Muchos usuarios consideran que las contraseñas son extremadamente pesadas. Un protocolo de autenticación para sitios web, llamado WebAuthn, podría dejarlos obsoletos. Los usuarios pueden usarlo para iniciar sesión en un servicio como una red social o una plataforma de compras en línea con su teléfono inteligente o computadora. El proceso es rápido y sencillo cuando se utilizan datos biométricos como la huella dactilar o el reconocimiento facial, que a menudo ya están almacenados para desbloquear el dispositivo. "No es sorprendente que esto pueda crear la impresión de que los datos biométricos se transmiten al sitio web en el que desea iniciar sesión, similar a una contraseña. Pero esto es un concepto erróneo", dice Leona Lassak de Ruhr-Universität Bochum (RUB ).

Un equipo de RUB, el Instituto Max Planck para la Seguridad y la Privacidad (MPI-SP) en Bochum y la Universidad de Chicago ha estado abordando estos y otros conceptos erróneos. En varios estudios en línea, permitieron que 414 usuarios probaran el nuevo inicio de sesión de WebAuthn y les preguntaron sobre sus primeras impresiones y preocupaciones con respecto a su seguridad, usabilidad y privacidad.

Leona Lassak del Horst Görtz Institute for IT Security en RUB y el Dr. Maximilian Golla del MPI-SP, junto con Annika Hildebrandt y el profesor Blase Ur de la Universidad de Chicago, publicarán los resultados en la conferencia USENIX Security el 11 de agosto de 2021 El documento está disponible en línea desde el 21 de junio de 2021.

Cómo funciona WebAuthn

WebAuthn es parte del nuevo estándar FIDO2, cuyo objetivo es hacer que las contraseñas queden obsoletas. Actualmente, cuando los usuarios quieren iniciar sesión en un servicio, simplemente ingresan un nombre de usuario y una contraseña. En el futuro, los usuarios podrían autenticarse simplemente usando su dispositivo. Para garantizar que una persona aleatoria que encuentre un teléfono inteligente perdido no pueda iniciar sesión en todo tipo de servicios, los usuarios deben confirmar el proceso de inicio de sesión con el PIN o la biometría de su teléfono inteligente. Algunos servicios, como el estadounidense eBay o Microsoft, ya ofrecen el inicio de sesión WebAuthn.

Leona Lassak explica el problema:"Para el usuario, parece que está iniciando sesión en el servicio en línea con su huella digital. De hecho, su huella digital solo desbloquea una llamada clave criptográfica, que se almacena en el dispositivo del usuario y luego se usa para el inicio de sesión real."

Confusión entre los usuarios primerizos

Casi el 70 por ciento de los encuestados no estaba seguro o creía erróneamente que sus datos biométricos se compartirían con el sitio web en el que intentaban iniciar sesión. " dice Annika Hildebrandt, autora de la Universidad de Chicago.

Otro problema surge en caso de que el sensor de huellas dactilares no funcione. De hecho, es posible ingresar el PIN del teléfono inteligente alternativamente. Sin embargo, dado que la interfaz de usuario no deja muy clara esta opción, el 60 por ciento de los usuarios pensó que perdería el acceso a su cuenta en este caso. Los investigadores también preguntaron si los participantes sentirían que sus cuentas estaban seguras si les robaban su teléfono inteligente. El 93 % de los encuestados se sentían lo suficientemente protegidos debido a sus datos biométricos, pero no sabían que un atacante también podría obtener acceso a sus cuentas adivinando el PIN del teléfono inteligente.

Abordar conceptos erróneos

Los investigadores permitieron que siete grupos de enfoque desarrollaran textos y gráficos que tienen como objetivo evitar estos conceptos erróneos y comunicar la complicada funcionalidad de WebAuthn. Basándose en estos textos, los investigadores implementaron seis notificaciones y las compararon en un estudio en línea.

"Lo más efectivo para abordar los conceptos erróneos es comunicar explícitamente que los datos de huellas dactilares y faciales nunca se transmiten al sitio web", explica Annika Hildebrandt. Fue menos efectivo resaltar las desventajas de las contraseñas o mencionar las empresas confiables que ayudaron a desarrollar el estándar WebAuthn.

Aumento de la adopción

A pesar de todos los malentendidos y preocupaciones, los participantes calificaron el inicio de sesión biométrico más alto que las contraseñas tradicionales, ya que quedaron particularmente impresionados por su velocidad y facilidad de uso. En el futuro, los investigadores tienen la intención de aumentar aún más la aceptación de WebAuthn para que sus ventajas sean accesibles para todos los usuarios.