Try Now

Preguntas Frecuentes (FAQ)

Preguntas Frecuentes (FAQ)

Passwordless Alliance es una organización sin fines de lucro establecida en Ginebra, Suiza, por Jaeseop Lee, exdirector de la UIT, una organización internacional de estandarización tecnológica, y Jonghyun Woo (también conocido como John Woo), director ejecutivo de DualAuth y desarrollador de la tecnología estándar ITU-T X.1280. Esta organización fue creada con el objetivo de resolver los problemas sociales relacionados con las contraseñas, mediante la participación de usuarios de servicios en línea, operadores de servicios en línea, organismos gubernamentales, asociaciones relevantes y desarrolladores de software.

Para convertirse en una organización práctica, Passwordless Alliance distribuye software gratuito dirigido a servicios en línea B2C. A diferencia de otras asociaciones de estándares o alianzas que se han enfocado en establecer la compatibilidad mediante la creación de estándares tecnológicos centrados en los proveedores de tecnología, Passwordless Alliance proporciona gratuitamente el software Passwordless X1280, desarrollado sobre una tecnología estándar internacional ya completada, a los servicios en línea como usuarios receptores de la tecnología. Además de proveer el software, Passwordless Alliance también comparte con los operadores de servicios en línea los ingresos publicitarios generados a través de la app móvil Passwordless X1280, para así facilitar una adopción más rápida de esta tecnología.

Passwordless X1280 es un software disponible de forma gratuita para servicios en línea B2C. Passwordless Alliance proporciona gratuitamente el software Passwordless X1280 a servicios en línea B2C en todo el mundo.

La app móvil Passwordless X1280 utilizada por los usuarios incluye anuncios de display de Google. El objetivo es ofrecer el software sin contraseñas financiado por los ingresos publicitarios generados según el uso de los usuarios.

Passwordless X1280 es un software gratuito disponible exclusivamente para servicios en línea B2C. Passwordless Alliance tiene como objetivo proteger a los usuarios finales (consumidores) de los servicios en línea a nivel global. A través de la promoción de tecnologías sin contraseñas en servicios B2C, buscamos proteger la información personal y financiera de los consumidores.

Passwordless Alliance no provee software de ciberseguridad a empresas o instituciones. Si el servicio en línea está destinado a empleados internos, se recomienda contactar con un proveedor de software de ciberseguridad.
(Nota: Passwordless X1280 no debe utilizarse si los usuarios del servicio en línea son empleados, consultores, agentes o contratistas de la entidad operadora del servicio.)

Las contraseñas tradicionales permiten a los usuarios demostrar su identidad ante un servicio en línea, y siguen siendo el método de autenticación más comúnmente utilizado. Sin embargo, este método presenta varios inconvenientes: los usuarios pueden introducir sus contraseñas sin verificar si el servicio en línea es legítimo o fraudulento, o sus contraseñas pueden ser robadas durante el proceso de ingreso. Además, debido a las limitaciones de la memoria humana, los usuarios suelen reutilizar la misma contraseña en múltiples servicios. Si uno de estos servicios es comprometido, el usuario se ve obligado a cambiar la contraseña en todos los demás servicios.

En cambio, con el método Passwordless X1280, la responsabilidad de verificación de la contraseña recae en el servicio en línea, por lo que el usuario ya no necesita memorizar, ingresar ni cambiar contraseñas. Incluso si el servicio en línea es comprometido y se filtran contraseñas, estas se regeneran automáticamente cada vez que el usuario inicia sesión mediante el método sin contraseña, por lo que no afectan a los demás servicios utilizados por el usuario.

Passwordless X1280 permite que el servicio en línea presente primero una contraseña automática al usuario, quien la verifica desde su smartphone. Así, el usuario puede confirmar si el proveedor del servicio es legítimo o no, lo que lo hace más de dos veces más seguro que los métodos tradicionales donde solo el usuario se autentica. Además, ofrece mayor comodidad al usuario, ya que no necesita recordar, cambiar ni ingresar contraseñas, sino simplemente aprobar la contraseña automática desde la app móvil.

Passwordless X1280 no elimina la función de contraseña del usuario en el servicio en línea, sino que, después de la configuración sin contraseña, cambia automáticamente la contraseña del usuario por una cadena compleja. Por lo tanto, internamente, la contraseña del usuario sigue existiendo.

