Un gesto o una frase para reemplazar a la palabra clave
Cómo serán los futuros procedimientos que desplazarán al tradicional mecanismo de seguridad que combina letras, números y caracteres especiales para ingresar a los sistemas
Es difícil recordar las claves. ¿Qué pasaría si mover cinco dedos sobre una pantalla bastara para ingresar? ¿O decir una frase simple?
Ninguna de las dos ideas es algo raro. Científicos computacionales de Brooklyn están entrenando a sus iPad para reconocer a sus dueños por el toque de sus dedos al acariciarlos. Los bancos ya usan software que reconoce su voz, como complemento del PIN estándar.
Y luego de años de predecir su desaparición, investigadores de seguridad están renovando sus esfuerzos por complementar y quizás un día eliminar la vieja clave. "Si me pregunta cuál es la mayor molestia hoy, diría que lo son las 40 claves diferentes que tengo que crear y cambiar" dijo Nasir Memon, científico computacional y profesor del Polytechnic Institute de la Universidad de New York en Brooklyn, que encabeza el proyecto de la iPad.
Mucha gente estaría de acuerdo. La clave se ha vuelto un mono montado sobre nuestras espaldas digitales, una llave esencial para el acceso a nuestros muchos dispositivos y cuentas, pero cada vez más una fuente de exasperación e inseguridad.
La rama de investigaciones del departamento de Defensa está buscando maneras de usar referencias como los errores de tipeo de una persona para verificar de modo continuo la identidad para el caso, digamos, de que la laptop de un soldado termine en manos enemigas en el campo de batalla. En un ejemplo más común, Google recientemente comenzó a alentar a los usuarios a considerar un sistema de ingreso de dos pasos, combinando una clave con un código enviado a sus celulares.
El más reciente software Android de Google puede destrabar un celular cuando reconoce el rostro de un dueño o -algo no tan seguro- cuando se ve engañado por alguien que sostenga una foto del rostro del dueño. Aún así, pese a estos avances recientes, puede ser prematuro anunciar el fin de las claves, como hizo Bill Gates en 2004, cuando dijo que "la clave ha muerto".
"El supuesto espectacularmente incorrecto de que las ‘claves han muerto’ ha sido dañino, desalentando la investigación para mejorar la situación de los casi 2000 millones de personas que las usan", escribió en un reciente trabajo Cormac Herley, investigador de Microsoft, la compañía que fundó Gates. Herley sugirió en cambio que los diseñadores intenten "dar mejor soporte al uso de claves", por ejemplo, ayudando a la gente a proteger sus conexiones inalámbricas de fisgones. "Las claves -continuó Herley- se han demostrado un oponente formidable: todos los que intentaron reemplazarlas fracasaron."
El enfoque de la pantalla táctil del profesor Memon de Brooklyn funciona porque sucede que cada persona tiene un mismo gesto único. Sus dedos son diferentes, se mueven a distintas velocidades, tienen lo que él llama un "estilo" particular. Quiere que sea fácil ingresar; además, dijo, para alguna gente las medidas biométricas, como un escaneo del iris, son algo "que los pone nerviosos".
En sus estudios, los gestos más populares resultaron ser los que se sienten como más intuitivos. Uno de ellos es girar la imagen de un candado de combinación 90 grados en una dirección. Otro es firmar en la pantalla. En principio, el gesto puede usarse para ingresar a un dispositivo o una aplicación en el dispositivo que contiene varias claves con seguridad.
Pese a su perdurabilidad, las claves son débiles, notoriamente porque sus usuarios tienen memorias limitadas y la debilidad de divulgar secretos involuntariamente. La mayoría de la gente necesita docenas de claves y tiende a elegir algunas que son tan complejas que tienen que escribirlas, o tan simples que pueden ser adivinadas fácilmente. Recientemente los criminales se han vuelto hábiles para robar claves introduciendo software malicioso en computadoras o engañando a los usuarios para que las tipeen en un sitio ilegítimo.
Compañías como Facebook y Twitter han buscado enfrentar esta frustración con las claves permitiendo que sus nombres de usuarios y claves abran la puerta a millones de sitios, lo que conlleva riesgos evidentes. Un ladrón con acceso a un nombre de usuario y clave puede tener acceso a una cantidad de cuentas.
Rachna Dhamija, una científica computacional de California convertida en empresaria, buscó combatir esas debilidades descomponiendo la clave. El usuario ingresa primero al servicio creado por Dhamija, UsableLogin, con su propia clave parcial. Detrás de escena, el servicio verifica que el usuario está en un dispositivo autorizado y saca la tercera pieza de la nube, generando una clave única para cualquier sitio al que el usuario quiera ingresar, por ejemplo, Facebook. Dicho de otro modo, una parte de la clave está en poder del usuario, otra parte está guardada en su dispositivo y una tercera se guarda online.
"Se toma un secreto y se lo distribuye en distintas partes" dijo Dhamija, cuyo servicio fue recientemente requerido por Webroot Software, con sede en Broomfield, Colorado. "Se reparte el riesgo. La clave no está guardada entera en ninguna parte". Pero aunque un usuario ha sido autorizado al comienzo de una sesión, ¿qué pasa si alguien más accede a su computadora una hora más tarde? Darpa, la rama de investigaciones de tecnología del departamento de Defensa ha invitado a investigadores de seguridad a desarrollar maneras de verificar un usuario a cada instante, basado en la manera que un individuo usa la máquina: "por ejemplo, cómo el usuario maneja el mouse y cómo redacta un e-mail o documento" explica en su sitio en la red.
Cada una de estas técnicas se deriva de la noción de que una clave por sí sola es un medio insuficiente para verificar la identidad online. Hay que verlas como un fortalecimiento: una clave más otra cosa.
Muchas compañías usan una tarjeta inteligente o un "dongle" (elemento de físico que se conecta a la computadora vía alguno de sus puertos y que es requerido para que funcione determinado programa), como ese segundo paso de verificación que da acceso a redes internas. Hoy en día la biométrica -los rasgos físicos únicos de un individuo- están surgiendo como alternativa.
Al menos media docena de bancos en los Estados Unidos piden a sus clientes que verifiquen quienes son recitando una frase de dos segundos a una computadora por el teléfono, además de marcar los números de su PIN. Podría ser tan simple como decir "en mi banco" y un millón de clientes podrían recitar la misma frase haciéndolo de un modo único y distintivo, según Nuance Communications, una compañía con sede en Burlington, Massachusetts, que produce tecnología.
Al volverse los celulares apéndices corporales para la gente en todo el mundo, también están emergiendo como instrumentos para verificar la identidad. Google introdujo su procedimiento de dos pasos este año. Envía un código de seis dígitos a una aplicación en el celular del usuario que debe ingresarse junto con la clave para usar una cuenta de Google en una computadora o tableta. El código también puede ser enviado como mensaje de texto para los que no tienen teléfonos inteligentes, o puede transmitirse a través de una llamada. El paso extra no es obligatorio y la compañía no dice en qué medida ha sido adoptado. Pero por vulnerables que sean las claves al robo y a ser descubiertas, dice Google, es cada vez más importante que la identidad de un usuario sea verificada por otro medio, un celular en este caso.
"Creo que vamos a ver a la gente usar sus dispositivos móviles como identificadores generales" dijo Brendon Wilson, investigador de seguridad de Symantec. "La clave ya no será el indicador final de que usted es usted. Habrá otras capas encima de ella".
© NYT Traducción de Gabriel Zadunaisky