El blog de Carlos Díaz-Pache » single sign-on

Entradas etiquetadas: single sign-on

El problema de la autenticación

Acceso

Acceso

Hace poco más de 10 años la gente sólo debía recordar el usuario y la contraseña que le permitían el acceso a su correo electrónico. La aparición de tantos servicios nuevos como los que conforman lo que llamamos la web 2.0 han modificado las necesidades de autenticación de un modo radical. Actualmente un usuario puede tener un par de direcciones de correo electrónico, una cuenta de facebook y otra de twitter o tuenti. Un usuario gestiona por internet sus cuentas bancarias (probablemente en varios bancos), dispone de un blog, compra a través de ebay, amazon y Carrefour (o El Corte Inglés). La música puede descargarla en su iPod a través de iTunes o escucharla en spotify y hasta puede pagar sus impuestos o solicitar ayudas para desempleados por internet. En cada uno de esos lugares le pedirán que se identifique. ¿Quién puede recordar tantos usuarios y tantas contraseñas?

En principio el usuario lo soluciona fácilmente: mismo usuario, misma contraseña para todos los servicios. Esto supone un importante problema: no ofrece las mismas garantías de confidencialidad un gran banco que la última página de vídeos creada por unos amiguetes para enviar contenido simpático. Y cuantos más sitios conocen nuestras credenciales, menos seguro está nuestro dinero. El usuario establece entonces dos claves: la de los sitios tontos y la de los sitios importantes, pero no parece suficiente.

Conscientes del problema, quienes ofrecen los servicios empiezan a poner a su disposición otros medios de autenticarse. Ahora mismo, podríamos decir que los más populares son:

  • Usuario/password: Es el modelo tradicional. Se necesita un nombre de usuario específico para el sitio, con su correspondiente contraseña. A veces hay condiciones específicas para las contraseñas (número mínimo y máximo de caracteres, obligatoriedad de mayúsculas y minúsculas, obligatoriedad de incorporar algún número, etc.)
  • Email/password: Se soluciona el problema de olvidar el usuario. El email, por definición, debe ser único, así que solamente debe recordarse la contraseña.
  • Verificación en dos pasos: Además de validarse mediante usuario y contraseña, una vez accedido al sitio, el sistema envía un SMS al teléfono móvil del usuario con un código que debe informar para certificar su identidad. Es muy popular en entidades financieras y Google está introduciéndolo en algunos de sus servicios. El envío de SMS sustituye a la antigua tarjeta de coordenadas de los bancos.
  • Single Sign-on: Autenticación única para varias aplicaciones. Hay varios modelos, pero resumiendo, o bien se extiende la autenticación en un sitio («Acceder con la cuenta de Facebook» o «Acceder mediante Twitter»), o bien se produce una autenticación independiente como con OpenID.
  • DNI-e / Certificado electrónico: Muy utilizados en la administración pública, garantizan la identidad, permiten la firma digital (jurídicamente equivalente a la manuscrita) y ya empiezan a emplearse en la empresa privada.

Desde luego que no todos los modelos sirven para lo mismo ni son jurídicamente equivalentes, pero los usuarios deben tomar conciencia de la importancia que tiene mantener su identidad salvaguardada. Yo, humildemente, aconsejaría lo siguiente:

  • No duplicar usuario/contraseña: Replica el mismo usuario/contraseña sólo en sitios muy poco importantes: foros de uso esporádico, páginas de publicidad, etc.
  • Cambia la password hoy: Si utilizas muchos productos de Google (gmail, blogger, feedburner, reader, calendar, documents, etc.), como no lo has hecho nunca, cambia la contraseña hoy mismo. Utiliza una password con letras minúsculas, mayúsculas, números y caracteres especiales. Solo es una, y como no la vas a cambiar en mucho tiempo (desoyendo los consejos), dedícale  solamente hoy unos minutos.
  • El número del móvil sólo para quien confíes: No des el número de móvil a páginas en las que no confíes plenamente. La administración pública o los bancos hacen buen uso de él, pero otros pueden empezar a enviarte publicidad (¡y cobrarte por ello!), así que fíjate bien antes de entregar esa información.
  • Cuidado con los gadgets: Utilizamos teléfonos móviles, iPods, iPads, netbooks, portátiles y otros gadgets para conectarnos a internet, y en todos ellos metemos nuestras credenciales para acceder a nuestras páginas favoritas: redes sociales, correos o incluso bancos. Esa información la queremos grabada para mayor comodidad. Llega un momento en el que no sabemos qué información tenemos dónde. Hay que tener controladas las credenciales que residen de forma permanente. En caso de duda, hay que cambiar las contraseñas.
  • Cuidado con las aplicaciones a las que damos acceso: Hay aplicaciones de terceros a los que damos acceso a nuestras cuentas de facebook, twitter o correo. Sucede en los gadgets, pero también en aplicaciones de escritorio (lectores RSS) o en aplicaciones sobre plataformas web (como la granja de facebook). Nuevamente hay que saber a quién le estamos dando permiso y para qué, y sobre todo, informarnos de cómo revocar el permiso.
  • El certificado digital o DNI-e es intransferible: Los trámites firmados digitalmente con tu certificado digital o DNI electrónico son trámites firmados por tí. Sin excusas. Tienes el derecho a utilizarlo y el deber de custodiar tanto la tarjeta física como la clave de acceso. Si permites a otros su utilización eres responsable de las consecuencias.

En definitiva, nuestro mundo cada vez es más digital, y la información de acceso a él cada vez más importante. Usemos el sentido común.

Panorama Theme by Themocracy