Tokens para autenticarse: Alternativa a las contraseñas

Ya he comentado en más de una ocasión la debilidad de las contraseñas tradicionales.

Su seguridad se basa en sólo uno de los tres factores básicos de la autenticación. Una estructura de autenticación fiable, debe basarse en al menos dos de estos tres parámetros, que son: “algo que sepas”, “algo que poseas” o “algo que seas”.

El primero se refiere a las contraseñas de toda la vida, que son “algo que sabes” y en los que te basas para identificarte como el usuario que realmente eres. El segundo parámetro hace referencia a la biometría, un sistema bastante seguro. “Algo que eres” puede ser cualquier aspecto físico que va unívocamente unido a ti, como la huella dactilar o el iris. El tercer parámetro hace referencia a algún objeto físico que debes poseer para poder acceder al medio que se desea, por ejemplo una llave. Si mezclamos dos de estos parámetros, la autenticación se llamará “fuerte”. Esto es lo que hacen los tokens, dispositivos físicos (algo que tienes) que sólo te permitirán el acceso si los activas con una clave (algo que sabes). Los tokens más habituales hoy día son los que se conectan mediante USB.

Son parecidos a las memorias USB, que, en el tamaño de una llave convencional, puede almacenar cientos de megas de información de forma extremadamente cómoda. Por la propia filosofía de la conexión USB, no es necesario instalación, se puede usar mientras el ordenador funciona, sin necesidad de reiniciar, y será reconocido prácticamente al instante.

Tokens para autenticarse 2

En estos casos los tokens no se utilizan para guardar grandes archivos, sino una contraseña privada. Se puede pensar el él como en una tarjeta con chip inteligente que guarda nuestra clave privada si usamos criptografía asimétrica para cifrar o firmar documentos. La razón por la que este tipo de tarjetas no se han impuesto en el mercado, es porque no existirá un lector específico allá donde vayamos, aparte del coste adicional que suponen estos lectores. Los tokens de seguridad eliminan este inconveniente realizando la conexión con el ordenador a través de USB, lo que implica poder introducir nuestra llave privada en cualquier ordenador posterior a 1998, que fue, más o menos, cuando este puerto se convirtió en estándar en todos los PC.

Los campos donde estos pequeños dispositivos pueden resultar útiles son muy variados. Banca electrónica, comercio electrónico o incluso para dar validez y funcionalidad a un ordenador portátil. Algunos modelos permiten integrarse cómodamente con el sistema operativo del ordenador portátil de forma que la máquina se negará a funcionar si no se le ha introducido este dispositivo y activado con la clave. Se podría ver como una llave que arranca el sistema. Especialmente útil para personas que almacenan información crítica en sus portátiles y quieren guardarse las espaldas ante robos o pérdidas.

Para los trabajadores que necesiten tener acceso a bases de datos o documentos remotos, que se encuentren en servidores corporativos a los que no tengan acceso físico, esto también supone un añadido de tranquilidad, pues pueden ser usados como “llave” física que virtualmente les permite el acceso a estos recursos que su empresa les proporciona. No son pocas las que permiten a sus trabajadores tener acceso a sus bases de datos allá donde estén, facilitando la vida a los empresarios que pasan los días de hotel en hotel. Dejar esto en manos de una contraseña sería poco menos que una negligencia. Gracias a estos dispositivos el usuario puede sentirse seguro a la hora de consultar documentos confidenciales desde cualquier lugar. Además las empresas suelen personalizar en formas y colores estos tokens USB, lo que siempre gusta a los que cuidan la imagen corporativa.

Pero estos dispositivos darán la campanada cuando se implante una estructura real de firma electrónica en España. Para una autenticación segura, y que todos podamos sentirnos protegidos a la hora de realizar transacciones online, la firma electrónica es lo que puede acercarse más a la solución ideal. El proyecto de ley de firma Electrónica ya está, desde el pasado Junio de 2003 en el Parlamento. El texto, impulsado por el Ministerio de Ciencia y Tecnología con la colaboración de Administraciones Públicas, Economía, Interior y Justicia, pretende la creación del DNI electrónico y la firma digital para empresas de forma que gocen de la misma validez que en el mundo real. El mundo digital plantea tantos problemas, que la ley ha tenido que ser sometida a un concienzudo estudio, y ha pasado por numerosos borradores. La firma electrónica ya está funcionando en algunos ámbitos económicos, como en la entrega de la declaración de la renta a través de Internet, pero pocos son los que usan los tokens para almacenar su clave privada.

El problema es que una la firma necesita de una infraestructura sólida que acompañe a su uso. Debe ponerse en funcionamiento a través de una complicada estructura global que se base en la criptografía de clave pública, llamada PKI (Public Key Infraestructure, o infraestructura de clave pública). Con este tipo de criptografía, cada sujeto posee dos claves, una privada que debe almacenar en forma de fichero o en uno de los tokens o tarjetas que menciono más arriba, y otra pública a la que todo el mundo tiene acceso. Las claves son complementarias y lo que cifra una sólo puede ser descifrada por la otra. Con este sistema es necesaria la figura de una organización que sirva como repositorio de las claves públicas para que todo el mundo tenga acceso legal y restringido a ellas, pueda validad e invalidarlas, garantizar la seguridad de las mismas… en resumen, una figura que por ahora cumple la Fábrica de Moneda y Timbre, pero de forma tímida e impopular. La introducción de firma y DNI digital en España está en pañales, porque sin duda, su implantación masiva irá desvelando problemas que no se habían contemplado durante su diseño. Por ejemplo será necesario un estándar en el formato de firma, y que todas las empresas capaces de proporcionar un certificado, hagan uso del mismo estándar. Los tokens podrán servir en el futuro como dispositivos estándar que almacenan la clave privada y nos identifican con nuestra firma digital única. Tan sólo tendremos que introducirlos en nuestro sistema, teclear una contraseña especial, y hacer uso desde cualquier ordenador de nuevos sistemas de compra online o disfrutar de una navegación más segura y anónima.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *