Seguridad biométrica: ¿la clave para la autenticación sin contraseña o una moda pasajera?

La autenticación sin contraseña ha sido el Santo Grial de la seguridad durante años, pero el progreso ha sido dolorosamente lento. Esto no significa que no se hayan dado grandes pasos, pero desafortunadamente, la mayoría de estos desarrollos han sido relegados a laboratorios de investigación o nichos profesionales. Hasta hace unos años, la tecnología para implementar la autenticación sin contraseña a gran escala simplemente no estaba disponible.

Sin embargo, el gigante de la industria está cambiando esto de forma lenta pero segura. Hay algunas consideraciones técnicas, legales e incluso éticas a tener en cuenta, pero sea como sea, la seguridad biométrica y la autenticación sin contraseña llegaron para quedarse.

La biometría ya está cambiando el juego y seguirá haciéndolo.

¿Por qué ir sin contraseña en primer lugar?

Dado que este es un blog de ingeniería, no siento la necesidad de explicar a un grupo de desarrolladores preocupados por la seguridad las ventajas de los inicios de sesión rápidos. No necesitamos ver el problema desde la perspectiva del consumidor: todos nosotros estamos obligados a usar una gran cantidad de servicios en línea y una cantidad cada vez mayor de dispositivos. Esto no cambiará en el corto plazo y, en todo caso, la cantidad de servicios y dispositivos en los que tendremos que iniciar sesión seguirá aumentando.

Por supuesto, hay muchas formas de prescindir de las contraseñas, incluida la autenticación biométrica. Desde la perspectiva del usuario, el uso de cuentas de Google, Microsoft y Facebook para iniciar sesión en servicios de terceros funciona, ya que el usuario puede evitar la sobrecarga de contraseñas y no tener que crear cuentas para cada servicio y dispositivo.

OAuth y OpenID se han utilizado durante años para consolidar las identidades digitales, y algunos de los nombres más importantes de la industria tecnológica emplean los estándares.

Técnicamente, este no es realmente un enfoque sin contraseña, pero es posible que el usuario promedio no vea la diferencia.

Los pros y los contras de usar este enfoque son:

Ventajas:

• Conveniencia
• Fácil de implementar
• Buena seguridad
• Tranquilidad de la marca

Contras:

• Dependencia de un servicio centralizado
• Todos los huevos en una canasta: al comprometer una cuenta, un atacante puede obtener acceso a otras
• Las posibles vulnerabilidades de seguridad, más allá de su control, pueden usarse en su contra
• Las personas pueden ser reacias a usar dichos servicios debido a problemas de privacidad.

Gran parte de esto se aplica a las soluciones alternativas, aunque no se aplica a los certificados de seguridad que, por lo general, se relegan a los usuarios comerciales en lugar de a los consumidores. Las ventajas superan a las desventajas, por lo que ya podemos iniciar sesión en innumerables servicios de terceros utilizando nuestras cuentas existentes.

¿Cómo pueden ayudar la biometría y la seguridad biométrica?

El uso de sistemas de autenticación biométrica aborda muchos problemas; no se depende de servicios centralizados, la privacidad no es una preocupación y la experiencia del usuario no se ve comprometida, siempre que se haga correctamente. Entonces, echemos un vistazo a los pros y los contras.

Ventajas:

• El escaneo de huellas dactilares es rápido, barato y relativamente seguro
• El reconocimiento de voz es fácil de usar y difícil de manipular
• Los escaneos de iris son muy seguros y potencialmente más convenientes que el escaneo de huellas dactilares
• La tecnología de electrocardiograma ofrece autenticación "siempre activa"
• Todos los métodos de seguridad biométrica abordan las preocupaciones de privacidad al tiempo que ofrecen una buena seguridad.

Contras:

• La biometría no es adecuada para todas las aplicaciones
• El costo de implementar la seguridad biométrica suele ser prohibitivo
• El soporte está limitado a ciertas plataformas y no está disponible en la mayoría
• Algunas tecnologías aún son inmaduras
• La biometría no es una bala de plata: la seguridad aún puede verse comprometida

La biometría no es un concepto nuevo ni una tecnología nueva. La seguridad biométrica se ha utilizado en muchas industrias durante décadas, y ha sido un elemento básico de los guionistas de Hollywood incluso por más tiempo. Estoy seguro de que muchos lectores tuvieron la oportunidad de jugar con el reconocimiento facial y los escáneres de huellas dactilares en sus portátiles hace años. Sé que lo hice y también sé que no me impresionó; la mayoría de estas primeras soluciones eran trucos baratos.

