Todos los usuarios lo experimentan todos los días: gestionar las cada vez más numerosas contraseñas puede ser agobiante. Esto, por supuesto, se extiende a todos los ámbitos de la vida en los que se interactúa con las TIC. Las universidades, claro está, no escapan al tsunami de contraseñas. Si bien existen soluciones como la autenticación de múltiples factores (MFA) y los gestores de passwords, éstos parecían inescapables. Pero no es así: cada vez se difunde más la autenticación sin contraseña o passwordless authentication.

Se puede decir que la autenticación sin contraseña es MFA sin contraseña. El usuario sólo debe ingresar alguna identificación digital, como su usuario, teléfono o correo electrónico. A partir de ahí, para completar la autenticación el sistema solicita una prueba de identidad mediante un token o dispositivo (como el celular) registrado. Puede tratarse de una verificación biométrica o un PIN, por ejemplo.

Ahora bien, la autenticación sin contraseña se basa por lo general en criptografía de clave pública, la cual se genera cuando el usuario se registra en un servicio de autenticación; dicho servicio puede ser proporcionado por un servidor remoto, una aplicación o un sitio web. Adicionalmente, se crea una clave privada que se almacena en un dispositivo del usuario. Puede ser una computadora personal, un smartphone o bien, un token dedicado. La única forma de acceder a dicha clave es mediante la identificación biométrica u otro factor no basado en conocimientos. Es decir, se elimina la necesidad de memorizar cualquier contraseña.

Passwords reciclados

Aunque fabricantes de dispositivos y sistemas operativos como Microsoft, Apple y Google ya ofrecen la autenticación sin contraseña en sus productos y servicios, la mayoría de las universidades aún no la implementan a gran escala. Hay diversas razones, como cierta reticencia hacia la transición y una rentabilidad dudosa de las soluciones existentes. También influye el hecho de que numerosos usuarios simplemente no confían en la autenticación sin contraseña.

Sin embargo, existen fuertes incentivos para implementarla en las universidades. Uno de ellos es el vasto número de estudiantes que utilizan la misma contraseña una y otra vez para diferentes cuentas. Así, en caso de que algún password se vea comprometido, no sería uno sino tal vez muchos los servicios en riesgo.

Por otra parte, un gran porcentaje de las llamadas a los servicios de asistencia técnica consiste en solicitudes de restablecimiento de contraseñas. Y luego los estudiantes vuelven a olvidarlas. Esto da pie a un círculo vicioso que desemboca en una fatiga del usuario, la cual lleva a que los estudiantes elijan contraseñas fáciles de adivinar. En consecuencia, las cuentas de los estudiantes se vuelven presa fácil para los hackers.

Paso gradual a la autenticación sin contraseña

Pero no siempre es fácil adoptar la autenticación sin contraseña. Uno de los principales contratiempos es que muchos sistemas y aplicaciones heredadas no pueden aprovecharla. Por ende, se mantiene el uso de passwords, a veces en combinación con alguna forma de MFA.

Además, para que la autenticación sin contraseña sea eficiente, se requiere que la universidad tenga una sólida gestión de políticas de seguridad. Esto es necesario para que los responsables de la ciberseguridad determinen en cuáles instancias sólo se requiere de una autenticación y en cuáles se requiere algún factor adicional.

Finalmente, poner en marcha correctamente la autenticación sin contraseña puede ser muy costoso al inicio. Sin embargo, la inversión puede valer la pena a largo plazo si con ella se mitigan los posibles costos asociados a una disrupción de seguridad que resulte en un ataque de ransomware, por ejemplo.

Adicionalmente, implementar la autenticación sin contraseña facilita el establecimiento de un modelo de confianza cero o Zero Trust, que pone en primer lugar la autenticación para todos los accesos a los recursos universitarios. Y el cambio, de cualquier forma, debe ser gradual. Después de todo, dejar de usar contraseñas es un proceso evolutivo y requiere una planificación cuidadosa.