Llegan inicios de sesión sin contraseña.  ¿Son seguros?  ¿Cómo funcionan los inicios de sesión sin contraseña?  Esto es lo que necesitas saber.

¿Qué son los inicios de sesión sin contraseña? ¿Son realmente seguros?

Anuncio Las contraseñas son vitales para su seguridad en Internet. Pero con tantos servicios, tanto en línea como fuera de línea, es difícil hacer un seguimiento de sus contraseñas. Los sistemas de inicio de sesión sin contraseña están comenzando a despegar, eliminando el requisito de ingresar una contraseña cada vez que inicia sesión en un servicio. Pero si

Anuncio

Las contraseñas son vitales para su seguridad en Internet. Pero con tantos servicios, tanto en línea como fuera de línea, es difícil hacer un seguimiento de sus contraseñas. Los sistemas de inicio de sesión sin contraseña están comenzando a despegar, eliminando el requisito de ingresar una contraseña cada vez que inicia sesión en un servicio.

Pero si no está utilizando una contraseña, ¿cómo protege su cuenta? ¿Qué son los inicios de sesión sin contraseña y son seguros?

¿Qué es un inicio de sesión sin contraseña?

Los inicios de sesión sin contraseña son sistemas de autenticación que utilizan alternativas a una contraseña para permitir el acceso a su cuenta. Por ejemplo, en lugar de una contraseña, recibe una notificación por correo electrónico que actúa como un token de inicio de sesión. Alternativamente, puede recibir una ventana emergente en su teléfono inteligente que le permite controlar el acceso a una cuenta.

En ese sentido, el inicio de sesión sin contraseña a menudo utiliza una forma de autenticación preexistente para garantizar su identidad.

Es posible que ya haya encontrado inicios de sesión sin contraseña utilizando su cuenta de Gmail. En lugar de tener que ingresar su contraseña cada vez que inicia sesión, Google puede enviar un mensaje directamente a su teléfono. El mensaje muestra la hora y la ubicación del intento de inicio de sesión, con la opción de aprobar o denegar el inicio de sesión.

¿Cómo funciona un inicio de sesión sin contraseña?

Cuando inicia sesión en un sitio web, debe proporcionar una contraseña para desbloquear su cuenta. La contraseña solo la conoce usted y el sitio, lo que mantiene segura su cuenta. Confía en que el sitio mantendrá su contraseña segura, la almacenará de forma segura y que el sitio en sí no es vulnerable.

Además, definitivamente ya utiliza contraseñas seguras y únicas para cada sitio y servicio, porque esa es la práctica más segura.

Sin embargo, es lo último lo que se ha vuelto difícil. La creación de una contraseña segura de un solo uso para cada sitio ha visto a los usuarios crear contraseñas fácilmente memorables pero terribles. E incluso si crea una contraseña segura, un vistazo al número de violaciones de datos cada mes podría socavar sus esfuerzos.

Con la autenticación sin contraseña, no tiene que confiar en el sitio web con una contraseña. En lugar de ingresar una contraseña cada vez, los inicios de sesión sin contraseña utilizan algunos métodos de autenticación diferentes.

Autenticación sin contraseña basada en correo electrónico

Desbloqueo de dos factores de Google

El sistema de inicio de sesión sin contraseña más común es actualmente por correo electrónico. Muchos usuarios encontrarán el inicio de sesión sin contraseña basado en correo electrónico como el sistema más familiar, que funciona de manera similar a un restablecimiento de contraseña.

Cuando intenta iniciar sesión, proporciona una dirección de correo electrónico. El servicio envía un correo electrónico seguro a la dirección asociada con la cuenta, y el correo electrónico contiene un enlace mágico seguro de un solo uso para ingresar a su cuenta de servicio. El enlace mágico incluye un token de inicio de sesión único que el servicio verifica, intercambiándolo por un token de validación de larga duración.

Hay otras variantes en el sistema de correo electrónico. Por ejemplo, en el caso de una cuenta existente, el servicio puede enviar al usuario un código de clave DKIM de un solo uso vinculado a los detalles de su cuenta. El usuario recibe el código DKIM y lo ingresa en el sitio. El sitio verifica el código con los detalles del usuario existente y completa el proceso de inicio de sesión.

Inicio de sesión sin contraseña basado en SMS

En este caso, el usuario ingresa un número de teléfono válido. El servicio envía un código de un solo uso al número de teléfono. El usuario puede iniciar sesión en el servicio. Alternativamente, algunos servicios ofrecen "robo-call" al usuario, donde un servicio de texto a voz leerá el código directamente.

Sin embargo, la seguridad de los SMS está bajo escrutinio. La gran mayoría de nosotros tiene poco de qué preocuparse. Pero varias personas de alto valor (especialmente aquellas con grandes volúmenes de criptomonedas) sufrieron ataques de piratería de SMS. Comprueba con precisión qué es un ataque de intercambio de simulación y cómo te proteges contra él. ¿Qué es el intercambio de tarjeta SIM? 5 consejos para protegerse de esta estafa ¿Qué es el intercambio de tarjetas SIM? 5 consejos para protegerse de esta estafa Con el aumento en el acceso a la cuenta móvil y 2FA por seguridad, el intercambio de tarjetas SIM es un riesgo de seguridad creciente. Aquí se explica cómo detenerlo. Lee mas .

