Así será el nuevo botón para compartir historias en Instagram
Astronomía, divulgación, descubrimientos, ecología, innovación...
Cada vez más cerca de un sistema de autenticación seguro y sin contraseñas
Existe a tu alcance un “buffet libre” de servicios web bastante amplio; encontrar entradas para cualquier espectáculo, reservas en un hotel, comparativas de seguros de coche, herramientas de análisis, juegos. Cientos de ellas. Antes de empezar a sacarle provecho a sus utilidades, necesitan un proceso de registro previo. El servicio tiene que saber quiénes sois. Imaginaos lo tedioso que podría llegar a ser tener que dar el nombre o inventar un nick, el correo, nuevas contraseñas, etc. o lo que es peor, tener que recordar cada seudónimo y password cada ves que hacéis login. Al final, acabas aportando los mismos datos para diferentes aplicaciones, con los riesgos que conlleva.
Desde hace tiempo, te habrás dado cuenta, son muchos los servicios que te ofrecen registrarte a través de tu cuenta de Gmail, Facebook o Twitter. Google lo lleva haciendo años con OPenID para miles de aplicaciones.
Sencillo y rápido, para ti y para el desarrollador, sin tediosos procesos de registro (aunque te dan siempre esa opción) ¿Sabes lo que es y lo que implica hacer login a través de cuentas predeterminadas como la de Google, Facebook o Twitter, Linkedin o cualquier otra?
Seguridad ante todo
No hay un solo día que no aparezca víctima, noticia o alerta por un robo de cuentas, suplantación de identidad y el acceso a webs maliciosas o simuladas que nos roban información, dinero, tranquilidad y algo de orgullo, favorecido por el anonimato y la posibilidad de operar bajo identidades falsas, simuladas, ficticias o usurpadas.
Aunque de momento es imposible evitar el fraude y la suplantación, los especialistas en ciberseguridad siguen trabajando en sistemas que permiten a los usuarios conectarse a aplicaciones de escritorio, móviles y web de la manera más segura y fiable posible. El objetivo es que durante el proceso de registro en cualquier otro servicio web o aplicación para móvil que vayas a utilizar, los usuarios puedan autentificar su identidad a través de un sistema de verificación ya conocido. Los desarrolladores web permiten que te registres en su web o app confiando en un sistema de intercambio de datos que utiliza ese servicio sin que tengas que registrarte mediante contraseñas.
Una de las soluciones que se encontró para este fin fue el protocolo de autenticación OpenID Connect basado en OAuth (Open Authorization), un sistema standard que permite el intercambio seguro de datos de autorización para las API's (facilitan que una aplicación web de escritorio o móvil pueda utilizar otro software en su caso, Facebook, Wordpress, Google+, etc., para sincronizar los datos de ambas) de sitios o aplicaciones y autorizar el acceso.
Supongamos que te quieres autenticar en una conocida web de comida “Fogones”. Esta web te ofrecerá varios sistemas alternativos de registro, en este caso a través de tu cuenta de Gmail o Facebook. Vamos a probar con Facebook.
Identificación en web a través de los proveedores Facebook y Google. Foto: Silvia Barrera
Identificación en web ficticia a través del proveedor Facebook. Foto: Silvia Barrera
Como puedes comprobar en la URL (web) a la que te dirige, recuadrada en rojo, una vez que “Entras con Facebook”, el protocolo OAuth conecta con esta red social ( la “id de usuario” de FB la he tapado por privacidad) e intercambia datos que guardas en tu perfil con la web tercera (en nuestro caso “Fogones”) sin que “Fogones" conozca ni almacene tu contraseña de acceso a Facebook. Sólo accede a los datos que tu quieras proporcionar de tu perfil de FB.
Si accedes a través de tu correo de Gmail, esta web tercera también podría tener acceso a tu dirección de correo de gmail y cualquier información que tengas asociada a la red social Google+ (nombre, ubicación, teléfono, etc.). El procedimiento es el mismo que el anterior.
Identificación en web ficticia a través del proveedor Google. Foto: Silvia Barrera
Por supuesto, siempre te dan la opción de registrarte por el procedimiento convencional, aportando los datos de registro que te pidan para poder darte acceso a sus servicios.
Identificación de registro web a través de la web tercera. Foto: Silvia Barrera
¿Qué debes saber de este sistema?
Ten claro qué significa este protocolo de autenticación OpenID Connect basado en OAuth (Open Authorization) y después elige cuál es el procedimiento de registro que más te conviene.
- Es un servicio cómodo, rápido y seguro para los desarrolladores de esos sitios web de terceros. Facilitando el registro a través de los grandes proveedores de servicio (Facebook, Google, Twitter, etc.) se evitan tener que almacenar y administrar datos tan sensibles de los usuarios como son las passwords. El sistema de tokens de seguridad (también token de autenticación) en la cabecera con el que están diseñados no permiten a estas webs ver vuestras contraseñas. Este token es solo una firma cifrada que permite al API de Facebook, Twitter, etc. identificar al usuario.
- Dejan en las “manos confiables” de los grandes proveedores de servicio la gestión de contraseñas y se aprovecha de sus sistemas de seguridad establecidos como el 2FA que vimos la semana pasada.
- Los nuevos desarrolladores podrían diseñar aplicaciones de escritorio, web como móvil, con fallos de seguridad o vulnerabilidades. Esa autentificación única en manos de los grandes minimiza la fuentes de riesgo de pérdida o robo de contraseñas.
- Los usuarios no somos buenos para recordar muchos nicks y contraseñas. Esto provoca que acabemos utilizando la misma contraseña para todo. Si aun así decides recurrir al registro web convencional, hazte una regla nemotécnica para crearte un sistema de contraseñas que recuerdes siempre.
- Detección de webs maliciosas o simuladas. Con tantas veces que iniciamos sesión de la misma forma en una web, es probable que no comprobemos la URL a la que intentemos acceder y nos cuelen una web simulada, un phishing, malware que nos secuestre la contraseña o los datos confidenciales o que una web nueva administre logins con texto plano (visible) (sin sistema de cifrado). Como se puede ver en el código fuente, este sistema siempre nos lleva a una web confiable.
- Todos los nuevos servicios que utilizan este sistema de autentificación utilizan la misma contraseña, como son la de tu cuenta de Twitter, Facebook, etc. de modo que si alguna vez algunos de los sistemas de estos grandes proveedores sufre una fuga de información, también será posible registrarse en otras webs.
- Mucho ojo durante el proceso de autentificación. Mientras que los nuevos registros de usuario solo suelen incluir nombre, cuenta de correo electrónico y contraseña, si autorizas el acceso a través de tus redes sociales, también estarás dando más información de la habitual. No obstante, siempre puedes restringir la información que proporcionas a estas webs terceras.
Como ves, este sistema de autentificación es fiable, seguro, rápido y cómodo. ¿Nos acercamos a sistemas de autenticación por identidades más fidedignos y sin el uso de contraseñas? Parece que sí.