Sin embargo, hemos recorrido un largo camino desde entonces. Hay más potencia de procesamiento disponible, junto con sensores de imágenes muy superiores, y todo está respaldado por un software cada vez más sofisticado. Esta es la razón por la cual algunas de estas tecnologías están regresando, y lo están haciendo con fuerza.

La industria da el visto bueno a los escáneres de huellas dactilares

Touch ID de Apple es probablemente la solución de autenticación de huellas dactilares más reconocible del mercado, pero de ninguna manera es la única. Apple abrió Touch ID a desarrolladores externos en iOS 8 y procedió a integrar la tecnología en los nuevos iPhone y iPad, así como en su servicio Apple Pay.

Es por eso que iOS tiene una clara ventaja sobre Android y otras plataformas; cada nuevo iPhone y iPad se enviará con Touch ID hasta que a Cupertino se le ocurra algo mejor.

Esto no significa que Android deba descartarse porque un número cada vez mayor de teléfonos Android se envían con escáneres de huellas dactilares. Los primeros dispositivos de autenticación biométrica presentaban pequeños escáneres que requerían que el usuario pasara el dedo por el escáner, pero las unidades de escaneo táctil, similares a las de Apple, son cada vez más comunes. Es importante tener en cuenta que esta función no está reservada para productos caros y emblemáticos; incluso algunos teléfonos de $ 200 comercializados por proveedores chinos cuentan con tales escáneres.

Sin embargo, todavía hay una consideración; Google no ha integrado un escáner de huellas digitales en ninguno de sus dispositivos Nexus, aunque se rumorea que originalmente tenía la intención de incluirlo en el teléfono inteligente Nexus 6. De hecho, el Proyecto de código abierto de Android (AOSP) proporcionó evidencia de que se eliminó la compatibilidad con huellas dactilares del dispositivo. Esta no es una buena noticia para los desarrolladores de Android, ya que Google generalmente muestra nuevas tecnologías en los dispositivos Nexus y realiza un seguimiento con la documentación y las API, como fue el caso de la compatibilidad con NFC en el Nexus S o el sensor de barómetro en el Galaxy Nexus.

Aún así, esto no impidió que los proveedores usaran su propio código, con algunos tipos de escáneres. Pero estas son malas noticias para los desarrolladores que tienen las manos atadas, ya que no existe un estándar que elimine la fragmentación y asegure la interoperabilidad. Samsung trató de superar el problema al permitir que los desarrolladores jugaran con su API Pass, pero aún no es una solución ideal. Motorola intentó hacer lo mismo hace cuatro años con sus viejos dispositivos Atrix.

Varios fabricantes y desarrolladores de hardware también lanzaron SDK que permiten a los desarrolladores integrar soporte para varios escáneres de huellas dactilares, pero la falta de un entorno estandarizado que reduzca o elimine la fragmentación sigue siendo un gran problema.

Puede pasar un tiempo antes de que veamos escáneres de huellas dactilares en la mayoría de los teléfonos, pero se está progresando mucho. Pasamos de no tener escáneres en los teléfonos insignia a escáneres relativamente confiables en teléfonos de $200 en el lapso de un par de años.

Pero, ¿qué tan útiles son? ¿Son solo trucos como los escáneres de huellas dactilares de primera generación en portátiles viejos?

La tecnología funciona, de eso no hay duda, pero por el momento las aplicaciones son limitadas. El desarrollo de software tiene que ponerse al día con el hardware, necesitamos más servicios que puedan usar dicha solución, y necesitamos más API, estándares y pautas de los líderes de la industria (es decir, Google). En este punto, los escáneres de huellas digitales en muchos dispositivos Android son trucos, nada más.

En general, los escáneres de huellas digitales son convenientes, pero no son una solución ideal. Si bien cada huella digital es única, aún existen algunos problemas de seguridad. Muchos escáneres pueden ser engañados, aunque cada vez es más difícil lograrlo con una imagen simple. Sin embargo, existen alternativas, incluida la impresión 3D, y algunas formas morbosas de hacerlo, como señaló un experto en seguridad hace un par de años.

