DICYT/TECNOLOGÍA

Se acabaron los líos con las contraseñas

Se acabaron los líos con las contraseñas

Seguridad en la red basada en datos, no en contraseñas. Así es el proyecto ReCRED

¿Quién no tiene cuentas en la red y se enfrenta a diario al reto de tener que guardar y recordar una plétora de nombres de usuario y contraseñas? Un equipo internacional de investigadores ha dado a conocer una nueva plataforma segura de autentificación para dispositivos móviles que vincula todas las cuentas en línea con la identidad del usuario, dejando que el teléfono móvil se encargue de su gestión.

La mayoría de los dispositivos móviles están vinculados con cientos de cuentas y aplicaciones, que presentan todo tipo de configuraciones de seguridad, identidades y contraseñas. El proyecto ReCRED, financiado por la Unión Europea, ha desarrollado soluciones avanzadas de software para abordar el problema de la sobrecarga de contraseñas a fin de que podamos acceder de forma segura a nuestras cuentas sin tener que recordar múltiples contraseñas.

Una única contraseña que memorizar

ReCRED deja atrás la era de las contraseñas al desarrollar un sistema de acceso avanzado, seguro y flexible. «La adopción de la arquitectura de autentificación basada en el dispositivo es clave para eliminar las contraseñas como el método principal de autentificación en la web», señala el coordinador del proyecto, Christos Xenakis de la Universidad del Pireo (Grecia).

Este método mejora la seguridad del usuario final en internet al emplear el móvil como un intermediario o «proxy» de autorización. «La autentificación y la autorización se simplifican al realizarse por medio del uso combinado de un pin corto, información biométrica (por ejemplo la voz, huellas dactilares o la firma) y credenciales anónimas (por ejemplo, un pseudónimo)», afirma Rubén Cuevas, investigador de la Universidad Carlos III de Madrid (UC3M), una de las entidades que han contribuido al proyecto.

Identidad del usuario y administración de la cuenta

La mayoría de los usuarios de internet están registrados en muchos servicios en línea, como proveedores de correo electrónico, redes sociales, banca electrónica o aplicaciones corporativas. Esto dificulta la tarea de identificar que existe una propiedad conjunta de servicios asociada a un solo usuario.

ReCRED proporciona un acceso seguro a estos servicios además de hacer posible la administración de cuentas desde un único dispositivo, independientemente del método de autentificación empleado en cada servicio. El módulo de adquisición de identidad en línea desarrollado se encarga de vincular horizontalmente las identidades del usuario que están fragmentadas en la red. El servicio permite al usuario otorgar autorización explícita a ReCRED para acceder a la información de cada cuenta en línea que posee.

Los investigadores han creado, además, un módulo de adquisición de identidad física para aquellos servicios que requieren un mayor nivel de garantía de atributos. Este servicio verifica todos los atributos de identidad incluidos en la identidad física del usuario, como por ejemplo su número de pasaporte o documento de identidad, número de cuenta bancaria, su foto, etc.

Con todos estos servicios ReCRED mejora la garantía de identidad y refuerza el vínculo entre identidades físicas y virtuales. «Los usuarios finales pueden ahora corroborar que son propietarios de diferentes cuentas partiendo de distintos proveedores de identidad, vincularlas entre sí y consolidar sus atributos de identidad», afirma Christos Xenakis.

Seguridad basada en datos, no en contraseñas

Un supuesto típico que ejemplifica todo lo relacionado con la gestión de la identidad de los usuarios en la red se asocia con la diversidad de servicios que requieren que los usuarios finales inicien sesión para tener acceso.

Ante este supuesto habitual, ReCRED apuesta por la seguridad basada en datos. Los investigadores han logrado que características únicas del usuario como la edad, la nacionalidad o la ocupación puedan servir para acceder a datos, recursos o servicios. «Priorizamos una autentificación que requiera utilizar solo datos esenciales que actúan como credenciales anónimas. No es necesario verificar el correo electrónico, por ejemplo, ya que éste revelaría la identidad del usuario», explica Antonio Fernández Anta, investigador de IMDEA Networks Institute, colaborador de la UC3M en ReCRED.

Duplicar la seguridad reforzando el dispositivo móvil

El dispositivo que se convierte en la principal puerta de enlace de autentificación presenta sus propios problemas de seguridad. Éste puede convertirse en un punto único de fallo en caso de pérdida o daño, o ser vulnerable a ser pirateado tras la autentificación del usuario.

ReCRED (From Real-world Identities to Privacy-preserving and Attribute-based CREDentials for Device-centric Access Control, H2020 Grant Agreement 653417) ha evitado estos problemas creando medidas de seguridad adicionales con capacidades de bloqueo y recuperación. En particular, los investigadores han aprovechado una entidad llamada Consolidador de Identidad (IDC, por sus siglas en inglés) así como firmas comportamentales y fisiológicas del usuario y protocolos de seguridad basados en tarjetas SIM para verificar la identidad del usuario. El IDC permite la consolidación y la gestión de identidades, al tiempo que favorece la recuperación eficiente ante fallos. «En caso de que un usuario pierda su dispositivo, puede recuperar el acceso a los servicios al proporcionar una autentificación de dos factores, como atributos personales escaneados a partir de características físicas o datos biométricos conductuales», señala Xenakis.

La eliminación de la necesidad de emplear contraseñas diferentes hará que los servicios basados en internet sean más seguros y fáciles de usar. Además de los usuarios finales, otros beneficiarios de esta nueva plataforma abierta serán los operadores de telecomunicaciones, las empresas de alojamiento web y los fabricantes de dispositivos móviles.

Comentarios
Lo más