Addaw, ir a inicio Donar

¿Es la autenticación accesible menos segura?

Escrito por Robert Marzo 06, 2024

Las Web Content Accessibility Guidelines (Directrices para el Contenido Web Accesible) introducen nuevos requisitos para considerar una autenticación como accesible. Los criterios para lograr una 'autenticación accesible' prohíben el uso exclusivo de elementos cognitivos en el proceso de autenticación, aunque existen algunas excepciones.

 

Los diseñadores y programadores de páginas webs tienen a su disposición una amplia variedad de técnicas para cumplir con estos criterios - una de las más efectivas es usar protocolos de acceso delegados, como la Open Authorization (OAuth) u otras soluciones como la autenticación web (Web Authn), que nos plantea una pregunta importante: ¿Afectan estas soluciones a la seguridad?

La respuesta, por supuesto, depende de como se implemente en cada caso. Vamos a repasar algunos puntos a tener en cuenta por parte de los desarrolladores de una web.

 

Los métodos de autenticación accesible pueden mejorar la seguridad sin perjudicar a los usuarios

 

Para especificar un poco, nos vamos a centrar en ‘’OAuth’’, uno de los protocolos más seguros hasta la fecha. OAuth es una técnica accesible de hacer que los usuarios puedan ingresar sus datos, registrarse o iniciar sesión rápidamente usando sus credenciales extraídas de otras páginas webs (como por ejemplo, sus datos existentes de Google, o Facebook)

Este ''acceso seguro'' puede mejorar la privacidad y la seguridad. No requiere memorización de los datos ni de contraseñas, lo cual se deshace de un problema crucial en la seguridad. Un estudio de Security.org, descubrió que el 68% de los americanos adultos usan la misma contraseña en todas sus cuentas, lo que no es ideal en términos de seguridad

 

La creación de registros de identificación por usuario puede conducir a la eliminación accidental o no intencionada debido a la influencia de agentes externos. OAuth emerge como una alternativa más conveniente, accesible y segura en comparación con el uso de una misma contraseña en todas las plataformas. Sin embargo, su adopción solo puede ser considerada bajo el uso adecuado de esta tecnología.

   - OAuth es seguro, cuando se emplea correctamente y con cabeza

 

Recientemente, investigadores de seguridad en el laboratorio de Salt, descubrieron que OAuth implementa problemas que podrían afectar a millones de usuarios en cientos de páginas webs. Varios sitios web importantes gestionan mal su verificación de acceso a clientes, lo que puede atraer a hackers, y ponerles a su disposición información privada de sus usuarios. 

 

El problema con OAuth, aunque crítico, reside principalmente en errores de implementación en lugar de deficiencias tecnológicas. Por ende, realizar auditorías y revisiones periódicas, además de generar informes de accesibilidad, debe considerarse una prioridad en el ámbito de la seguridad y privacidad empresarial. Los desarrolladores deben aplicar las mejores prácticas disponibles al implementar cualquier protocolo de autorización.

 

En el caso de OAuth, estos incluyen:

 

 

Debemos de tener en cuenta que esto no es una lista completa de las mejores prácticas. La manera en la que implementemos OAuth debe de ser estudiada cuidadosamente con anterioridad y adaptada de manera personalizada para cada sistema. Para ser claros, esto también se aplica a cualquier método de autenticación.

 

WCAG no requiere de una soluciones específicas de autenticación para ser accesible

 

Es importante destacar que las WCAG 2.2 no imponen el uso de OAuth, Web Authn u otros programas específicos para encontrar una solución. Más bien, se centran en limitar la frecuencia de uso de elementos que requieren funciones cognitivas en el diseño web accesible.

 

Podrías estar incurriendo en este error al permitir que tus usuarios utilicen el método tradicional de ingresar una contraseña, lo cual implica la necesidad de memorización y, por ende, implica una función cognitiva. No obstante, si tu pantalla de inicio de sesión permite a los usuarios copiar y pegar su contraseña, estarías cumpliendo con los requisitos básicos de la WCAG 2.2.

También deberías de revisar el uso de captchas, y de la doble verificación. Para encontrar un equilibrio entre seguridad y accesibilidad.

¿Te gusta lo que ves? Compártelo con un amigo.



Financiado por la unión europea Gobierno de españa red.es Plan de recuperación transformación y resilencia kit digital