Anuncio
Las contraseñas son vitales para su seguridad en Internet. Pero con tantos servicios, tanto en línea como fuera de línea, es difícil hacer un seguimiento de sus contraseñas. Los sistemas de inicio de sesión sin contraseña están comenzando a despegar, eliminando el requisito de ingresar una contraseña cada vez que inicia sesión en un servicio.
Pero si no está utilizando una contraseña, ¿cómo protege su cuenta? ¿Qué son los inicios de sesión sin contraseña y son seguros?
¿Qué es un inicio de sesión sin contraseña?
Los inicios de sesión sin contraseña son sistemas de autenticación que utilizan alternativas a una contraseña para permitir el acceso a su cuenta. Por ejemplo, en lugar de una contraseña, recibe una notificación por correo electrónico que actúa como un token de inicio de sesión. Alternativamente, puede recibir una ventana emergente en su teléfono inteligente que le permite controlar el acceso a una cuenta.
En eso, el inicio de sesión sin contraseña a menudo utiliza una forma de autenticación preexistente para garantizar su identidad.
Es posible que ya haya encontrado inicios de sesión sin contraseña utilizando su cuenta de Gmail. En lugar de tener que ingresar su contraseña cada vez que inicie sesión, Google puede enviar un mensaje directamente a su teléfono. El mensaje muestra la hora y la ubicación del intento de inicio de sesión, con la opción de aprobar o denegar el inicio de sesión.
¿Cómo funciona un inicio de sesión sin contraseña?
Cuando inicia sesión en un sitio web, debe proporcionar una contraseña para desbloquear su cuenta. La contraseña solo la conoce usted y el sitio, lo que mantiene segura su cuenta. Confía en que el sitio mantendrá su contraseña segura, la almacenará de forma segura y que el sitio en sí no es vulnerable.
Además, definitivamente ya utiliza contraseñas seguras y únicas para cada sitio y servicio, porque esa es la práctica más segura.
Sin embargo, es lo último lo que se ha vuelto difícil. La creación de una contraseña segura de un solo uso para cada sitio ha visto a los usuarios crear contraseñas fácilmente memorables pero terribles. E incluso si crea una contraseña segura, un vistazo al número de violaciones de datos cada mes podría socavar sus esfuerzos.
Con la autenticación sin contraseña, no tiene que confiar en el sitio web con una contraseña. En lugar de ingresar una contraseña cada vez, los inicios de sesión sin contraseña utilizan algunos métodos de autenticación diferentes.
Autenticación sin contraseña basada en correo electrónico
El sistema de inicio de sesión sin contraseña más común es actualmente por correo electrónico. Muchos usuarios encontrarán que el inicio de sesión sin contraseña basado en correo electrónico es el sistema más familiar, que funciona de manera similar a un restablecimiento de contraseña.
Cuando intenta iniciar sesión, proporciona una dirección de correo electrónico. El servicio envía un correo electrónico seguro a la dirección asociada con la cuenta, y el correo electrónico contiene un enlace mágico seguro de un solo uso para ingresar a su cuenta de servicio. El enlace mágico incluye un token de inicio de sesión único que el servicio verifica, intercambiándolo por un token de validación de larga duración.
Hay otras variantes en el sistema de correo electrónico. Por ejemplo, en el caso de una cuenta existente, el servicio puede enviar al usuario un código de clave DKIM de un solo uso vinculado a los detalles de su cuenta. El usuario recibe el código DKIM y lo ingresa en el sitio. El sitio verifica el código con los detalles del usuario existente y completa el proceso de inicio de sesión.
Inicio de sesión sin contraseña basado en SMS
En este caso, el usuario ingresa un número de teléfono válido. El servicio envía un código de un solo uso al número de teléfono. El usuario puede iniciar sesión en el servicio. Alternativamente, algunos servicios ofrecen "robo-call" al usuario, donde un servicio de texto a voz leerá el código directamente.
Sin embargo, la seguridad de los SMS está bajo escrutinio. La gran mayoría de nosotros tiene poco de qué preocuparse. Pero varias personas de alto valor (especialmente aquellas con grandes volúmenes de criptomonedas) sufrieron ataques de piratería de SMS. Mira exactamente qué ataque de intercambio sim es y cómo protegerse contra él ¿Qué es el intercambio de tarjetas SIM? 5 consejos para protegerte de esta estafaCon el aumento en el acceso a la cuenta móvil y 2FA por seguridad, el intercambio de tarjetas SIM es un riesgo de seguridad creciente. Aquí se explica cómo detenerlo. Lee mas .
Inicio de sesión sin contraseña basado en biometría
Algunos métodos de inicio de sesión sin contraseña utilizan servicios de escaneo biométrico para autenticar su identidad. Los servicios de autenticación biométrica se presentan en más dispositivos que nunca. (¿Deberías cambiar a un servicio biométrico para su teléfono inteligente?)
