EDICIóN GENERAL

¿Harto de las contraseñas? La carrera para desterrarlas de Internet está a punto de terminar

Y dale... parece que la industria sigue sin aprender.
Los sistemas biométricos NO SON UNA CONTRASEÑA.

Pregunta... En un sistema de autenticación, ¿Qué es algo que es único en tí y que no puedes cambiar? Un ID de usuario.
Eso es lo que son los sistemas biométricos, un ID de usuario, sólo un nombre. No es una contraseña.
La policía lo sabe muy bien y por eso las fotos de cara y las huellas dactilares son identificadores de usuario para reconocer a las personas. Usarlo como contraseña esta mal.

Ahora pensad que cada vez que vais a un bar y cogeis un vaso, estáis plasmando vuestras huellas dactilares en dicho vaso. ¿Os imagináis si cada vez que fueseis a un bar cogieseis servilletas al azar y escribieseis vuestra contraseña? pues es básicamente lo que estáis haciendo cuando sois usuarios de un sistema biométrico como desbloquear el móvil con la huella.

Una contraseña debería ser algo que puedas cambiar a placer por seguridad, que sólo debas conocer o poseer tú y que nadie más pudiese obtener de manera sencilla.

El problema es que los humanos somos malísimos al recordar contraseñas, sobre todo las contraseñas seguras y no predecibles como "V%49*?peVYfn894D". Sumado a que deberían ser únicas para cada servicio, nos deja únicamente con la opción de guardarlas en algun sitio. Un bloc de notas es bastante mala idea, además de lo lento que sería usarlo y el posible error humano de anotar algo mál o no entenderlo así que debería ser algo digital.

Mi propuesta personal pasaría por usar certificados individuales generados por una entidad de confianza que estén en un pincho USB desbloqueable con una contraseña maestra y que al pincharlo en un equipo te permita loguearte en cualquier servicio.
Cada certificado/contraseña estaría aislado en su propio espacio para cada servicio (ningun servicio podría consultar los de otros).
Cuando un servicio quiere conectarse, tu le dices que usuario eres y automaticamente iria al pincho a buscar para ese usuario para ese servicio dicha contraseña. Para mayor proteccion, podría pedirte desbloquearlo con tu contraseña maestra (la que usarias para loguear en los servicios y para generar nuevas contraseñas).

Para poder usurparte, necesitarían robarte el pincho y saber tu contraseña maestra. Y en el caso de que lo pierdas todos los certificados al ser generados por una entidad de confianza, podrían ser revocados al instante.

Tendrías que regenerarte los certificados/contraseñas individualmente de nuevo para cualquier servicio, pero no tendrías que "cambiar" las passwords de los servicios que te registraste en el pasado y ya no usas porque tus certificados antiguos ya no valen para nada.

¿Qué os parece?
#19 Tengo una serie de folios donde anoto las contraseñas y sus cambios, que hago cada cierto tiempo. Nada virtual ni digital. Que entran en casa a robar, ya pueden ir mirando papel por papel para encontrar esos folios en concreto, buena suerte, porque el estudio está ATIBORRADO de libros, carpetas, folios, etc.

Con respecto a lo de la cara... ya me veo haciéndome una máscara de papel/cartón que pueda llevar doblada con una cara inventada para usarla de contraseña, dar mi bella carita por la cara (chiste no pensado) no creo que lo haga. Ya buscaré alguna manera cuando llegue el caso de que me "obliguen"; como he dicho máscara de papel cartón con cara inventada o similar. Ya me las ingeniaré.
#19 Un bloc de notas es bastante mala idea

Por eso que hay programas específicos que lo hacen mucho mejor y de forma bastante segura.
#29 Ese ejemplo era para ilustrar la necesidad de usar algun software de gestión de contraseñas, aunque siempre habrá gente que guarde sus passwords en post-its en el monitor :-P

menéame