Logo Logo
GitHub Designed by Logto

¿Qué es sin contraseña (passwordless)?

En el lenguaje común, “sin contraseña” es la abreviatura de “autenticación sin contraseña (passwordless authentication)”.

La información que los usuarios pueden proporcionar para la autenticación se puede categorizar principalmente en tres tipos:

  1. Algo que el usuario sabe, como contraseñas, preguntas y respuestas de recuperación de contraseñas (a menudo las preguntas y respuestas se basan en experiencias personales pasadas).
  2. Algo que el usuario tiene, como un teléfono móvil, Contraseña de un solo uso (One-time password, OTP) , o un token de hardware.
  3. Algo que el usuario es, como huellas dactilares, reconocimiento facial y otros identificadores biométricos.

La autenticación sin contraseña es un método de autenticación que permite a los usuarios iniciar sesión en sistemas informáticos sin ingresar (o recordar) una contraseña u otro secreto basado en el conocimiento. En las implementaciones más comunes, los usuarios deben ingresar su identificador de usuario (nombre de usuario, dirección de correo electrónico, número de teléfono, etc.) y luego completar el proceso de autenticación proporcionando una prueba segura de identidad a través de otros medios.

¿Por qué usar la autenticación sin contraseña (passwordless authentication)?

Aunque el uso de contraseñas está disminuyendo gradualmente, todavía se utilizan ampliamente en todo el mundo. La razón principal es que los sistemas basados en contraseñas son los más fáciles y baratos de implementar.

Además, las contraseñas son la causa principal de las violaciones de datos. Para hacerlas más fáciles de recordar, muchas personas usan patrones fijos en sus contraseñas, como usar fechas de nacimiento o combinaciones de letras de un teclado numérico para contraseñas puramente numéricas. Esto hace que descifrar contraseñas sea mucho más fácil. En realidad, muchas personas usan sin saberlo la misma contraseña en múltiples plataformas, aumentando aún más el riesgo de compromiso de la contraseña.

Por último, pero no menos importante, las contraseñas son una molestia para los usuarios: son difíciles de recordar y engorrosas de gestionar. Para evitar usar una contraseña unificada en todos los escenarios, los usuarios necesitan herramientas dedicadas para registrar varias contraseñas. Además, dado que las contraseñas se utilizan en diferentes lugares, es posible que necesiten ser consultadas constantemente. Esto supone una inconveniencia significativa para el uso de contraseñas.

Por otro lado, las tecnologías sin contraseña como la biometría o OTP son altamente convenientes y fáciles de usar. Idealmente, los usuarios podrían autenticarse instantáneamente con su biometría en cualquier momento y lugar. En el mundo actual, donde los teléfonos móviles son indispensables, toda verificación relacionada con “algo que el usuario tiene” generalmente se puede realizar a través del teléfono.

¿Cuál es la diferencia entre la autenticación sin contraseña (passwordless authentication) y la autenticación multifactor (MFA)?

La autenticación sin contraseña y Autenticación multifactor (Multi-factor authentication, MFA) a veces se mencionan en contextos similares. Por lo tanto, es necesario definir estos dos términos por separado y entender la diferencia entre ellos:

  • La autenticación sin contraseña reemplaza la autenticación basada en contraseñas con otros factores.
  • MFA se refiere al uso de dos o más factores de autenticación para verificar la identidad de un usuario.

Los “factores” son seriamente los tres tipos diferentes de información de autorización que mencionamos anteriormente. Por ejemplo, si un usuario solo usa una dirección de correo electrónico + OTP durante la autenticación, este es un factor asociado con “algo que el usuario tiene”, y podemos considerar que la autenticación del usuario es sin contraseña.

Las implementaciones comunes de MFA incluyen el uso de un segundo factor de autenticación (sin contraseña) para mejorar una contraseña, pero MFA también puede ser completamente sin contraseña. Por ejemplo, una aplicación podría usar una huella dactilar como el primer factor de autenticación y dirección de correo electrónico + OTP como el segundo factor de autenticación.

¿Cuál es la diferencia entre sin contraseña (passwordless) y SSO?

Basado en la definición anterior de sin contraseña, Inicio de sesión único (SSO) es un tipo de método sin contraseña (los usuarios tienen/poseen una cuenta para el proveedor de SSO).

Además, las cuentas de los proveedores de SSO generalmente tienen alta seguridad. Además de nombres de usuario y contraseñas, en la mayoría de los casos se requiere MFA obligatorio para garantizar que los usuarios tengan control completo de la cuenta. MFA a menudo implica el uso de verificación de factores sin contraseña, incluidos pero no limitados a passkeys, OTP y huellas dactilares.

Ver también