Repensando la seguridad: de la contraseña a la biometría

IMAGE: Beyond Identity logo

Dos veteranos directivos de Silicon Valley, Jim Clark y Tom Jermoluk, levantan treinta millones de dólares de financiación y lanzan públicamente una compañía, Beyond Identity, con la idea de eliminar de una vez por todas las contraseñas gracias a tecnologías que se han ido desarrollando en años recientes y que se apoyan en la biometría.

¿Nunca te has planteado por qué razón puedes desbloquear algo tan personal como tu smartphone o tu ordenador con la cara o la huella digital, pero te ves obligado a recordar o almacenar un montón de contraseñas para todas las páginas o servicios que pretendes utilizar? La tecnología que permite ese acceso cómodo a tus dispositivos fue creada originalmente por Apple, que introdujo por primera vez Touch ID en el iPhone 5S junto con el enclave seguro en el interior del procesador que protege los datos biométricos, y lo incorporó posteriormente al resto de su entorno, bien mediante el uso de la huella o de la identificación facial. Posteriormente, Google copió el concepto y lo introdujo en Android.

La idea de Beyond Identity es eliminar la necesidad de cualquier contraseña en el proceso de autenticación. La mayor parte de las intrusiones en sistemas tienen como objetivo la obtención de contraseñas explotables: si las eliminamos, desaparece la razón fundamental para esas intrusiones de datos, además de proporcionar al usuario un acceso más cómodo, sin problemas relacionados con el tener que recordar una contraseña, obtenerla de un gestor o restablecerla en caso de olvido.

Para lograrlo, la compañía propone anclar todo el proceso de seguridad en la comprobación de la identidad del usuario, algo que sus dispositivos ya hacen muy bien. A partir de ahí, mediante una tecnologías ya conocida y probada, los certificados X.509, el acceso biométrico vincula el dispositivo a su usuario, y un certificado expedido por Beyond Identity autentica ese dispositivo y a su usuario al proveedor de servicios al que pretende acceder. Una cadena de certificados o de confianza que incluye al usuario y lo comparte de manera cifrada mediante TLS con el proveedor de servicios ante el que el usuario pretende identificarse.

frameborder=»0″ allow=»accelerometer; autoplay; encrypted-media; gyroscope; picture-in-picture» allowfullscreen>

La idea parece sencilla: asignar la comprobación de la identidad del usuario a dispositivos que ya lo hacen bien y mediante mecanismos suficientemente seguros, y vincular esa identidad mediante una cadena de certificados cifrados de manera segura. El uso comenzará seguramente en entornos corporativos, en los que la compañía pedirá al usuario que instale la app de Beyond Identity en el dispositivo que pretenda utilizar para identificarse (dentro de una lista de dispositivos aprobados para ello que, considerando las tendencias, se hará cada vez más amplia e inclusiva), dispositivo en el que se genera una clave privada que, a partir de ese momento, le permite acceder a las aplicaciones corporativas sin necesidad de contraseña, simplemente autenticándose en el dispositivo designado.

Los usuarios pueden usar el proceso en tantos dispositivos como quieran: el perfil del dispositivo generado en el momento del inicio de sesión del servicio es exclusivo de cada dispositivo. Esto permite diferenciar entre la autenticación, que se lleva a cabo a través de la criptografía, y la autorización como tal, que se produce a partir del perfil del dispositivo. En esa misma plataforma, un usuario podrá autenticar otros dispositivos dotados con identificación biométrica aprobada por la compañía, como el lector de huella de un laptop. Si el usuario cambia de dispositivo, puede dar de alta el nuevo con cualquiera de sus dispositivos anteriores, sin tener que depender por tanto de la ayuda de un helpdesk corporativo.

Según la compañía, la oferta de servicios para particulares comenzará a finales de 2020, incluso con la posibilidad de llegar a acuerdos para incluir la aplicación preinstalada en muchos dispositivos. La idea, decididamente, no tiene mal aspecto: ¿imaginas un mundo sin contraseñas, en el que acceder a servicios como la red de tu compañía, tu banco o tus redes sociales sea tan sencillo como autenticarte en tu smartphone?



Enrique Dans
Enlace: Repensando la seguridad: de la contraseña a la biometría

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies