¿Por qué no existe un método de autenticación segura universal para demostrar mi identidad a los bancos y otros sitios web importantes?

Hay muy poco consenso sobre qué identidad hay en el mundo bancario, y mucho menos un consenso para una metodología de autenticación que sea universal.

El 2FA (Autenticación de dos factores) generalmente parece ser el camino legítimo, sin embargo, teniendo en cuenta el costo de los tokens, no en todas partes (léase: el resto del mundo) puede implementar esto.

El teléfono móvil es el salvador en muchos aspectos de que ha podido proporcionar una metodología 2FA, y gracias a la buena gente de Google para Google Authenticator, esto se está implementando.

Sin embargo, muchos expertos en seguridad creen que incluso 2FA no es suficiente. En muchos países, he visto que la banca por Internet y la gestión de identidad se han complementado con la necesidad de un tercer factor de autenticación.

2FA todavía no está implementado en tantos bancos, lo que plantea un problema inherente. Sin mencionar que la ingeniería social y los ataques de phishing a veces hacen que estas precauciones sean inútiles.

El problema está siendo abordado por muchos y se ha bifurcado en múltiples soluciones. Solo el tiempo dirá cuál prevalecerá, hasta donde puedo decir, la solución 2FA de Google es bastante robusta y fácil de implementar, pero el temor de estar en muchos bancos, especialmente con los reguladores, es la dependencia de una tercera compañía, con sede en Estados Unidos, para toda autorización tokenizada.

Porque hasta hace poco, los consumidores no lo habían exigido. De hecho, ha podido autenticarse en PayPal, E-Bay y docenas de otros sitios importantes con los tokens VeriSign / Symantec VIP de factor 2 durante más de diez años.

Mi token VIP de llavero USB de 2005 todavía funciona hoy cuando uso PayPal, que ha sido una excelente decisión (¿apuntar a alguien?) Que me ha salvado del destino sufrido por cientos de millones de estadounidenses y miles de millones en todo el mundo.

Mi teléfono inteligente tiene el mismo token VIP que tardó 5 minutos en configurarse y agrega un paso adicional, y no he sido afectado por más de diez años de violaciones en todo el mundo por esta tecnología súper fácil de usar.

Hay muchas otras soluciones competitivas, pero mi experiencia de usuario ha sido inmejorable y el servicio es perfecto, por lo que nunca he explorado otras soluciones ni veo la necesidad de hacerlo.

Entonces, la verdadera pregunta para mí es ¿por qué les ha tomado tanto tiempo a los consumidores exigir esto?

Aviso de exención de responsabilidad: He trabajado para VeriSign y Symantec durante más de 10 años, pero siempre he sido consumidor de los servicios VIP y no he trabajado en las divisiones de Gestión de Identidad donde opera esta solución.

Desafortunadamente, la respuesta realmente se reduce a porque no tenemos un acuerdo sobre lo que deberíamos usar para que esto suceda.

Existe un software como OpenPGP que permite firmar su documento para demostrar que el documento proviene de quien generó la firma digital utilizando la autenticación adecuada que coincide con esa clave, y he visto algunos intentos que incorporan dicha funcionalidad para la autenticación, sin embargo, la realidad es que no tenemos acuerdos sobre esto.