Un invento elimina (por fin) las contraseñas

Lo primero es tirar la toalla, antes o después, y admitir que no hay ni tiempo ni espacio disponible en el disco duro del cerebro para memorizar tantas contraseñas. Después, toca el turno de elegir el “atajo” que más convenga, a cada cual peor, por cierto.

Si se repite una misma contraseña para distintas webs o dispositivos, malo. Si se simplifican para que sea más fácil recordarlas, peor. Si se utilizan años de nacimiento, nombres de seres queridos o lugares con un recuerdo especial, peor aún. Por no hablar del recurso de llevarlas apuntadas en la cartera “por si acaso”, un remedio casero de indudable riesgo.

Un grupo de investigadores quiere poner remedio a semejante desazón con un nuevo sistema de seguridad que utiliza el móvil como antídoto para tanta clave, y que promete que solo será necesario memorizar una contraseña.

El proyecto, bautizado como ReCRED, cuenta con financiación de la Unión Europea y ha sido llevado a cabo por un grupo internacional de investigadores en el que está presente la Universidad Carlos III de Madrid. Consiste en una plataforma segura de autentificación para dispositivos móviles que vincula todas las cuentas online con la identidad del usuario, y que se gestiona a través del teléfono móvil.

«La adopción de la arquitectura de autentificación basada en el dispositivo es clave para eliminar las contraseñas como el método principal de autentificación en la web», explica el coordinador del proyecto, Christos Xenakis de la Universidad del Pireo (Grecia), en declaraciones recogidas por la web de ciencia EurekAlert.
Este sistema utiliza el móvil como un intermediario o «proxy» de autorización, de tal manera que «la autentificación y la autorización se simplifican al realizarse por medio del uso combinado de un pin corto, información biométrica (por ejemplo la voz, huellas dactilares o la firma) y credenciales anónimas (por ejemplo, un pseudónimo)», afirma Rubén Cuevas, investigador de la Universidad Carlos III de Madrid (UC3M).
ReCRED permite esta administración centralizada de cuentas desde un único dispositivo, independientemente del método de autentificación empleado en cada servicio. El módulo de adquisición de identidad en línea desarrollado se encarga de vincular horizontalmente las identidades del usuario que están fragmentadas en la red. El servicio permite al usuario otorgar autorización explícita a ReCRED para acceder a la información de cada cuenta en línea que posee.
«Los usuarios finales pueden ahora corroborar que son propietarios de diferentes cuentas partiendo de distintos proveedores de identidad, vincularlas entre sí y consolidar sus atributos de identidad», añade Christos Xenakis.

La clave está en que este sistema no se basa en una combinación de números, letras y signos, sino en los datos privados del propietario, más difíciles de “piratear”. Así, características únicas del usuario como la edad, la nacionalidad o la ocupación pueden servir para acceder a datos, recursos o servicios. «Priorizamos una autentificación que requiera utilizar solo datos esenciales que actúan como credenciales anónimas. No es necesario verificar el correo electrónico, por ejemplo, ya que éste revelaría la identidad del usuario», explica Antonio Fernández Anta, investigador de IMDEA Networks Institute, colaborador de la UC3M en ReCRED.

¿Y qué ocurre si el móvil no es seguro?
Trasladar toda la responsabilidad de seguridad sobre el smartphone tiene también sus peligros en el caso de que éste no sea seguro. Para evitar disgustos, ReCRED refuerza también las medidas de seguridad adicionales del teléfono con capacidades de bloqueo y recuperación.

Lo hace mediante una entidad llamada Consolidador de Identidad (IDC, por sus siglas en inglés) así como firmas comportamentales y fisiológicas del usuario y protocolos de seguridad basados en tarjetas SIM para verificar la identidad del usuario. El IDC permite la consolidación y la gestión de identidades, al tiempo que favorece la recuperación eficiente ante fallos.

«En caso de que un usuario pierda su dispositivo, puede recuperar el acceso a los servicios al proporcionar una autentificación de dos factores, como atributos personales escaneados a partir de características físicas o datos biométricos conductuales», señala Xenakis.