La clave para facilitar y asegurar la creación y conversión de cuentas

Existe una alta probabilidad de que, dentro de unos años, el lanzamiento de las claves de acceso de Apple como parte de iOS 16 sea recordado como el comienzo de un cambio revolucionario en la forma en que las empresas implementan el acceso a sus productos. ¿Ofrecen tres formas diferentes de iniciar sesión con otra empresa? ¿O más bien ninguno debido a problemas de privacidad y propiedad de los datos? ¿Permitir el pago de invitados para no perder usuarios debido a requisitos de contraseña atroces en los últimos metros? Estas preocupaciones disminuirán una vez que los consumidores se familiaricen con las claves de paso.

Las claves de acceso están respaldadas por un cifrado fuerte, se almacenan de forma segura en los dispositivos del usuario y están protegidas por datos biométricos. Las claves de acceso se basan en estándares web abiertos y no requieren integración con terceros. Las empresas pueden reducir su exposición a las filtraciones de datos mientras se preparan para un futuro sin cookies con claves de acceso que se pueden adoptar hoy.

La necesidad de cuentas y los desafíos de ofrecerlas

Hacer que los visitantes del sitio web y los usuarios de la aplicación se conviertan en titulares de cuentas es una apuesta para muchas empresas. Desde ofrecer contenido solo para suscriptores, hasta verificar la membresía de un visitante de un grupo en particular, hasta simplemente almacenar información personal con la creación de cuentas, permite experiencias más personalizadas y simplificadas.

La mayoría de las empresas abordan este problema invitando a los consumidores a crear una cuenta estableciendo una contraseña, recibiendo un mensaje con un enlace o código, o utilizando una cuenta existente con otra empresa como Google, Apple o Facebook.

Ninguna de estas opciones está libre de preocupaciones. Ofrecer cuentas basadas en contraseña es una tarea muy grande en el panorama de amenazas actual. La ingeniería social, la reutilización de credenciales ya comprometidas y los ataques de intercambio de SIM son solo algunos ejemplos que requieren sistemas y procesos para poder informar inicios de sesión sospechosos. Todo esto se suma a la advertencia a los usuarios de contraseñas comprometidas, el bloqueo de ataques automáticos, la notificación de cambios de cuenta, la detección y el cierre de portales de inicio de sesión falsificados y la protección de grandes cantidades de contraseñas. Los mecanismos de acceso basados ​​en mensajes como el “enlace mágico” también comparten muchos de estos problemas.

Hay mucho en juego para cualquiera que decida construir la autenticación desde cero, una empresa propensa a errores. Por este motivo, sería mejor que la mayoría de las pequeñas y medianas empresas utilizaran un proveedor de identidad externo para agregar cuentas de usuario. Con esta opción, el desafío adicional es equilibrar los costos, especialmente cuando se escala rápidamente, sin mencionar los problemas de bloqueo de proveedores una vez que se alcanza un límite con la solución elegida.

El inicio de sesión federado, también conocido como inicio de sesión “social”, tiene como objetivo eliminar la necesidad de administrar otra contraseña, tanto desde la perspectiva del consumidor como de la empresa, al verificar identidades. Sin embargo, en respuesta a eventos como el escándalo de Cambridge Analytica, mantener estas integraciones de terceros se ha vuelto cada vez más oneroso.

Las actividades regulares, como monitorear el uso de datos de Facebook, los nuevos requisitos de Apple para la administración de cuentas y otras tareas de monitoreo, toman mucho tiempo. Las leyes de protección de datos como GDPR y CCPA introducen nuevas incertidumbres, incluidos temas como las transferencias de datos entre regiones. Las especificaciones y garantías de seguridad exactas en su mayoría no están disponibles y no se pueden explicar a una autoridad reguladora o aseguradora cibernética. En general, la adopción y aceptación de inicios de sesión sociales ya parece estar en declive.

La esperanza que viene con las claves de acceso

Las claves de acceso se diseñaron intencionalmente para superar las debilidades comúnmente conocidas en las contraseñas. El phishing se abordó desde cero no solo reemplazando las contraseñas con claves criptográficas, sino limitando estrictamente en qué contexto (dominio de la página web, aplicación específica) se puede usar una clave de acceso. El servidor que utiliza la autenticación nunca ve las claves privadas confidenciales del usuario y, como tal, es un objetivo mucho menos atractivo para los piratas informáticos. Además, los usuarios no tienen acceso directo a sus claves privadas, sino que solo pueden desbloquearlas durante la autenticación mediante datos biométricos o la contraseña del dispositivo.

