Los que pasan mucho tiempo en Internet conocen el problema: decenas de sitios web, foros y tiendas requieren un inicio de sesión, que suele consistir en un nombre de usuario y una contraseña. Y luego están las contraseñas del ordenador, del router, de las cuentas en la nube y de muchos otros servicios. En resumen, el caos de contraseñas es inevitable con el uso intensivo de la red y los servicios. Pero hay una solución: el llamado Single Sign-On (SSO).
El Single Sign-On facilita muchas cosas
El Single Sign-On permite acceder a toda una serie de servicios con un solo login. Por ejemplo, es posible acceder a todas las unidades y servidores de la red directamente al iniciar sesión en un ordenador de trabajo. Esta tecnología también existe para Internet, ofrecida, por ejemplo, por Twitter, Facebook y Google ("Log in with Google"), que hace que el inicio de sesión sea superfluo después de vincular una cuenta de usuario una vez con el servicio respectivo. Por cierto: ahora Apple también permite esta tecnología en la aplicación de TV y en el Apple TV. Los datos de acceso a servicios como Netflix, Amazon Prime u otros proveedores de streaming se almacenan en la app. Una vez iniciada la sesión en la aplicación de televisión, también es posible acceder a los demás servicios. En el futuro, Apple también ofrecerá un servicio de inicio de sesión al estilo de Google y Facebook, con la diferencia de que éste prescinde por completo del rastreo.
Single Sign-On: así funciona
Para que algo así funcione, la tecnología de inicio de sesión único recurre a un truco: o bien los datos de acceso se almacenan en algún lugar central, por ejemplo en una nube. O los derechos deben ser concedidos al servicio respectivo a través de una herramienta de terceros, como es el caso de "Iniciar sesión con Google". El usuario recibe entonces el llamado token, una clave de acceso única que se establece para cada dispositivo final. En el navegador web, esta clave se suele asignar en forma de cookie; para PC, Mac y dispositivos móviles, también se pueden utilizar soluciones de terceros como NetID o ID4me. También existe la opción de almacenar las claves en memorias USB o de conectar el SSO con la presencia de un smartphone con Bluetooth. Importante para todos los servicios: A diferencia de un gestor de contraseñas, por ejemplo, el software de destino debe admitir el método de inicio de sesión, es decir, un sitio web o una aplicación debe ofrecer también el servicio de inicio de sesión único para que pueda utilizarse. Dado que constantemente aparecen nuevos proveedores en el mercado, es deseable una solución para todos los servicios - pero lamentablemente no está disponible en la actualidad.
Estas son las ventajas del Single Sign-On
No obstante, el Single Sign-On tiene enormes ventajas sobre el inicio de sesión con un nombre de usuario y una contraseña. Esto comienza con el hecho de que sólo es necesario mantener una combinación de nombre de usuario y contraseña, lo que en muchos casos permite una contraseña segura para el servicio de inicio de sesión único. Porque a pesar de todas las advertencias, incluso los usuarios experimentados suelen repetir su combinación de nombre de usuario y contraseña o variar mínimamente la contraseña, por ejemplo según el esquema "contraseña1", "contraseña2", "contraseña3", etc. Por supuesto, esto ofrece muchos puntos de ataque para los phishers y otros villanos en línea que pueden adivinar fácilmente las variaciones de las contraseñas y así hacerse con las cuentas. Con el inicio de sesión único, este problema se vuelve superfluo: el usuario puede concentrarse en una contraseña segura que (al menos en teoría) desbloquea el acceso a todos los servicios.
La seguridad de la contraseña es el todo y el fin
Sin embargo, esto es precisamente lo que da lugar a un problema importante con el inicio de sesión único: si la contraseña está mal elegida y el servicio no ofrece ninguna red de seguridad adicional -como la autenticación de dos factores- la ganancia de seguridad se invierte. Los atacantes sólo tienen que intervenir en la combinación de nombre de usuario y contraseña para acceder posteriormente a todas las cuentas de un usuario. Por ello, muchos procedimientos de SSO ofrecen un bloqueo de tiempo además del token informático: si el PC o el servicio no se utiliza durante un tiempo, se desconecta automáticamente. Otro problema es la disponibilidad del propio servicio SSO: si no está disponible de forma fiable, el usuario no tiene forma de acceder a sus cuentas. El propio token es también un punto potencial de ataque al que los administradores y usuarios deben prestar atención. Además, el inicio de sesión único plantea automáticamente la cuestión de un cierre de sesión único centralizado: al cerrar la sesión del ordenador, por ejemplo, las conexiones a los servicios también deben cortarse automáticamente.
Inicio de sesión único: ¿cómo lo utilizo?
En general, sin embargo, las ventajas del inicio de sesión único superan las desventajas. Sin embargo, los usuarios deben asegurarse de elegir un servicio que cumpla con los requisitos necesarios de seguridad y protección de datos. En caso de duda, Facebook y Google no son los mejores candidatos en este caso, pero estos servicios también pueden estar mucho mejor protegidos contra los ataques mediante la optimización de la seguridad, por ejemplo, la autenticación de dos factores. Lo importante de todas las soluciones de inicio de sesión único es el amplio soporte, que lamentablemente sólo unos pocos servicios pueden ofrecer actualmente. Por lo tanto, es de esperar que en el futuro los grandes actores como Microsoft y Apple pongan remedio con soluciones fáciles de usar y menos problemáticas en cuanto a la protección de datos.