Lamentablemente no.
Al final del día, alguien necesita “poseer” la identidad del usuario y garantizar su autenticidad. ¿En quién puedes confiar?
Los sistemas para el inicio de sesión federado seguro han existido durante mucho tiempo, desde los primeros días de Kerberos. Algunos sitios web (incluido Quora) le permitirán iniciar sesión desde un autenticador federado, como Facebook o Google. Los federadores de comentarios como Disqus tienen incluso una gama más amplia de federadores de inicio de sesión, incluidos Twitter y OpenID. En todos los casos, el sitio web tiene que confiar en un tercero para probar la autenticación del usuario, y está sujeto a la cantidad de información que el autenticador desea compartir con el solicitante.
- ¿Cuáles son las ventajas del monitoreo de seguridad de red?
- ¿Cuál es la mejor manera de saber si mi computadora ha sido secuestrada?
- ¿Cuáles son las señales básicas de que un sistema operativo Mac se ha visto comprometido?
- ¿Qué buen camino para convertirse en analista forense informático y respondedor de incidentes?
- ¿Cuál es una alternativa más segura (pero fácil de usar) a Windows 8?
Los sitios que desean recopilar información sobre los usuarios finales y tienen un mayor control de la experiencia de inicio de sesión y administración de cuentas evitarán el uso de los federadores. Los federadores de inicio de sesión tienen su lugar, pero muchos sitios web quieren más control del usuario de lo que un federador de autenticación puede estar dispuesto a proporcionar.
En cuanto a reemplazar las contraseñas, el inicio de sesión basado en token tiene cierta tracción. Windows 10 permite un inicio de sesión basado en PIN y mantiene las credenciales de inicio de sesión sincronizadas con el sistema de cuentas de Microsoft. Apple tiene un inicio de sesión basado en PIN y un llavero de contraseña, más protegido por el TouchID biométrico en plataformas que admiten dicho hardware.
Muchos sitios están agregando opcionalmente la verificación en dos pasos. Algunos sitios requieren una verificación de mensajes SMS. Algunos, como Apple, usan un sistema de mensajes seguro para iniciar sesión en dos pasos. Otros, como Dropbox y Google, confían en una aplicación que genera tokens (Autenticación de Google). Todos estos sitios aún requieren contraseñas, pero también requieren algo más. La desventaja de este sistema más seguro es la posibilidad de cambiar un número de teléfono o no tener el dispositivo de autenticación al momento de iniciar sesión.
En cualquier caso, no hay nada en el horizonte que reemplace las contraseñas. Los jardines amurallados como TouchID de Apple hacen que las cosas sean más convenientes al almacenar contraseñas en un llavero activado biométricamente o mediante un intercambio de credenciales biométricas nativas, pero no está claro cómo esto podría escalarse en general en cada situación de inicio de sesión.
El nombre de usuario y las contraseñas siguen siendo el mínimo común denominador de acceso más útil. No puedo ver que se vayan pronto.