¿Qué es sin contraseña (passwordless)?
En lenguaje común, “sin contraseña” es la abreviatura de “autenticación sin contraseña (passwordless)”.
La información que los usuarios pueden proporcionar para la autenticación se puede categorizar principalmente en tres tipos:
- Algo que el usuario sabe, como contraseñas, preguntas y respuestas de recuperación de contraseñas (a menudo basadas en experiencias personales pasadas).
- Algo que el usuario tiene, como un teléfono móvil, contraseña de un solo uso (OTP), o token de hardware.
- Algo que el usuario es, como huellas digitales, reconocimiento facial y otros identificadores biométricos.
La autenticación sin contraseña (passwordless) es un método de autenticación que permite a los usuarios iniciar sesión en sistemas informáticos sin ingresar (o recordar) una contraseña u otro secreto basado en conocimiento. En las implementaciones más comunes, los usuarios deben ingresar su identificador de usuario (nombre de usuario, dirección de correo electrónico, número de teléfono, etc.) y luego completar el proceso de autenticación proporcionando una prueba segura de identidad por otros medios.
¿Por qué usar autenticación sin contraseña (passwordless)?
Si bien el uso de contraseñas está disminuyendo gradualmente, todavía se utilizan ampliamente en todo el mundo. La razón principal es que los sistemas basados en contraseñas son los más fáciles y económicos de implementar.
Además, las contraseñas son la principal causa de violaciones de datos. Para que sean más fáciles de recordar, muchas personas utilizan patrones fijos en sus contraseñas, como usar fechas de cumpleaños o combinaciones de letras de un teclado numérico para contraseñas puramente numéricas. Esto hace que sea mucho más fácil descifrar las contraseñas. En realidad, muchas personas usan sin saberlo la misma contraseña en múltiples plataformas, aumentando aún más el riesgo de compromiso de contraseñas.
Por último, las contraseñas son una molestia para los usuarios: son difíciles de recordar y complicadas de gestionar. Para evitar usar una contraseña unificada en todos los escenarios, los usuarios necesitan herramientas dedicadas para registrar varias contraseñas. Además, dado que las contraseñas se usan en diferentes lugares, es posible que deban buscarse constantemente. Esto supone una inconveniencia significativa para el uso de contraseñas.
Por otro lado, las tecnologías sin contraseña (passwordless) como biometría u OTP son altamente convenientes y fáciles de usar. Idealmente, los usuarios podrían autenticarse instantáneamente con sus datos biométricos en cualquier momento y lugar. En el mundo actual, donde los teléfonos móviles son indispensables, toda la verificación relacionada con “algo que el usuario tiene” generalmente se puede realizar a través del teléfono.
¿Cuál es la diferencia entre la autenticación sin contraseña (passwordless) y la autenticación multifactor (MFA)?
La autenticación sin contraseña (passwordless) y la autenticación multifactor (MFA) a veces se mencionan en contextos similares. Por lo tanto, es necesario definir estos dos términos por separado y entender la diferencia entre ellos:
- La autenticación sin contraseña (passwordless) reemplaza la autenticación basada en contraseñas por otros factores.
- MFA se refiere al uso de dos o más factores de autenticación para verificar la identidad de un usuario.
Los “factores” son seriamente los tres tipos diferentes de información de autorización que mencionamos anteriormente. Por ejemplo, si un usuario solo usa una dirección de correo electrónico + OTP durante la autenticación, este es un factor asociado con “algo que el usuario tiene”, y podemos considerar que la autenticación del usuario es sin contraseña (passwordless).
Las implementaciones comunes de MFA incluyen el uso de un segundo factor de autenticación (sin contraseña) para mejorar una contraseña, pero MFA también puede ser completamente sin contraseña. Por ejemplo, una aplicación podría usar una huella digital como el primer factor de autenticación y dirección de correo electrónico + OTP como el segundo factor de autenticación.
¿Cuál es la diferencia entre sin contraseña (passwordless) y SSO?
Basado en la definición anterior de sin contraseña (passwordless), SSO es un tipo de método sin contraseña (los usuarios tienen/poseen una cuenta para el proveedor de SSO).
Además, las cuentas del proveedor de SSO generalmente tienen alta seguridad. Además de nombres de usuario y contraseñas, en la mayoría de los casos se requiere MFA obligatorio para garantizar que los usuarios tengan control total de la cuenta. MFA a menudo implica usar verificación de factor sin contraseña (passwordless), incluyendo pero no limitado a contraseñas, OTP y huellas digitales.