Las 5 principales conclusiones de la conferencia Authenticate 2022

Coautores: Rew Islam y Corentin Mors

Acabamos de volver a la conferencia Authenticate 2022, que es “la única conferencia del sector dedicada a conocer el quién, el qué, el por qué y el cómo de la autenticación de usuarios, y que hace hincapié en el enfoque basado en las normas de la Alianza FIDO”. Si suena complicado, es porque lo es. Pero nos hemos empapado de muy buena información sobre las claves de acceso, la autenticación sin contraseña y la autenticación multifactor, y como expertos en autenticación de Dashlane, estamos aquí para ayudarle a entender todo esto. 

Aquí están nuestras cinco principales conclusiones sobre el futuro de la autenticación.

Conclusión n.º 1: La migración de contraseñas a claves de acceso ha dado comienzo de verdad.

Uno de los mayores cambios que ocurren en el campo de la autenticación es la transición de contraseñas a claves de acceso. En pocas palabras, una clave de acceso es un ingreso sin contraseña. Este nuevo estándar utiliza la criptografía de clave pública para autenticar su acceso a sitios web y aplicaciones. En lugar de tener que crear una contraseña para su cuenta, configurará un “autenticador” para generar una clave de acceso; un par de claves criptográficas relacionadas. 

El autenticador puede ser su smartphone, otro dispositivo móvil o de escritorio, o un administrador de contraseñas compatible con las claves de acceso. Lo importante es que sea algo que se mantenga con usted y nada más que con usted.

Aunque ningún método de autenticación es completamente infalible, hay varios factores que hacen que las claves de acceso sean más seguras que las contraseñas:

• Las claves de acceso no se pueden adivinar ni reutilizar.
• Son resistentes al phishing. Dado que las claves de acceso son exclusivas de la aplicación o el sitio web para el que se crean, un agente malintencionado no podrá engañarle para que utilice la clave de acceso en un sitio parecido o fraudulento.
• Son fáciles de usar. No necesita gestionar contraseñas estándar, contraseñas de un solo uso (OTP) o códigos PIN.
• Son interoperables, lo que significa que funcionarán en todas las plataformas y navegadores.

Pocos sitios web admiten actualmente la autenticación basada en claves de acceso, pero se espera que esto cambie a medida que las principales empresas tecnológicas la implementen en sus plataformas. Apple ya ha implementado la compatibilidad con claves de acceso tanto en iOS 16 como en iPadOS 16 y macOS Ventura para aplicaciones y sitios web, y Google también ha anunciado sus planes de implementación de compatibilidad sin contraseña en Android y el sistema operativo Chrome.

Conclusión n.º 2: La migración de contraseñas a claves de acceso puede ser lenta.

No hay necesidad de alarmarse, abandonar todas sus contraseñas y cambiar sus métodos de autenticación ya mismo. Probablemente habrá un largo periodo de transición entre contraseñas y claves de acceso, por lo que el uso de cualquiera de ellas será una opción válida para el futuro inmediato.

Para aquellos que estén interesados en la nueva tecnología y quieran adelantarse a ella, ciertos sitios web, como Paypal, ya han comenzado a admitir contraseñas y claves de acceso en dispositivos Apple. Si ha ingresado a Paypal recientemente en los EE. UU., puede que haya visto una notificación que le sugiere que migre a una clave de acceso, y a los nuevos usuarios se les guiará por el proceso de las claves de acceso primeramente.

Muchas plataformas que aún no admiten las claves de acceso ya están comenzando a hacer algo similar: aplicaciones como Discord, Outlook y WhatsApp, entre otras, utilizan códigos QR para permitir ingresos multiplataforma. Los administradores de contraseñas que admiten las claves de acceso podrían simplificar este flujo aún más en el futuro.

Conclusión n.º 3: La calidad de la experiencia de usuario sin contraseña será fundamental para la adopción temprana.

La experiencia de usuario es siempre crucial, y, sobre todo, esto es verdad si hablamos de la experiencia sin contraseña. Ofrecer una experiencia sin complicaciones podría favorecer o impedir la adopción a medida que la autenticación sin contraseña vaya tomando más fuerza. Aunque los administradores de contraseñas ya simplifican las cosas al completar automáticamente su información de ingresos, queda por ver lo que conllevará la experiencia de usuario sin contraseña en cada plataforma y administrador de contraseñas.

La buena noticia es que los principales protagonistas de esta experiencia de usuario sin contraseña ya están teniendo esto en cuenta. La Alianza FIDO (“Fast Identity Online”), un grupo que ha estado trabajando en los estándares y tecnologías de autenticación desde 2013, compartió recientemente su nuevo sistema de diseño para ayudar al sector a ponerse de acuerdo y a simplificar la experiencia para aumentar la adopción.

Conclusión n.º 4: La experiencia de claves de acceso para equipos de escritorio debería ser más abierta para permitir mejores experiencias de usuario.

Los administradores de contraseñas seguirán siendo una herramienta esencial para mantener sus cuentas seguras en el futuro sin contraseña.

Existen algunas diferencias clave entre la autenticación de dispositivos móviles y de dispositivos de escritorio. Las aplicaciones son el método favorito para acceder a contenido en dispositivos móviles, mientras que se puede acceder a la mayor parte del contenido con un navegador en un equipo de escritorio. Normalmente, la primera vez que una aplicación móvil se autentica, esta utiliza una clave de acceso. Posteriormente, la autenticación se basará en la biometría local del dispositivo, como las huellas dactilares, que es un método con el que la mayoría de los usuarios móviles están familiarizados.

En los navegadores de los equipos de escritorio, el uso de claves de acceso puede ser más confuso. Hay una gran variedad de navegadores disponibles, y cada combinación de navegador y sistema operativo tendrá su propia experiencia de claves de acceso única. Aquí es donde los administradores de contraseñas pueden ayudar a aportar una experiencia de usuario consistente en diferentes navegadores y sistemas operativos.

Por este motivo, algunos expertos en autenticación piensan que los administradores de contraseñas deberían tener más control sobre la experiencia de claves de acceso en equipos de escritorio, y estamos de acuerdo.

Conclusión n.º 5: La autenticación multifactor debe renovarse.

La autenticación multifactor (MFA) y la autenticación de dos factores (2FA) proporcionan una capa adicional de seguridad, pero esta tecnología podría mejorarse. Muchas personas suelen aprobar las notificaciones push cada vez que aparecen y tienden a hacerlo en piloto automático (a menudo se llama fatiga de MFA, que en parte fue responsable de la reciente violación de Uber).

Para combatir esta fatiga, la MFA debe combinarse con un requisito de confirmar la intención, para que los usuarios tengan que detenerse y pensar un segundo antes de continuar. Por ejemplo, durante el proceso de notificación push, Google muestra tres números para elegir (algo así como un CAPTCHA). Es realmente sencillo, pero es un proceso suficiente para hacerle pensar, “espera un segundo, yo no estoy tratando de ingresar en Google ahora mismo…así que, ¿de quién se trata?”.

---

Authenticate 2022 fue una conferencia reveladora y la información que se trató reforzó la idea de que Dashlane puede ayudarle a proteger a largo plazo sus ingresos. Recientemente hemos lanzado la asistencia técnica integrada para claves de acceso, lo que nos convierte en los primeros del sector en ofrecer una solución de claves de acceso en el navegador.

Tanto si utiliza contraseñas como si usa claves de acceso, puede almacenarlas en Dashlane e ingresar automáticamente en otros sitios web. Y nuestra arquitectura de conocimiento cero patentada significa que nadie excepto usted puede acceder a sus claves de ingreso (ni siquiera nosotros).