseña.
En la práctica, sin embargo, incluso los esquemas sin contraseña más transparentes no funcionan del todo. Parte del desafío es simplemente la enorme inercia que generan las contraseñas. Las contraseñas son difíciles de usar y administrar, lo que hace que las personas tomen atajos como reutilizarlas en varias cuentas y crean problemas de seguridad en todo momento. Sin embargo, en última instancia, son el diablo, ya sabes. Educar a los consumidores sobre alternativas sin contraseña y hacerlos sentir cómodos con el cambio ha resultado difícil.
Sin embargo, más allá de simplemente aclimatar a las personas, FIDO busca llegar al corazón de lo que todavía hace que los sistemas sin contraseña sean difíciles de navegar. Y el grupo concluyó que todo se reduce al proceso de cambiar o agregar dispositivos. Si el proceso de configurar un nuevo teléfono, por ejemplo, es demasiado complicado y no hay una manera fácil de iniciar sesión en todas sus aplicaciones y cuentas, o si tiene que recurrir a contraseñas para restaurar la propiedad de estas cuentas, entonces la mayoría de los usuarios lo harán. concluir que es demasiado complicado cambiar el statu quo.
El estándar FIDO sin contraseña ya se basa en los escáneres biométricos de un dispositivo (o un PIN maestro que seleccione) para autenticarlo localmente sin que ninguno de sus datos viaje por Internet a un servidor web para su validación. El concepto principal que FIDO dice que eventualmente resolverá el problema del nuevo dispositivo es que los sistemas operativos implementen un administrador de «credenciales FIDO», que es algo similar a un administrador de contraseñas incorporado. En lugar de almacenar literalmente contraseñas, este mecanismo almacenará claves criptográficas funeraria que pueden sincronizarse entre dispositivos y están protegidas por el bloqueo biométrico o de contraseña de su dispositivo.
En la Conferencia Mundial de Desarrolladores de Apple el verano pasado, la compañía anunció su propia versión de lo que FIDO está describiendo, una función de iCloud conocida como «Passkeys in iCloud Keychain», que Apple dice que es su «contribución a un mundo posterior a las contraseñas».