Un proyecto europeo ha dado con la fórmula que hará innecesario el uso de contraseñas para acceder a los numerosos servicios que usamos a través de internet, desde el correo electrónico a la gestión de cuentas bancarias o uso de las redes sociales.
La fórmula consiste en usar el móvil como factor de seguridad: una plataforma de autentificación para dispositivos móviles vincula todas las cuentas en línea con la identidad del usuario, dejando que el teléfono móvil se encargue de su gestión.
“La autentificación y la autorización se simplifican al realizarse por medio del uso combinado de un pin corto, información biométrica (por ejemplo la voz, huellas dactilares o la firma) y credenciales anónimas (por ejemplo, un pseudónimo)”, explica Rubén Cuevas, investigador de la Universidad Carlos III de Madrid (UC3M), una de las entidades que han contribuido al proyecto.
El proyecto, denominado ReCRED, deja atrás la era de las contraseñas al desarrollar un sistema de acceso avanzado, seguro y flexible. «La adopción de la arquitectura de autentificación basada en el dispositivo es clave para eliminar las contraseñas como el método principal de autentificación en la web», añade el coordinador del proyecto, Christos Xenakis, de la Universidad del Pireo (Grecia).
ReCRED proporciona acceso seguro a los servicios, además de hacer posible la administración de cuentas desde un único dispositivo, independientemente del método de autentificación empleado en cada servicio.
Identidad en línea
El sistema funciona mediante un módulo de adquisición de identidad en línea que se encarga de vincular horizontalmente las identidades del usuario que están fragmentadas en la red. El servicio permite al usuario otorgar autorización explícita a ReCRED para acceder a la información de cada cuenta en línea que posee.
Los investigadores han creado, además, un módulo de adquisición de identidad física para aquellos servicios que requieren un mayor nivel de garantía de atributos. Este servicio verifica todos los atributos de identidad incluidos en la identidad física del usuario, como por ejemplo su número de pasaporte o documento de identidad, número de cuenta bancaria, su foto, etc.
Con todos estos servicios, ReCRED mejora la garantía de identidad y refuerza el vínculo entre identidades físicas y virtuales. «Los usuarios finales pueden ahora corroborar que son propietarios de diferentes cuentas partiendo de distintos proveedores de identidad, vincularlas entre sí y consolidar sus atributos de identidad», añade Christos Xenakis.
El sistema sustituye la seguridad basada en contraseñas por la seguridad basada en datos. Este proyecto conseguido que características únicas del usuario como la edad, la nacionalidad o la ocupación puedan servir para acceder a datos, recursos o servicios.
“Priorizamos una autentificación que requiera utilizar solo datos esenciales que actúan como credenciales anónimas. No es necesario verificar el correo electrónico, por ejemplo, ya que éste revelaría la identidad del usuario», explica Antonio Fernández Anta, investigador de IMDEA Networks Institute, colaborador de la UC3M en ReCRED.
La fórmula consiste en usar el móvil como factor de seguridad: una plataforma de autentificación para dispositivos móviles vincula todas las cuentas en línea con la identidad del usuario, dejando que el teléfono móvil se encargue de su gestión.
“La autentificación y la autorización se simplifican al realizarse por medio del uso combinado de un pin corto, información biométrica (por ejemplo la voz, huellas dactilares o la firma) y credenciales anónimas (por ejemplo, un pseudónimo)”, explica Rubén Cuevas, investigador de la Universidad Carlos III de Madrid (UC3M), una de las entidades que han contribuido al proyecto.
El proyecto, denominado ReCRED, deja atrás la era de las contraseñas al desarrollar un sistema de acceso avanzado, seguro y flexible. «La adopción de la arquitectura de autentificación basada en el dispositivo es clave para eliminar las contraseñas como el método principal de autentificación en la web», añade el coordinador del proyecto, Christos Xenakis, de la Universidad del Pireo (Grecia).
