This post is also available in: Inglés, Francés, Alemán

¿Qué es la autenticación sin contraseña, y por qué debería importarle?

This post is also available in: Inglés, Francés, Alemán

Las contraseñas son las llaves de la vida digital. Hay pocas cuentas o aplicaciones en líneas a las que se pueda acceder sin contraseña. Por desgracia, los actores maliciosos no tienen que ir muy lejos para descubrir estas claves. Incluso un consumidor listo y que toma las medidas adecuadas para proteger sus contraseñas puede verse comprometido si su proveedor de servicios sufre una violación de datos. 

Por eso la tendencia emergente de autenticación sin contraseña es tan emocionante: se podrá dejar de depender de las contraseñas y eliminar uno de los riesgos más grandes para la seguridad de la cuenta. Aunque llevará tiempo que esta tendencia se generalice, ya hay varias empresas que ofrecen autenticación sin contraseña, lo que significa que es un buen momento para que usted se moje en este tema. He aquí por qué.

¿Desea obtener más información sobre el uso del administrador de contraseñas? 

Consulte nuestros planes personales o comience con una prueba gratuita.

¿Qué es la autenticación sin contraseña?

La autenticación suele implicar uno o más de estos factores:

  • Algo que usted conoce: un secreto como una contraseña o una respuesta a una pregunta de seguridad
  • Algo que usted es: características faciales, huella dactilar u otra forma de identificación biométrica
  • Algo que usted posee: su dispositivo móvil, una herramienta de autenticación o una llave de hardware

Como su nombre indica, la autenticación sin contraseña le permite autenticar su identidad sin usar un secreto compartido. No necesita crear, guardar o administrar contraseñas aun pudiendo iniciar sesión en sus cuentas sin problemas. 

En el mundo físico, un equivalente a la autenticación sin contraseña una tarjeta llave. En lugar de generar números en un teclado numérico, usted simplemente agita la tarjeta para acceder a su lugar de trabajo, al gimnasio o a otra área con acceso restringido. 

Aparte de la biometría y del hardware, algunos métodos de autenticación sin contraseña del mundo digital son:

  • Clave de acceso: un inicio de sesión sin contraseña basado en criptografía de clave pública 
  • Código de acceso por una sola vez: un código de acceso o contraseña que se le envía por mensaje de texto o de correo electrónico 
  • Enlace mágico: un enlace de inicio de sesión que se le envía por correo electrónico a la dirección registrada

¿Cómo funciona la autenticación sin contraseña?

No solo la autenticación sin contraseña no comparte ningún secreto con el sitio web o la aplicación, sino que tampoco los guarda con el proveedor. Esto difiere de las contraseñas, que requieren un intercambio de información para verificar su precisión. 

Como ejemplo, veamos a qué se parece el proceso de autenticación sin contraseña para claves de acceso:

Un autenticador, que suele ser un dispositivo móvil o un administrador de contraseñas que admita autenticación sin contraseña, genera un par de claves criptográficas, una pública y una privada, cuando usted registra su cuenta nueva o habilita claves de acceso a cuentas que las admitan. El proveedor de servicios o sitio web y su autenticador se comunican directamente intercambiando las claves.

La clave pública se envía al servidor del proveedor para que se guarde, pero esta clave no tiene valor para el atacante, igual que el nombre de usuario no lo tiene. 

La clave privada se mantiene secreta y se guarda solo en su autenticador. Cuando intenta iniciar sesión, el servidor envía un desafío al autenticador (algunos datos aleatorios para demostrar que usted es quien inicia sesión). La clave privada resuelve el desafío y envía la respuesta de vuelta; principalmente «firmando» esos datos con la clave privada. 

Las claves están relacionadas matemáticamente, lo que significa que, cuando los datos firmados vuelven al servidor, este puede verificarlos con la clave pública; pero no necesita saber cuál es la clave para validarlos.

Gráfico que demuestra el funcionamiento del registro de claves de acceso: un servidor de un sitio web carga una página de registro, un navegador crea una clave de acceso y un autenticador lo autentica. Se crean una clave pública y una privada, la privada se guarda con el autenticador y la pública se envía al servidor del sitio web, que la guarda. El gráfico también demuestra cómo funciona el inicio de sesión: un servidor de un sitio web envía un reto a un navegador, que envía un reto a un autenticador, que firma el reto usando una clave privada. Luego regresa el reto firmado al servidor del sitio web, que verifica el reto usando la clave pública almacenada.

¿Por qué la autenticación sin contraseña es más segura?

La autenticación sin contraseña resuelve muchas de las debilidades de las que adolecen las contraseñas y que los ciberdelincuentes tratan de aprovechar. He aquí algunas de las mayores:

  • Relleno de credenciales: los hackers usan claves de inicio de sesión débiles o robadas para acceder a otros sitios web. mientras que con la autenticación sin contraseña no pueden hacer lo propio.
  • Phishing e ingeniería social: en caso de claves de acceso, los actores maliciosos no pueden engañarle para use las claves de un sitio en uno parecido o fraudulento porque las claves de acceso son únicas para la aplicación o el sitio web para el que fueron creadas.
  • Credenciales robadas: como la autenticación sin contraseña no se guarda con el proveedor de servicios, los ciberdelincuentes no pueden robar esos inicios de sesión hackeando el servidor o la base de datos del proveedor.
  • Contraseñas débiles o reutilizadas: uno de los mayores retos de las contraseñas es una mala higiene: muchas personas reutilizan sus contraseñas o crean contraseñas que son fáciles de recordar, y los hackers no tardan en romperlas.

Ningún método de seguridad es infalible, pero la autenticación sin contraseña está varios pasos por encima de las contraseñas a la hora de mantener la información segura. Es seguro decir que la autenticación sin contraseña es el camino del futuro y que el futuro finalmente ya ha llegado. Por eso Dashlane lanzó recientemente compatibilidad con claves de acceso integradas. 

Con Dashlane puede iniciar sesión en cualquier sitio web de forma automática, tanto si ha adoptado la autenticación sin contraseña o si aún se fía de las contraseñas.

Más información sobre la emocionante característica de compatibilidad con claves de acceso de Dashlane.