Muchos usuarios consideran que las contraseñas son extremadamente pesadas pero desconfían del uso de datos biométricos como alternativa, porque piensan que se transmiten al sitio web. Un protocolo de autenticación para sitios web, llamado WebAuthn, podría hacerlos obsoletos. Los usuarios pueden usarlo para iniciar sesión en un servicio como una red social o una plataforma de compras en línea con su teléfono inteligente u ordenador.
Usando huellas dactilares o reconocimiento facial en lugar de contraseñas
El proceso es rápido y fácil cuando se utilizan datos biométricos como huellas dactilares o reconocimiento facial, que a menudo ya se almacenan para desbloquear el dispositivo. «No es sorprendente que esto pueda crear la impresión de que los datos biométricos se transmiten al sitio web en el que desea iniciar sesión, similar a una contraseña. Pero esto es un error», dice Leona Lassak de Ruhr-Universität Bochum (RUB).
Un equipo de RUB, el Instituto Max Planck para la Seguridad y la Privacidad (MPI-SP) en Bochum y la Universidad de Chicago ha estado abordando estos y otros conceptos erróneos.
En varios estudios en línea, dejaron que 414 usuarios probaran el nuevo inicio de sesión de WebAuthn y les preguntaron sobre sus primeras impresiones y preocupaciones con respecto a su seguridad, usabilidad y privacidad.
Leona Lassak del Instituto Horst Görtz para la Seguridad de TI en RUB y el Dr. Maximilian Golla del MPI-SP, junto con Annika Hildebrandt y el profesor Blase Ur de la Universidad de Chicago, publicará los resultados en la conferencia USENIX Security el 11 de agosto de 2021. El documento está disponible en línea desde el 21 de junio de 2021.
© RUB, Marquard
Cómo funciona WebAuthn
WebAuthn es parte del nuevo estándar FIDO2, que tiene como objetivo hacer obsoletas las contraseñas. Actualmente, cuando los usuarios quieren iniciar sesión en un servicio, solo ingresan un nombre de usuario y una password. En el futuro, los usuarios podrían autenticarse simplemente usando su dispositivo. Para garantizar que una persona al azar que encuentre un teléfono inteligente perdido no pueda iniciar sesión en todo tipo de servicios, los usuarios tienen que confirmar el proceso de inicio de sesión con el PIN o la biometría de su teléfono inteligente. Algunos servicios como eBay o Microsoft ya ofrecen el inicio de sesión de WebAuthn.
Leona Lassak explica el problema: «Para el usuario parece que está iniciando sesión en el servicio en línea con su huella dactilar. De hecho, su huella digital solo desbloquea una llamada clave criptográfica, que se almacena en el dispositivo del usuario y luego se utiliza para el inicio de sesión real».
Dudas de seguridad con los datos biométricos
Casi el 70 por ciento de los encuestados no estaban seguros o creían erróneamente que sus datos biométricos se compartirían con el sitio web en el que estaban tratando de iniciar sesión. «Es importante abordar estos malentendidos, ya que ponen en peligro la voluntad de la gente de usar el nuevo inicio de sesión seguro», dice Annika Hildebrandt, autora de la Universidad de Chicago.
Otro problema surge en caso de que el sensor de huellas dactilares no funcione. De hecho, es posible introducir el PIN del teléfono inteligente de forma alternativa. Sin embargo, dado que la interfaz de usuario no deja muy clara esta opción, el 60 por ciento de los usuarios pensaron que perderían el acceso a su cuenta en este caso. Los investigadores también preguntaron si los participantes sentirían que sus cuentas estaban seguras si se les robara su teléfono inteligente.
El 93 por ciento de los encuestados se sentían suficientemente protegidos debido a su biometría, pero no sabían que un atacante también podría obtener acceso a sus cuentas adivinando el PIN del teléfono inteligente.
Abordar conceptos erróneos sobre seguridad en red
Los investigadores dejaron que siete grupos de discusión desarrollaran textos y gráficos que tienen como objetivo prevenir estos conceptos erróneos y comunicar la complicada funcionalidad de WebAuthn. Sobre la base de estos textos, los investigadores implementaron seis notificaciones y las compararon en un estudio en línea.
«Lo más eficaz para abordar los conceptos erróneos es comunicar explícitamente que la huella digital y los datos faciales nunca se transmiten al sitio web», explica Annika Hildebrandt. Fue menos efectivo destacar las desventajas de las contraseñas o mencionar las empresas confiables que ayudaron a desarrollar el estándar WebAuthn.
A pesar de todos los malentendidos y preocupaciones, los participantes calificaron el inicio de sesión biométrico más alto que las contraseñas tradicionales, ya que quedaron particularmente impresionados por su velocidad y facilidad de uso. En el futuro, los investigadores tienen la intención de aumentar aún más la aceptación de WebAuthn para hacer que sus ventajas sean accesibles a todos los usuarios.
Más información en el paper:
Leona Lassak, Annika Hildebrandt, Maximilian Golla, Blase Ur: “It’s stored, hopefully, on an encrypted server”: Mitigating users’ misconceptions about FIDO2 biometric WebAuthn, 30th USENIX Security Symposium, 2021
«Se almacena, esperemos, en un servidor cifrado»: Mitigando las ideas erróneas de los usuarios sobre la WebAuthn biométrica FIDO2, 30o Simposio de Seguridad de USENIX, 2021, Conferencia Virtual, Descargar Preimpresión
Fuente: RUB