Inicio de sesión sin contraseña basado en biometría

Algunos métodos de inicio de sesión sin contraseña utilizan servicios de escaneo biométrico para autenticar su identidad. Los servicios de autenticación biométrica se presentan en más dispositivos que nunca. (¿Debería cambiar a un servicio biométrico para su teléfono inteligente?)

La idea es que cuando desee acceder a un sitio, aparezca un mensaje en su teléfono inteligente. Desbloquea el teléfono inteligente usando su sistema biométrico preferido, y el desbloqueo actúa como verificación de su identidad.

Sin embargo, aparte del Face ID de Apple (para dispositivos incluidos y fabricados después del iPhone X, iPad Pro de tercera generación y iPod Touch de séptima generación), el escaneo biométrico de dispositivos móviles no es completamente seguro.

El hardware de escaneo de rostros de otros fabricantes no es tan avanzado y se engaña con una fotografía, mientras que se necesita una cabeza impresa y pintada en 3D para engañar a Face ID de Apple. En otros casos, los escáneres de huellas digitales permiten un reconocimiento parcial. ¡Piensa otra vez! Aquí hay 5 formas en que los escáneres de huellas digitales pueden ser pirateados. Leer más para desbloquear un dispositivo.

En la actualidad, un sistema de inicio de sesión biométrico sin contraseña probablemente no sea la mejor opción. En el futuro, sin embargo, podría convertirse en la mejor opción.

Clave física sin contraseña

Las claves de seguridad física ofrecen otra opción de autenticación de inicio de sesión sin contraseña. Una clave de seguridad física es una clave de seguridad USB especial. Cuando desee acceder a su cuenta, conecte su clave de seguridad a su computadora. El servicio en línea valida su cuenta a través de la clave de seguridad, eliminando la necesidad de una contraseña.

Los principales ejemplos de una clave de seguridad física incluyen la serie Titan de Google y la serie Yubikey de Yubico.

¿Son los inicios de sesión sin contraseña como la autenticación de dos factores?

Si y no.

Sí, un inicio de sesión sin contraseña es similar a la autenticación de dos factores (2FA) en el sentido de que accede a su cuenta utilizando un método de autenticación alternativo. 2FA funciona asegurando su cuenta usando dos factores separados, generalmente una contraseña y un dispositivo separado.

No, no es lo mismo porque, aunque está utilizando un dispositivo separado para autenticar su cuenta, sigue siendo solo un factor.

¿Es más seguro un inicio de sesión sin contraseña?

Todo lo que impide que los usuarios creen contraseñas terribles es bueno, ¿verdad? Los inicios de sesión sin contraseña eliminan otro punto de falla del usuario final. En este momento, los inicios de sesión sin contraseña no están muy extendidos. Varios servicios importantes los están utilizando, como Gmail (como se mencionó anteriormente) y Slack Magic Links.

Lo más positivo para los propietarios y moderadores de sitios web es la repentina falta de tener que lidiar con las contraseñas de los usuarios. Las contraseñas sin cifrar almacenadas en un archivo de texto sin formato son cosas de pesadillas; Es el sueño de un hacker. Los usuarios que rara vez acceden a un servicio tampoco tendrían que pasar por el rigmarole "restablecer su contraseña".

Los inicios de sesión sin contraseña también podrían ayudar a los usuarios a iniciar sesión en el servicio rápidamente. Por el contrario, si sale regularmente del servicio, tener que volver a autorizar por correo electrónico o SMS puede ser irritante, dependiendo del período de tiempo.

Por ahora, use un administrador de contraseñas

Los inicios de sesión sin contraseña tardarán en convertirse en la corriente principal. Sin embargo, la pelota está rodando. La mayoría de los principales navegadores (todos excepto Safari) admiten el inicio de sesión sin contraseña de un tipo u otro. En febrero de 2019, Google también anunció que los dispositivos que ejecutan Android 7 (que es Android Nougat) o posterior también recibirían soporte de inicio de sesión sin contraseña.

Eso significa soporte de inicio de sesión sin contraseña para casi el 50 por ciento de todos los dispositivos Android. Y los estándares de inicio de sesión sin contraseña como FIDO2 y WebAuthn continuarán recibiendo actualizaciones, asegurando aún más el método de autenticación.

Al momento de escribir, aún necesita una contraseña. Necesita una contraseña segura de un solo uso. Teniendo esto en cuenta, ¿por qué no considerar el uso de un administrador de contraseñas? Los mejores administradores de contraseñas para cada ocasión Los mejores administradores de contraseñas para cada ocasión. ¡Es hora de confiar en uno de estos administradores de contraseñas gratuitos o de pago! Lee mas ?

Explore más sobre: ​​Seguridad en línea, Contraseña.