No hace falta decir que no puede usar lectores de huellas dactilares con guantes, un pulgar lesionado o en otras situaciones extremas. Pero, estos son inconvenientes relativamente menores.

Microsoft quiere mirarte a los ojos

Entonces, resumamos. Android e iOS ya pueden usar escáneres de huellas dactilares para la seguridad biométrica, y actualmente están infrautilizados. Pero, ¿qué pasa con los entornos de escritorio? Podemos desbloquear nuestros teléfonos y autenticar pagos usando datos biométricos, pero aún trabajamos en computadoras de escritorio, entonces, ¿qué tal si las hacemos realmente sin contraseña?

Microsoft anunció recientemente Windows Hello y, en caso de que se lo haya perdido, consulte el blog oficial de Windows para obtener una descripción general completa de esta iniciativa.

Así explica Microsoft su visión de Windows Hello:

En lugar de usar un secreto compartido o compartible como una contraseña, Windows 10 ayuda a autenticarse de forma segura en aplicaciones, sitios web y redes en su nombre, sin enviar una contraseña. Por lo tanto, no hay una contraseña compartida almacenada en sus servidores para que un pirata informático pueda comprometerla.

Windows 10 le pedirá que verifique que tiene posesión de su dispositivo antes de que se autentique en su nombre, con un PIN o Windows Hello en dispositivos con sensores biométricos. Una vez autenticado con 'Passport', podrá acceder instantáneamente a un conjunto cada vez mayor de sitios web y servicios en una variedad de industrias: sitios de comercio favoritos, servicios de redes sociales y correo electrónico, instituciones financieras, redes comerciales y más._

Windows Hello es un sistema de autenticación biométrica que permitirá a los usuarios acceder instantáneamente a sus dispositivos con Windows 10 mediante el escaneo de huellas dactilares, el escaneo del iris o el reconocimiento facial. Microsoft dice que "muchos" nuevos dispositivos con Windows 10 serán compatibles con Windows Hello, pero, personalmente, encuentro una técnica particularmente interesante.

El escaneo de iris es uno de los métodos admitidos por Microsoft y tiene algunos beneficios sobre las alternativas. Debería ser más confiable y potencialmente más conveniente que el escaneo de huellas dactilares. En caso de que se lo pregunte, nuestras cámaras web o cámaras de teléfonos no manejarán esto: Microsoft quiere usar "una combinación de hardware y software especial" para asegurarse de que el sistema no pueda ser derrotado.

El escáner de iris se basará en tecnología infrarroja (potencialmente, infrarrojo cercano). Esto significa que podrá operar en todas las condiciones de iluminación y ver su iris a través de anteojos, incluso anteojos polarizados. Los diseñadores de hardware no tendrán que reservar mucho espacio en un dispositivo para integrar el escáner; podría integrarse justo al lado de la cámara para selfies en nuestros móviles, o como una adición a las cámaras web independientes que se usan en muchas máquinas de oficina en la actualidad. Esto significa que podría adaptarse fácilmente a las PC de escritorio existentes.

Además de los escáneres de infrarrojos, Microsoft también utilizará medidas de seguridad biométricas más tradicionales, como el reconocimiento facial, basándose en la tecnología de cámara Intel RealSense. Esto debería ayudar a que Windows Hello sea más prolífico, especialmente a medida que los usuarios se actualicen a nuevos portátiles e híbridos basados ​​en plataformas Intel.

En el frente móvil, un escaneo de iris ofrece varias ventajas sobre la autenticación de huellas dactilares; puede funcionar con guantes, las lesiones del iris son mucho menos comunes que las lesiones del pulgar, y debería ser mucho más difícil vencer a un escáner de iris de nivel de consumidor que a un escáner de huellas dactilares.

Hay otro ángulo en el enfoque de Microsoft: el gigante del software no almacenará los datos biométricos de los usuarios. La firma biométrica se protegerá localmente en los dispositivos y se compartirá con nadie más que con el usuario. La firma solo se usará para desbloquear el dispositivo y Passport, por lo que no se usará para autenticar a los usuarios en la red.

El jurado aún está deliberando sobre los planes biométricos de Microsoft y tendremos que esperar a Windows 10 para verlo en acción.

