Fa deu anys, el periodista Mat Honan, de la revista tecnològica nord-americana Wired, va escriure el reportatge que obria el número del mes de novembre d'aquesta publicació amb el títol "Mata la contrasenya". L'article explicava com uns hackers havien aconseguit les claus i havien destruït la seva vida digital. El cas va tenir molta repercussió, perquè l'afectat era una persona experta, que no descuidava la seguretat. Les seves contrasenyes eren robustes a Apple, Twitter i Gmail, però quan els hackers van aconseguir una, van aconseguir-les totes. Per evitar que les recuperés, van fer servir una, la d'Apple, per esborrar el seu iPhone, el seu iPad i el MacBook. No li va quedar ni una foto de la seva filla de 18 mesos.

Com evitar que ens robin les contrasenyes si a cada lloc dels molts on ens registrem cal posar-ne una? El millor mètode és acabar amb les paraules clau. No et poden robar allò que no existeix. Així que fa gairebé una dècada es va constituir la FIDO Alliance, un consorci format per grans companyies tecnològiques que té com a finalitat crear un sistema estàndard d'autenticació més segur que el de les maleïdes paraules clau.

Per evitar que ens robin les contrasenyes, el millor és acabar amb elles; no es pot robar allò que no existeix. Apple, Google i Microsoft s'han compromès que FIDO estarà disponible l'any que ve en els sistemes operatius i navegadors d'internet. La gran fortalesa de FIDO és que l‟autenticació de l‟usuari és local. Passa dins del mòbil i es basa en els sensors biomètrics o en un PIN mestre. Les dades no surten del dispositiu, que només autoritza el sistema a validar la identificació, sense proporcionar dades de l'usuari o de les seves claus biomètriques.

Les contrasenyes constitueixen el 80% de les bretxes de seguretat que es produeixen al món. Un usuari té, de mitjana, al voltant de 90 comptes en línia diferents. Una mica més de la meitat de les contrasenyes que hi ha al món (51%) són repetides, una debilitat molt humana davant la impossibilitat d'inventar i recordar claus noves cada poc temps. La vulnerabilitat del sistema d‟autenticació s‟accentua amb el comportament de moltes persones. Els principals errors són: repetir les mateixes en diferents comptes, seguir patrons del teclat (per exemple, “qwerty” o “123456”), apuntar-les en paper, fer servir expressions fetes, posar paraules escrites igual que al diccionari o utilitzar patrons senzills que puguin ser fàcilment deduïts per hackers experts.

Aquest és el preocupant panorama d'un sistema ineficaç que no només constitueix un problema de seguretat, sinó també un maldecap per a milions de persones, incapaços de recordar les paraules clau en cada servei o inventar-se de noves que, al seu torn, alguna vegada tindrà introduir i, possiblement, no pugui recordar. Qualsevol aspecte de la vida digital, des de fer una compra a configurar una aspiradora o un televisor, té una contrasenya.

FIDO és l'acrònim de Fast Identity Online (identitat ràpida en línia). Es tracta d'un consorci on es troben les principals companyies tecnològiques de tot el món, preocupades per superar el sistema de contrasenyes, clarament insegur, que al llarg dels anys només s'ha pogut apuntalar relativament amb mètodes com l'autenticació de doble factor, que també ha resultat tenir algun punt feble.

Amb FIDO, quan l'usuari es registra en un compte en línia, el dispositiu crea un parell de claus. El mòbil conserva la clau privada i registra la clau pública al servei on s'hagi registrat. L'autenticació la fa el telèfon de manera local, després de confrontar aquestes claus, i s'activa mitjançant un PIN, o sensors biomètrics (facial, empremta dactilar). La transició cap a la fi de les contrasenyes no passarà de la nit al dia. No tothom disposa d'un smartphone o el té actualitzat a la darrera versió del sistema operatiu, la qual donarà suport al sistema d'identificació de FIDO. Mentrestant, les paraules clau continuaran existint, però la seva desaparició serà una qüestió de temps, a mesura que els usuaris es vagin acostumant a viure sense elles. - Francesc Bracero per lavanguardia.com