Aunque parezca una idea descabellada, hacia allá vamos. De hecho, es interesante plantearlo ya que lejos de pensar que su implementación sea insegura, el fin de las contraseñas como las conocemos es plausible dada la evolución de los mecanismos de validación de identidad basados en biometría, comportamiento y «figerprint» de dispositivos.
Hoy en día, ante la necesidad de controlar accesos constantemente entre millones de dispositivos y aplicaciones, las contraseñas terminan siendo rudimentarias e inconvenientes.
Un informe de Duo Security de Cisco, explica que las empresas están tomando medidas para alejarse de las contraseñas y adoptando métodos de autenticación de baja fricción para proteger a la fuerza de trabajo híbrida. Mientras que el número total de autenticaciones Duo MFA (Autenticación adaptable de múltiples factores) aumentó un 39% en el último año, las autenticaciones biométricas crecieron aún más rápido, con un 48%.
La tesis tiene una razón de ser bastante simple. Estamos acostumbrados, desde hace unos 50 años, a usarlas, cuidarlas y cambiarlas. Pero es necesario replantearse el por qué usamos contraseñas ya que en algún momento no existían. La respuesta es simple: se naturalizó su uso. Su origen se da porque se necesitaba poder identificar y distinguir quién usaba un sistema determinado.
Pero, aunque distingue usuarios, nunca ha estado atado a una identidad específica. Tú no eres una contraseña, eres alguien que se la aprende y la usa. Si la compartes la pueden usar y hacerse pasar por ti. Y eso es un problema ya que no identifica unívocamente a la persona.
Una mala práctica
En ese contexto, el uso de la contraseña como único mecanismo de seguridad se convierte en un problema. Vivimos una época de múltiples sistemas y aplicaciones que coexisten y se interrelacionan para el funcionamiento de la economía digital que nos rodea. Por ende, depender de una contraseña termina siendo una mala práctica.
Pero la situación no es así por antojo. Cuando se empezaron a usar no era una mala idea. Se encontró una solución fantástica para una necesidad de hace 50 años atrás. Actualmente el escenario es totalmente distinto, evolucionó con el paso de los años. El costo de gestión de contraseñas es alto en productividad, dinero y tiempo.
Entonces, con la masificación de los sistemas, es fundamental cambiar las contraseñas por algo mejor. ¿Qué es? Según el abc de la seguridad hay tres mecanismos de validación de la identidad: lo que sabes, lo que eres o algo que tienes. Las contraseñas son solo el primero.
Un cambio lento pero seguro
Hoy existen todos los mecanismos tecnológicos para poder implementar un control de acceso seguro y conveniente para desligarnos de la contraseña: activando un segundo factor de validación. Esto puede ser con algo que eres (rasgo biométrico como el rostro, huella digital, iris o palma de la mano) o algo que tienes (el teléfono o un token).
De esta forma, si se vulnera la contraseña, al existir un segundo método de validación no podrán acceder. La idea es generar una balanza entre la seguridad y la facilidad de uso para que las empresas protejan a sus clientes y sigan siendo competitivos.
Ciertamente, está la falsa idea de que la seguridad es binaria. Y no es así, es simplemente relativa ya que se trata de una gestión del riesgo que es imposible de eliminar completamente: se gestiona, mitiga, transfiere pero nunca se elimina. Nada es infalible.
Un mundo distinto
Hay un largo camino por recorrer para lograr que todos los sistemas que usamos puedan admitir una modalidad sin contraseñas. Cambiaron los tiempos. El futuro es que el usuario no tenga que recordar una contraseña porque la forma de validación de su identidad será algo que es y algo que tiene.
El camino es factible y estamos preparados. Y aunque es un tema de decisiones y liderazgos, las prioridades están cambiando paulatinamente. Hoy existe mayor conciencia por parte de las personas, Estados, organizaciones y empresas.
Hoy no puede no haber un segundo factor de autenticación en el control de acceso a los sistemas. Es del orden de la negligencia asumir que ante la pérdida o robo de las credenciales de acceso, las personas o empresas queden totalmente expuestas. El abandono de las contraseñas mejorará significativamente la experiencia de inicio de sesión para la gran mayoría de los usuarios, lo que a su vez redundará en una mayor seguridad.