Sin embargo, cuando se registra Passwordless X1280 en una cuenta de usuario de un determinado servicio en línea, la contraseña de esa cuenta se cambia automáticamente por una contraseña aleatoria y compleja, y cada vez que el usuario inicia sesión con Passwordless X1280, la contraseña se cambia automáticamente.

Por lo tanto, el usuario ya no necesita cambiar ni recordar su contraseña. Solo necesita verificar la contraseña automática que presenta el servicio en línea desde su smartphone.

Passwordless X1280 no elimina la función de contraseña del usuario en el servicio en línea, sino que, después de la configuración sin contraseña, cambia automáticamente la contraseña del usuario por una cadena compleja. Por lo tanto, internamente, la contraseña del usuario sigue existiendo.

Por lo tanto, si solo has perdido tu teléfono temporalmente, puedes iniciar sesión temporalmente utilizando la opción “recuperar contraseña” en la pantalla de inicio de sesión. Sin embargo, incluso si inicias sesión temporalmente mediante la recuperación de contraseña, una vez que inicies sesión de nuevo con la aplicación Passwordless X1280, la contraseña del usuario se volverá a cambiar automáticamente por una contraseña compleja.

Si no es una pérdida temporal, sino que has cambiado de teléfono, después de iniciar sesión con la recuperación de contraseña, debes ir al menú de configuración sin contraseña dentro del servicio en línea, desactivar la opción sin contraseña y luego completar el proceso de registro con el nuevo smartphone.

La autenticación OTP tradicional es una tecnología de autenticación segura para los usuarios, pero tiene una vulnerabilidad: si el usuario ingresa el código OTP sin saber si el servicio en línea es legítimo o falso, puede ser víctima de robo de datos. En cambio, con Passwordless X1280, el servicio en línea primero presenta una contraseña automática al usuario, quien la verifica en su smartphone, permitiéndole confirmar si el proveedor del servicio es legítimo. Por lo tanto, es más del doble de seguro que las tecnologías OTP tradicionales, donde solo se autentica al usuario. Además, es más cómodo de usar, ya que el usuario no necesita leer ni ingresar manualmente el código OTP, sino simplemente aprobar la contraseña automática desde la app móvil.

La autenticación biométrica es una excelente tecnología para eliminar contraseñas, pero es una tecnología de autenticación de canal local (in-band), válida solo dentro del dispositivo que tiene un sensor biométrico. Por lo tanto, aunque el sensor biométrico del smartphone puede utilizarse como método de autenticación en ese dispositivo, no puede utilizarse en otros dispositivos del usuario que no tienen sensor biométrico, como PCs, Smart TVs, altavoces inteligentes o cajeros automáticos. Para realizar autenticación biométrica en cada dispositivo, sería necesario instalar sensores biométricos por separado en cada uno.

Sin embargo, Passwordless X1280 utiliza un canal de comunicación fuera de banda (out-of-band), donde el usuario autentica el servicio en línea y luego transmite su valor biométrico. Así, el sensor biométrico del smartphone puede extenderse para su uso en dispositivos que no tienen sensor biométrico, proporcionando tanto seguridad como comodidad. Además, el usuario puede verificar primero a qué servicio en línea está enviando sus datos biométricos antes de enviarlos, lo que permite reducir el costo de implementar sensores biométricos.

Aunque Passwordless X1280 y las tecnologías de autenticación basadas en notificaciones push móviles pueden parecer similares en funcionamiento, existen diferencias fundamentales. La autenticación por push verifica si el usuario posee un autenticador que pueda recibir notificaciones push. Es decir, solo se autentica al usuario. Sin embargo, si el usuario accede a un servicio falso y recibe una notificación push desde allí, su autenticación por push puede ser suplantada. El usuario podría aprobar una notificación sin saber de dónde proviene, lo que significa que estaría aprobando involuntariamente el acceso del atacante, no el suyo propio.

En cambio, Passwordless X1280 añade una capa de seguridad: el servicio en línea presenta una contraseña automática al usuario, y este la compara con la generada en la app Passwordless X1280. Solo si coinciden, el usuario aprueba que el servicio en línea es legítimo. Así, aunque ambos métodos usan notificaciones push, la tecnología de autenticación push solo autentica al usuario, mientras que Passwordless X1280 autentica tanto al proveedor del servicio como al usuario.