Muchas veces que reclaman la sustitución de las contraseñas por otras medidas de seguridad y, según el investigador principal de Microsoft Research, Cormac Herley, quienes reivindican esto lo hacen sobre la base de poca o ninguna evidencia.
El registro de teclado, ataques de fuerza bruta, el phishing y el robo de sesión se usan para obtener contraseñas, pero sería imposible trazar un gráfico con la cantidad de veces que se ha utilizado cada método porque nadie lo sabe, dice en un artículo sobre el tema. “No sabemos el tamaño, ni siquiera aproximadamente”, asegura.
Además de estas conclusiones, recomienda otras medidas que podrían hacer un uso más eficaz de las contraseñas:
* Cuantificar los daños que causa el secuestro de una contraseña y diferenciar entre el peor de los casos y el promedio de los casos.
* Ofrecer un mejor soporte al usuario de contraseñas de manera que se usen de manera más segura.
* Identificar cuándo las contraseñas no son suficientes (y por qué) para que se pueden desarrollar las alternativas adecuadas.
* Elaborar un método para evaluar las alternativas de manera objetiva.
La premisa de Herley es que las contraseñas están tan arraigadas y son útiles en muchos aspectos que no contraseñas van a desaparecer pronto. No en vano, si fueran totalmente ineficaces, nadie las usaría.
Las contraseñas tienen una gran cantidad de ventajas: son gratuitas, permiten el acceso desde cualquier máquina con un navegador, la revocación de ellas es simple y es fácil restablecerlas para los usuarios que las olviden. Ventajas todas ellas que hacen que sea difícil deshacerse de las contraseñas por completo. “Ninguna tecnología alternativa es probable que posea la combinación de seguridad, facilidad de uso y características económicas que cumpla con todos los objetivos de seguridad en todas las situaciones”, dice Herley.
Además, y pese a que los usuarios finales que son a menudo criticados por la creación de contraseñas débiles, este investigador se pone de su parte y considera que generar una serie de contraseñas únicas y fuertes para cada web y aplicación crea un trabajo extra que puede ser injustificado.
