El inicio de sesión en dos pasos (autenticación en dos pasos o 2FA), en el que se comprueba un segundo factor además de la contraseña (por ejemplo, un código generado por una app 2FA o la huella dactilar), aumenta la seguridad, pero no hace que el inicio de sesión sea menos complicado.
Existe una solución a estos problemas que simplemente hará que la contraseña en sí sea superflua. Se trata de Fido (Fast Identity Online), que significa identificación rápida en línea. La Alianza Fido, una organización internacional de carácter no comercial, apuesta por estándares abiertos y sin licencia con el objetivo de cambiar la forma de autenticación online para hacerla más segura y rápida.
La última especificación de la alianza, Fido 2, se creó con el objetivo de permitir un acceso seguro y sin contraseña a los servicios en línea. La contraseña podría entonces ser una cosa del pasado. ¿Pero cómo funciona?
Quien quiera iniciar sesión con ayuda de Fido 2 debe registrar primero un dispositivo en el servicio correspondiente. Esto puede hacerse con un móvil, una tableta o un ordenador. Durante el registro, se generan dos cadenas de caracteres criptográficos mediante procedimientos matemáticos, que juntos forman un par: la clave pública y la privada. La clave pública se entrega al servicio, la clave secreta se almacena en el dispositivo, que se convierte así en el llamado autentificador.
En el momento de iniciar sesión, el dispositivo crea una firma digital utilizando la clave secreta. Acto seguido, el servicio comprueba la autenticidad de esta firma utilizando la clave pública.
En principio, funciona como la clásica firma en papel, explica el profesor Markus Dürmuth, del Instituto de Seguridad Informática de la Universidad Leibniz, en la ciudad alemana de Hannover. “Solo yo sé cómo escribo mi firma, y su autenticidad se puede comprobar fácilmente con una prueba caligráfica”, precisa el catedrático.
En comparación con las contraseñas, este método es seguro porque la clave privada solo la tiene el usuario. Las contraseñas, en cambio, son secretos que se introducen a través de los teclados y pueden ser interceptados localmente o en su camino a través de la red.
Dürmuth señala asimismo que las contraseñas también se almacenan de forma encriptada en el servicio correspondiente para poder cotejar la contraseña introducida por el usuario. Durante el cotejo, sin embargo, la contraseña queda brevemente expuesta, lo que supone un riesgo de seguridad.
Fido 2, por el contrario, ofrece aún más seguridad. Dürmuth explica que la firma digital incluye un sello de tiempo, y que incluso si los piratas informáticos fueran capaces de interceptar la firma, no podrían utilizarla posteriormente.
Además, la clave privada, también llamada secreta, está segura en los dispositivos autenticadores: la clave se almacena en los dispositivos en un módulo TPM, o módulo de plataforma confiable, explica Jan Mahn, de la revista especializada alemana “c’t”. “Son procesadores seguros que protegen la información confidencial en su interior”, especifica el experto.
Mahn explica que la clave privada se calcula y queda almacenada en el dispositivo, y que, al iniciar sesión, solo la firma sale del dispositivo, no la propia clave privada. Los TPM con chips criptográficos se encuentran ahora en la gran mayoría de los teléfonos inteligentes, así como en los nuevos ordenadores y portátiles. Microsoft incluso ha convertido el TPM en un requisito previo para instalar Windows 11 en los ordenadores.
Aquellos que aún tengan un ordenador o un móvil más antiguo sin TPM también pueden guardar la clave privada en memorias que se conectan por USB al ordenador o bien por NFC al móvil. Estas memorias con chips criptográficos incorporados también se denominan “tokens” y en Fido 2 tienen varios usos.
Dependiendo del servicio, un token USB también puede servir como segundo factor. Una vez conectada la memoria al dispositivo, solo hay que introducir un PIN o autenticarse mediante la huella dactilar si la memoria dispone de un sensor para ello. Por cierto, la autenticación 2FA también forma parte de los estándares de Fido.
Pero, ¿qué pasa si un usuario pierde el móvil en el que está almacenada la clave privada? “La recomendación oficial de Fido 2 es registrar dos dispositivos”, señala Dürmuth. El segundo dispositivo no tiene que ser necesariamente un móvil o un ordenador. Un token USB almacenado de forma segura también puede utilizarse como copia de seguridad.
Jahn Mahn menciona otra forma de iniciar sesión en caso de emergencia: muchos servicios asignan al usuario un código de seguridad al registrarse; lo mejor es escribirlo en un papel y guardarlo en un lugar seguro.
Una idea relativamente nueva para resolver el problema de la pérdida y para hacer los inicios de sesión más cómodos es guardar adicionalmente la clave privada en la nube, es decir, en servidores de Internet, o sincronizarla en diferentes dispositivos a través de Internet. Así es como Apple, por ejemplo, implementa el estándar Fido 2.
Según Markus Dürmuth, en la ruta a través de la nube se pierde un poco de seguridad, pero esto es justificable en vista de la mayor facilidad de uso de Fido 2. Además, añade, el almacenamiento en la nube también está especialmente protegido.
Son muchas ya las empresas, proveedores de servicios y autoridades que se han adherido a la Alianza Fido. A principios de mayo de 2022, Apple, Google y Microsoft declararon conjuntamente su intención de ampliar su apoyo al estándar Fido 2 a partir de 2023.
El nuevo compromiso incluye la posibilidad de acceder a las credenciales de usuario automáticamente en varios dispositivos -incluidos los nuevos- sin tener que volver a iniciar sesión en cada cuenta. Además se quiere permitir iniciar sesión en una aplicación o sitio web en otro dispositivo cercano utilizando un dispositivo móvil como autentificador, independientemente del sistema operativo o del navegador.
Microsoft ya ha introducido el inicio de sesión sin contraseña, entre otros, para la versión web de Outlook y para su red de juegos Xbox Live. Este se puede activar en la configuración de seguridad avanzada de la cuenta de Microsoft.
Dropbox, Google o Twitter ya utilizan Fido 2 como segundo factor a través de token USB, app o SMS, aunque no llaman a esta funcionalidad Fido 2, sino claves de seguridad o “passkeys”.
La Oficina Federal de Seguridad de la Información (BSI) de Alemania también es miembro de la Alianza Fido. Según un portavoz de la agencia, muchos aspectos de la norma Fido 2 son positivos. Sin embargo, prosigue, solo se gana en seguridad si el dispositivo autenticador está debidamente protegido.
Según la BSI, los niveles de seguridad más altos también requieren pruebas y certificaciones independientes sobre cómo se aplica la norma Fido 2, por ejemplo, en un sitio web. La agencia señala que la seguridad siempre depende de cómo implemente el respectivo proveedor Fido 2 para su servicio.
“En el mejor de los casos, la seguridad informática debe representar un obstáculo para el atacante”, afirma Jahn Mahn, y molestar a los usuarios lo menos posible. “Fido 2 lo consigue, especialmente con las nuevas implementaciones”, asevera el experto, y añade que con la mayoría de los dispositivos Android, iOS y MacOS, así como con Windows, es muy fácil utilizar Fido 2 con el hardware existente.
Mahn aconseja comprobar en la sección “Seguridad” de la configuración de la cuenta del respectivo servicio qué opciones están disponibles y utilizar Fido 2 siempre que sea posible: ya sea como sustituto de la contraseña o como segundo factor.