Si estas medidas de seguridad durarán y cómo durarán solo se puede probar con el tiempo y sería ingenuo suponer que las claves de acceso no son pirateables. Sin embargo, es seguro asumir que el esfuerzo de varios años de la Alianza FIDO, el W3C y socios como Apple, Google y Microsoft ha dado como resultado uno de los sistemas más seguros disponibles. Las claves de acceso harán que las actualizaciones periódicas del navegador sean aún más importantes, y se eliminará la capacidad de robar grandes cantidades de credenciales de sitios web basados ​​en la nube o administradores de contraseñas.

Sin embargo, la mejor parte de las claves de acceso en realidad puede ser la experiencia optimizada que obtienen los consumidores cuando se registran o usan una cuenta de clave de acceso. Crear una nueva cuenta o iniciar sesión en segundos es lo normal cuando se usan claves de acceso, pero no sucede cuando se trata de contraseñas. Las molestias adicionales, como las rotaciones periódicas de contraseñas, ya no son un problema cuando se usan claves de paso.

Si bien puede ser demasiado pronto para saberlo con seguridad, las claves de acceso también tienen el potencial de hacer obsoleta la autenticación multifactor (MFA). Las claves de acceso ofrecen el mismo o incluso mayor nivel de seguridad que mecanismos como una contraseña integrada con un mensaje de texto como segundo factor. Las empresas que implementan la clave de acceso pueden ver beneficios significativos al cumplir con los requisitos de cumplimiento y seguridad, que en el caso de las primas de seguros cibernéticos se traducen directamente en beneficios financieros.

Las claves de acceso están disponibles en el mundo real hoy

En KAYAK, comenzamos a ofrecer claves de acceso como la opción predeterminada para crear una nueva cuenta con un dispositivo Apple compatible justo después del lanzamiento de iOS 16. Los usuarios existentes pueden agregar una clave de acceso a sus cuentas. En solo tres semanas, miles de usuarios crearon claves de acceso para nuestros productos. Curiosamente, casi el 20 % son usuarios existentes que han activado manualmente una cuenta más segura. Los comentarios que hemos recibido han sido abrumadoramente positivos (los tweets de elogio no son comunes para las nuevas funciones de inicio de sesión), y la facilidad de uso es uno de los principales beneficios mencionados.

Los consumidores que aún no pueden usar claves de acceso volverán a un inicio de sesión de “enlace mágico” y esperamos que la proporción de inicios de sesión sin clave de acceso disminuya con el tiempo hasta que las claves de acceso sean el inicio de sesión dominante por un amplio margen.

La importancia de planificar hoy el futuro de la autenticación

Con Apple, Google y Microsoft profundamente comprometidos con las claves de acceso, no hay duda de que las claves de acceso pronto estarán disponibles para millones de usuarios. El soporte de clave de acceso es deseable para cualquier organización que ofrezca cuentas.

Sin embargo, es importante comprender primero cómo funcionan correctamente las claves de acceso al planificar una implementación para evitar problemas en el futuro. Siempre habrá un grupo de usuarios que no podrán utilizar las claves de acceso porque sus dispositivos son demasiado antiguos o no incluyen un chip de seguridad compatible o características biométricas. Por lo tanto, es importante ofrecer al menos un método de autenticación de respaldo, posiblemente menos seguro, que finalmente esté disponible solo para los usuarios que no pueden usar claves de acceso.

En segundo lugar, es importante comprender que solo se puede acceder a las claves de acceso desde el dominio o la aplicación móvil en la que se crearon. Esto puede causar problemas cuando la dirección de la página web cambia más adelante, es decir, al cambiar a otro proveedor de identidad o al cambiar de dominio durante un cambio de marca. Permitir que los usuarios continúen usando las claves de acceso existentes en tal escenario no es imposible, pero sí muy desafiante.

En tercer lugar, debe reconocerse que estamos en los comienzos del uso de claves de paso. Es posible que aún no se admitan todos los casos de uso, no sabemos cuándo se alcanzarán ciertos niveles de adopción. Además, las autoridades reguladoras y otros organismos de certificación deberán confirmar preguntas como la coincidencia instantánea de seguridad de múltiples factores.

Matthias Keller es científico jefe y vicepresidente sénior de tecnología de KAYAK.