¿Podemos esperar una revisión al método de inicio de sesión de nombre de usuario / contraseña convencional pronto?

Lamentablemente no.

Al final del día, alguien necesita “poseer” la identidad del usuario y garantizar su autenticidad. ¿En quién puedes confiar?

Los sistemas para el inicio de sesión federado seguro han existido durante mucho tiempo, desde los primeros días de Kerberos. Algunos sitios web (incluido Quora) le permitirán iniciar sesión desde un autenticador federado, como Facebook o Google. Los federadores de comentarios como Disqus tienen incluso una gama más amplia de federadores de inicio de sesión, incluidos Twitter y OpenID. En todos los casos, el sitio web tiene que confiar en un tercero para probar la autenticación del usuario, y está sujeto a la cantidad de información que el autenticador desea compartir con el solicitante.

Los sitios que desean recopilar información sobre los usuarios finales y tienen un mayor control de la experiencia de inicio de sesión y administración de cuentas evitarán el uso de los federadores. Los federadores de inicio de sesión tienen su lugar, pero muchos sitios web quieren más control del usuario de lo que un federador de autenticación puede estar dispuesto a proporcionar.

En cuanto a reemplazar las contraseñas, el inicio de sesión basado en token tiene cierta tracción. Windows 10 permite un inicio de sesión basado en PIN y mantiene las credenciales de inicio de sesión sincronizadas con el sistema de cuentas de Microsoft. Apple tiene un inicio de sesión basado en PIN y un llavero de contraseña, más protegido por el TouchID biométrico en plataformas que admiten dicho hardware.

Muchos sitios están agregando opcionalmente la verificación en dos pasos. Algunos sitios requieren una verificación de mensajes SMS. Algunos, como Apple, usan un sistema de mensajes seguro para iniciar sesión en dos pasos. Otros, como Dropbox y Google, confían en una aplicación que genera tokens (Autenticación de Google). Todos estos sitios aún requieren contraseñas, pero también requieren algo más. La desventaja de este sistema más seguro es la posibilidad de cambiar un número de teléfono o no tener el dispositivo de autenticación al momento de iniciar sesión.

En cualquier caso, no hay nada en el horizonte que reemplace las contraseñas. Los jardines amurallados como TouchID de Apple hacen que las cosas sean más convenientes al almacenar contraseñas en un llavero activado biométricamente o mediante un intercambio de credenciales biométricas nativas, pero no está claro cómo esto podría escalarse en general en cada situación de inicio de sesión.

El nombre de usuario y las contraseñas siguen siendo el mínimo común denominador de acceso más útil. No puedo ver que se vayan pronto.

Related Content

¿Es Windows Defender capaz de identificar y eliminar diferentes tipos de malware?

¿El desarrollo de la tecnología Brain to Computer pondrá en riesgo la seguridad de GCHQ?

¿Los profesionales de seguridad consideran la clase DoS / DDoS y la ingeniería social como piratería?

¿Qué segunda especialidad complementaría una especialización en Ciberseguridad?

¿Qué tan bueno es el curso de 14 días de lucideus para un novato en seguridad cibernética?

En la medida en que una proporción razonablemente grande de sitios utiliza sistemas de “inicio de sesión social” de Facebook, Twitter y otros, que generalmente son variaciones del estándar OAuth, ya tenemos la “revisión” que mencionan las preguntas. OAuth está diseñado para la usabilidad más que para la seguridad, pero al menos resuelve un problema con la configuración de contraseñas para cada sitio web que visita.

También hay algunos intentos de sistemas de inicio de sesión “sin contraseña” como SQRL, que posiblemente sean más seguros y fáciles de usar. Pero es poco probable que estos tengan mucha tracción mientras existan sistemas de inicio de sesión social. Los conceptos y la “sobrecarga cognitiva” involucrados con ellos también parecen ser demasiado para la mayoría de las personas. La principal ventaja del método de inicio de sesión de nombre de usuario / contraseña convencional es que es al menos fácil de entender (diría que argumento también se aplica en el área de la criptografía de clave pública vs privada).

Entonces, no, no deberíamos esperar una gran revisión en el corto plazo porque la mayoría de las personas acepta las dificultades de los métodos convencionales de inicio de sesión con nombre de usuario / contraseña, y a la mayoría de los sistemas en línea no les importa.

Jonathan Baker-Bates

More Interesting

¿Los virus ransomware atacan los teléfonos Android?

¿Cuál es la diferencia entre olvidar contraseña y restablecer contraseña?

¿Qué lenguaje de programación es necesario para aprobar el OSCP (Offensive Security Certified Professional)?

¿El hosting ubicado en Suiza realmente le da a ProtonMail una ventaja sobre sus competidores (Tutanota, Mailbox) en términos de protección de la privacidad?

¿Debo aprender DevPos o ciberseguridad?

¿Hay alguna diferencia entre la certificación SSL gratuita y la de pago?

¿Es estresante la seguridad cibernética de nivel de entrada?

¿Qué tan confiables son Confide y Signal como cifrado de mensajes?

¿Qué tan bueno es ESET antivirus y cómo se compara con otros programas antivirus?

Sigo recibiendo mensajes con enlaces sospechosos, ¿puedo ser hackeado si no abro el enlace?

¿Son interesantes los trabajos de seguridad cibernética?

A menudo hay sitios en los que necesito crear una cuenta, para los cuales simplemente podría olvidar en algún momento. ¿Qué mejor longitud de contraseña a prueba de futuro debo poner para que no me piratee en ese sitio eventualmente?

¿Por qué no puedo hackear GSM como una red WiFi?

¿Cuáles son algunos de los beneficios de tener un keylogger instalado en su computadora personal?

¿Cómo puede un software antivirus ayudarlo a disfrutar de la seguridad?