La idea es que cuando desee acceder a un sitio, aparezca un mensaje en su teléfono inteligente. Desbloquea el teléfono inteligente usando su sistema biométrico preferido, y el desbloqueo actúa como verificación de su identidad.
Sin embargo, aparte del Face ID de Apple (para dispositivos incluidos y fabricados después del iPhone X, iPad Pro tercera generación y iPod Touch séptima generación), el escaneo biométrico de dispositivos móviles no es del todo seguro.
El hardware de escaneo facial de otros fabricantes no es tan avanzado y se engaña con una fotografía, mientras que se necesita una cabeza impresa y pintada en 3D para engañar a Face ID de Apple. En otros casos, los escáneres de huellas digitales permiten un reconocimiento parcial 5 formas en que los piratas informáticos evitan los escáneres de huellas digitales (Cómo protegerse)¿Crees que tu lector de huellas digitales hace que tu dispositivo sea seguro? ¡Piensa otra vez! Aquí hay 5 formas en que los escáneres de huellas digitales pueden ser pirateados. Lee mas para desbloquear un dispositivo.
En la actualidad, un sistema de inicio de sesión biométrico sin contraseña probablemente no sea la mejor opción. En el futuro, sin embargo, podría convertirse en la mejor opción.
Clave física sin contraseña
Las claves de seguridad física ofrecen otra opción de autenticación de inicio de sesión sin contraseña. Una clave de seguridad física es una clave de seguridad USB especial. Cuando desee acceder a su cuenta, conecte su clave de seguridad a su computadora. El servicio en línea valida su cuenta a través de la clave de seguridad, eliminando la necesidad de una contraseña.
Los principales ejemplos de una clave de seguridad física incluyen la serie Titan de Google y la serie Yubikey de Yubico.
¿Son los inicios de sesión sin contraseña como la autenticación de dos factores?
Si y no.
Sí, un inicio de sesión sin contraseña es similar a la autenticación de dos factores (2FA) en el sentido de que accede a su cuenta utilizando un método de autenticación alternativo. 2FA funciona asegurando su cuenta usando dos factores separados, generalmente una contraseña y un dispositivo separado.
No, no es lo mismo porque, aunque está utilizando un dispositivo separado para autenticar su cuenta, sigue siendo solo un factor.
¿Es más seguro un inicio de sesión sin contraseña?
Todo lo que impide que los usuarios creen contraseñas terribles es bueno, ¿verdad? Los inicios de sesión sin contraseña eliminan otro punto de falla del usuario final. En la actualidad, los inicios de sesión sin contraseña no están muy extendidos. Varios servicios importantes los están utilizando, como Gmail (como se mencionó anteriormente) y Slack Magic Links.
Lo más positivo para los propietarios y moderadores de sitios web es la repentina falta de tener que lidiar con las contraseñas de los usuarios. Las contraseñas sin cifrar almacenadas en un archivo de texto sin formato son cosas de pesadillas; Es el sueño de un hacker. Los usuarios que rara vez acceden a un servicio tampoco tendrían que pasar por el rigmarole "restablecer su contraseña".
Los inicios de sesión sin contraseña también podrían ayudar a los usuarios a iniciar sesión rápidamente en el servicio. Por el contrario, si sale regularmente del servicio, tener que volver a autorizar por correo electrónico o SMS puede ser irritante, dependiendo del período de tiempo.
Por ahora, use un administrador de contraseñas
Los inicios de sesión sin contraseña tardarán en convertirse en la corriente principal. Sin embargo, la pelota está rodando. La mayoría de los principales navegadores (todos excepto Safari) admiten el inicio de sesión sin contraseña de un tipo u otro. En febrero de 2019, Google también anunció que los dispositivos que ejecutan Android 7 (que es Android Nougat) o posterior también recibirían soporte de inicio de sesión sin contraseña.
Eso significa soporte de inicio de sesión sin contraseña para casi el 50 por ciento de todos los dispositivos Android. Y los estándares de inicio de sesión sin contraseña como FIDO2 y WebAuthn continuarán recibiendo actualizaciones, asegurando aún más el método de autenticación.
Al momento de escribir, aún necesita una contraseña. Necesita una contraseña segura de un solo uso. Con eso en mente, por qué no considerar usar un administrador de contraseñas Los mejores administradores de contraseñas para cada ocasión¿Te cuesta recordar tus contraseñas cada vez más elaboradas? ¡Es hora de confiar en uno de estos administradores de contraseñas gratuitos o de pago! Lee mas ?
Gavin es escritor sénior de MUO. También es editor y gerente de SEO del sitio hermano de MakeUseOf, centrado en el cifrado, Blocks Decoded. Tiene una Licenciatura en Escritura Contemporánea (Hons) con Prácticas de Arte Digital saqueadas de las colinas de Devon, así como más de una década de experiencia profesional en escritura. Le gustan las grandes cantidades de té.
