La contrasenya és el teu mòbil (i tu també)

En ocasió de la posada en marxa del servei idCAT Mòbil per a tràmits de l’administració catalana, analitzem algunes de les opcions per identificar-se amb seguretat a Internet. Algunes ja es poden utilitzar, i d’altres seran l’estàndard en un futur immediat.

El repte de la identificació digital: segura i senzilla

La digitalització de les nostres vides es manifesta també en la gran quantitat de tràmits que podem realitzar a través d’Internet i amb qualsevol dispositiu amb connexió. Paral·lelament, cada cop necessitem gestionar més contrasenyes per accedir a infinitat de serveis web.

El repte d’aquests serveis continua essent la identificació, que ha de ser senzilla, però alhora completament segura i legal. I és que encara que sembli increïble, no tothom està preocupat per la seguretat a Internet, i la comoditat passa massa sovint per davant d’unes mínimes precaucions que evitin posar en risc les nostres dades.

Post_ID_Digital_1

Segons Intel Security, una de cada tres persones no protegeix el seu mòbil mitjançant una contrasenya, tot i guardar-hi la majoria de contrasenyes digitals. El mateix passa amb les contrasenyes: la més utilitzada continua sent 123456.

Altres estudis encara són més alarmants: el 14% dels metges dels Estats Units no utilitza cap contrasenya, malgrat emmagatzemar dades dels seus pacients als seus dispositius.

La verificació de dues passes: una capa extra de seguretat

Fa temps que tenim disponibles en molts serveis l’opció web d’afegir la verificació en dos passos com a mètode extra per augmentar la seguretat en l’accés a les nostres dades. Es basa en la utilització d’una cosa que saps (una contrasenya) i una cosa que només tens tu (un telèfon mòbil que sempre portes a sobre on pots rebre un SMS amb un codi únic i d’un sol ús). Amb aquest vídeo de la implementació per part de Google s’entén molt bé:

Aquest mètode ja s’utilitza com a mètode d’identificació en banca electrònica (fins i tot amb SMS per cadascuna de les operacions crítiques), en xarxes socials com Twitter i Facebook o Twitter, i evidentment també per accedir a Google. Al directori Two Factor Auth es poden consultar les principals pàgines web i plataformes que suporten aquest sistema de seguretat.

Però què passa quan no tens connexió telefònica i no pots comptar ni amb els SMS? Companyies com Facebook i Google han desenvolupat mètodes addicionals: per a l’ordinador (mitjançant una clau USB), o amb la tecnologia TOTP, que va un pas més enllà i genera contrasenyes a temps real accessibles únicament des del mòbil sense connexió. És el cas de Google Authenticator i Facebook Account Kit, disponibles com a app mòbil.

I com que la gestió de la seguretat és un camp on tots els actors del sector tecnològic volen estar, les principals operadores mòbils també han posat en marxa l’ambiciós projecte conjunt Mobile Connect, sota el paraigua de la GSMA:

El mòbil substitueix als certificats digitals (també a l’administració catalana)

Quantes vegades has utilitzat el xip del teu DNI per a realitzar algun tràmit administratiu? Tens el lector necessari? Has patit alguna vegada les dificultats que suposa la instal·lació d’un certificat digital al teu navegador?

Tot i que fa temps que aquestes dues opcions d’identificació funcionen i les podem utilitzar per tràmits com fer la declaració de la renda, el cert és que no són precisament senzilles per al gran públic. És per això que l’adopció és molt discreta i les administracions van incorporant de mica en mica opcions amb molts més avantatges.

Un dels darrers exemples és l’idCAT Mòbil, la versió catalana del @clave espanyol, que impulsa i desenvolupa la Generalitat de Catalunya i el Consorci Administració Oberta de Catalunya (AOC), i es basa precisament en el sistema d’identificació en dues passes.

Els avantatges doncs, són molts: funciona amb qualsevol telèfon mòbil, no requereix la instal·lació de cap programa, i en basar-se en l’enviament de SMS tampoc depèn d’una connexió a Internet. Aquests aspectes permeten eliminar diverses barreres d’accés, i es preveu una ràpida adopció.

Malgrat això, encara hi ha dubtes pel que fa a la seguretat, i és per això que aquest sistema conviurà de moment amb el certificat digital tradicional, que encara serà imprescindible per a tràmits amb dades més sensibles com les vinculades amb la salut.

Alternatives de futur (fins i tot per a qui no està preocupat per la seguretat)

On no arriba l’acció humana, hi arriba la tecnologia. Per aquest motiu s’intenten implementar innovadores solucions d’identificació, que siguin més segures, però també més còmodes, gairebé invisibles.

Les que estan assolint una major adopció actualment són les que es basen en tecnologies biomètriques. La més coneguda és la petjada digital en versió mobile que va convertir-se en habitual a partir del Touch ID d’Apple i s’ha anat estenent en cada cop més dispositius.

L’altra tecnologia que sembla que lluita per ser l’estàndard és la biometria facial o de l’iris. En aquest cas els trets únics de la nostra cara o el nostre ull són la contrasenya.

L’avantatge en comparació amb la petjada digital és clar: encara resulta més còmode perquè evita escriure res a la pantalla; com a desavantatge: planteja molts dubtes de privacitat degut a la seva inquietant precisió.

A més, aquestes tecnologies poden fins i tot sumar-se entre elles per afegir capes extra de seguretat, i afegir-n’hi de noves com el reconeixement de veu.

També hi ha iniciatives de reconeixement d’altres parts del cos (bodyprint) a través de l’smartphone.

Si malgrat totes aquestes solucions destaquen per la seva senzillesa, no acabes de refiar-te’n, et recomanem prendre almenys dues mesures bàsiques per protegir la teva vida mobile.

La primera: bloquejar el teu dispositiu amb algun tipus de contrasenya o capa de seguretat. La segona: utilitzar un gestor de contrasenyes per tal de gestionar accessos web més segurs sense haver-los de recordar. Algunes de les millors són: 1Password, Last Pass o KePass.