¿Qué pasa con la autenticación siempre activa?

Si bien todas estas tecnologías pueden hacer un buen trabajo al reemplazar las contraseñas tradicionales, existen conceptos emergentes que podrían dar a los ingenieros más libertad. ¿Qué pasaría si pudiéramos prescindir del proceso por completo, sin contraseñas, sin escaneos de huellas dactilares, nada?

La "autenticación siempre activa" es la próxima frontera, y ya se han propuesto varias formas de llegar allí. Sin embargo, es necesario hacer una distinción importante. La autenticación siempre activa generalmente se refiere a la autenticación de máquina a máquina, como un sistema de autenticación SSL "siempre activa", conexiones SHH, credenciales NFC y varias tecnologías de red. Por lo general, se desarrollan para monitorear y autenticar transacciones financieras, lo que reduce el riesgo de fraude en línea.

Hay relativamente pocas soluciones para la autenticación de usuario siempre activa. Un ejemplo de ello es la pulsera Nymi de Bionym. Es un dispositivo portátil que se parece mucho a un rastreador de actividad física promedio, pero es más inteligente que eso.

Nymi escanea el electrocardiograma (ECG) único del usuario. Esto significa que solo necesita tener el dispositivo en su muñeca para proporcionar una autenticación siempre activa. Mientras tu corazón siga latiendo, estarás conectado.

Si estás pensando en probar el mismo truco en los relojes Apple Watch o Android Wear, mantente firme, todavía no hemos llegado. El Nymi no solo rastrea la frecuencia cardíaca del usuario como un reloj inteligente, sino que en realidad analiza la forma de la onda de ECG del usuario, que requiere un sensor más sensible. Los relojes inteligentes suenan como la plataforma de hardware ideal para esta aplicación y, tarde o temprano, podrán hacer lo mismo.

¿Imagínese desbloquear su teléfono, automóvil, oficina y computadora simplemente estando allí y teniendo un pulso? Inicie sesión en cualquier cuenta sin problemas, luego pague el almuerzo, haga algunas compras de camino a casa y tal vez retire efectivo de un cajero automático, todo sin tener que hacer malabarismos con sus compras y tarjetas de crédito. Todavía no hemos llegado, pero poco a poco lo estamos consiguiendo.

¿Qué significa todo esto para los desarrolladores y usuarios de software?

Por el momento, los desarrolladores de software pueden usar middleware estándar y tokenización para implementar soluciones sin contraseña. Un ejemplo de ello es Passwordless, un marco de código abierto basado en token para Node.js y Express. En caso de que esté interesado en cómo se implementa, Mozilla tiene una publicación de blog completa que lo explica.

Tomará un tiempo, pero los componentes básicos biométricos se están acomodando lentamente. La cosecha actual de tecnologías sin contraseña aumentará y eventualmente será reemplazada por la autenticación biométrica.

Muchos escépticos de la seguridad biométrica, incluidos muchos de mis colegas, no creen que esto suceda pronto, pero yo soy un optimista incorregible; Creo que la seguridad sin contraseña será estándar a finales de la década, y es por eso que: si simplemente observamos un campo en particular, ya sea software o hardware, encontraremos innumerables problemas con la biometría, muchos de los cuales ya he mencionado. Sin embargo, si retrocedemos unos pasos y miramos el panorama general, si observamos las nuevas tendencias de la industria y el creciente énfasis en la seguridad personal y corporativa, las brechas de seguridad altamente publicitadas, las preocupaciones sobre la privacidad, estamos obligados a ver las cosas desde una perspectiva diferente.

Aun así, el elefante en la habitación no es la privacidad o la seguridad B2B, son los pagos móviles.

Se espera que el volumen de transacciones móviles en los EE. UU. se duplique con creces este año a $ 10 mil millones. Para 2018, Bloomberg espera que el volumen alcance los 110.000 millones de dólares. Sobre una base per cápita, el consumidor estadounidense promedio hará alrededor de $30 en transacciones este año, pero para 2018 la cifra aumentará a $330 per cápita, por cada hombre, mujer y niño. Suponiendo la misma tasa de crecimiento anual compuesta en 2019 y 2020, podríamos estar viendo cuatro dígitos per cápita para 2021.

Con esa cantidad de dinero en juego, ¿qué te parece?