ReCRED proporciona acceso seguro a los servicios, además de hacer posible la administración de cuentas desde un único dispositivo, independientemente del método de autentificación empleado en cada servicio.
Identidad en línea
El sistema funciona mediante un módulo de adquisición de identidad en línea que se encarga de vincular horizontalmente las identidades del usuario que están fragmentadas en la red. El servicio permite al usuario otorgar autorización explícita a ReCRED para acceder a la información de cada cuenta en línea que posee.
Los investigadores han creado, además, un módulo de adquisición de identidad física para aquellos servicios que requieren un mayor nivel de garantía de atributos. Este servicio verifica todos los atributos de identidad incluidos en la identidad física del usuario, como por ejemplo su número de pasaporte o documento de identidad, número de cuenta bancaria, su foto, etc.
Con todos estos servicios, ReCRED mejora la garantía de identidad y refuerza el vínculo entre identidades físicas y virtuales. «Los usuarios finales pueden ahora corroborar que son propietarios de diferentes cuentas partiendo de distintos proveedores de identidad, vincularlas entre sí y consolidar sus atributos de identidad», añade Christos Xenakis.
El sistema sustituye la seguridad basada en contraseñas por la seguridad basada en datos. Este proyecto conseguido que características únicas del usuario como la edad, la nacionalidad o la ocupación puedan servir para acceder a datos, recursos o servicios.
“Priorizamos una autentificación que requiera utilizar solo datos esenciales que actúan como credenciales anónimas. No es necesario verificar el correo electrónico, por ejemplo, ya que éste revelaría la identidad del usuario», explica Antonio Fernández Anta, investigador de IMDEA Networks Institute, colaborador de la UC3M en ReCRED.
Vulnerabilidad acotada
El sistema tiene en cuenta también la vulnerabilidad propia de los dispositivos móviles, ya que están expuestos a sabotajes informáticos y a algo mucho más frecuente: pérdida o daño.
Para estos supuestos, el sistema ha desarrollado medidas de seguridad adicionales, con capacidades de bloqueo y recuperación: consolidadores de identidad (IDC), firmas comportamentales y fisiológicas, así como protocolos de seguridad basados en las tarjetas SIM de los móviles para verificar la identidad del usuario.
El IDC permite la consolidación y la gestión de identidades, al tiempo que favorece la recuperación eficiente ante fallos. «En caso de que un usuario pierda su dispositivo, puede recuperar el acceso a los servicios al proporcionar una autentificación de dos factores, como atributos personales escaneados a partir de características físicas o datos biométricos conductuales», señala Xenakis.
La eliminación de la necesidad de emplear contraseñas diferentes hará que los servicios basados en internet sean más seguros y fáciles de usar. Además de los usuarios finales, otros beneficiarios de esta nueva plataforma abierta serán los operadores de telecomunicaciones, las empresas de alojamiento web y los fabricantes de dispositivos móviles.
El sistema tiene en cuenta también la vulnerabilidad propia de los dispositivos móviles, ya que están expuestos a sabotajes informáticos y a algo mucho más frecuente: pérdida o daño.
Para estos supuestos, el sistema ha desarrollado medidas de seguridad adicionales, con capacidades de bloqueo y recuperación: consolidadores de identidad (IDC), firmas comportamentales y fisiológicas, así como protocolos de seguridad basados en las tarjetas SIM de los móviles para verificar la identidad del usuario.
El IDC permite la consolidación y la gestión de identidades, al tiempo que favorece la recuperación eficiente ante fallos. «En caso de que un usuario pierda su dispositivo, puede recuperar el acceso a los servicios al proporcionar una autentificación de dos factores, como atributos personales escaneados a partir de características físicas o datos biométricos conductuales», señala Xenakis.
La eliminación de la necesidad de emplear contraseñas diferentes hará que los servicios basados en internet sean más seguros y fáciles de usar. Además de los usuarios finales, otros beneficiarios de esta nueva plataforma abierta serán los operadores de telecomunicaciones, las empresas de alojamiento web y los fabricantes de dispositivos móviles.