Quizás no sea sorprendente que el sistema de inicio de sesión en Web sea esencialmente tan antiguo como Web mismo. En las décadas de 1960 y 1970, cuando tomaron forma las primeras redes informáticas, también lo hizo la necesidad de autenticación de usuarios. ARPANET, el predecesor de Web precise, implementó los primeros sistemas de inicio de sesión formales cuando comenzó a operar en 1969. Estos sistemas pioneros requerían que los usuarios ingresaran un nombre de usuario y una contraseña para acceder a los recursos de la pink, algo que miles de millones de personas harían billones de veces en los años posteriores. .
Con el surgimiento de la World Large Internet a principios de la década de 1990, los inicios de sesión basados en la net se convirtieron rápidamente en un elemento básico, proporcionando una puerta de entrada a experiencias digitales personalizadas. Sin embargo, estas primeras incursiones en la autenticación de usuarios a menudo se vieron empañadas por estándares de seguridad sorprendentemente laxos. Muchos desarrolladores en ese momento no vieron ningún problema en almacenar contraseñas como texto plano o, sorprendentemente, en incrustarlas directamente dentro del código HTML.
A medida que Web maduró, también lo hizo nuestro enfoque en materia de seguridad de inicio de sesión. La introducción de lenguajes de secuencias de comandos del lado del servidor como PHP a mediados de la década de 1990 permitió un almacenamiento y verificación de contraseñas más seguros. Los algoritmos de cifrado y hash se convirtieron en una práctica estándar y la autenticación de dos factores surgió como una capa adicional de seguridad.
A pesar de la autenticación de dos factores y los administradores de contraseñas, y a pesar de los avances realizados en otros aspectos de nuestra vida digital, la combinación básica de nombre de usuario y contraseña se ha mantenido como un invitado no deseado a la fiesta.
La escala del desafío de inicio de sesión
Ingrese a blockchain, o no. Porque a pesar de que blockchain está dando pasos agigantados en industrias que van desde la atención médica hasta la logística, los inicios de sesión son un área donde la tecnología de contabilidad distribuida (DLT) no ha demostrado ser útil.
Bien, entonces hablemos de por qué. A modo de contexto, LastPass realizó una encuesta que indicaba que “el usuario promedio tiene ~70 contraseñas que administrar y que los usuarios pueden iniciar sesión entre 20 y 30 veces al día”. NordPass, en una encuesta comparable, afirmó que “los usuarios promedio dedican unos 15 minutos cada día a iniciar y cerrar sesión en sus cuentas”. De 30 segundos a 1 minuto por inicio de sesión, eso significa que la encuesta de NordPass implicaría aproximadamente entre 15 y 30 inicios de sesión por día.
Para ser conservadores, supongamos el número más bajo: 15 inicios de sesión por día. El mundo tiene una población de 8 mil millones de personas, de las cuales el 85% tiene acceso a teléfonos inteligentes, lo que podría ser un indicador del acceso a tecnología en la que se requieren inicios de sesión.
Por lo tanto, una estimación muy aproximada de los inicios de sesión en todo el mundo por día es 0,85 x 8 mil millones x 15 inicios de sesión, lo que equivale a ~102 mil millones de inicios de sesión por día, o 1,2 millones por segundo.
El problema del costo y la escalabilidad
Ethereum, una de las plataformas blockchain más populares, solo puede manejar alrededor de 6 verificaciones de prueba de conocimiento cero por segundo. Para que blockchain reemplace singularmente los sistemas de inicio de sesión tradicionales, necesitaríamos la capacidad de casi 200.000 blockchains similares a Ethereum funcionando simultáneamente, y eso es antes de que tengamos en cuenta otras transacciones que ocurren en estas redes. En pocas palabras, blockchain en su forma precise carece de la escalabilidad para gestionar incluso una fracción de las demandas de autenticación diarias del mundo.
Pero la capacidad no es el único problema. El costo de verificar los inicios de sesión en una cadena de bloques como Ethereum podría ser extremadamente alto. Como caso base, supongamos que el costo en unidades de gasoline por inicio de sesión es el costo mínimo absoluto por transacción en Ethereum, que es de 21,000 unidades de gasoline. Como referencia, en este momento, Ethereum tiene un precio de $2,400 por ETH. Analicémoslo.
Supongamos que una unidad de gasoline en Ethereum cuesta 5 gwei y 1 gwei equivale a 1/1.000.000.000 ETH. Esto significa que 240 millones de verificaciones de inicio de sesión, cada una con 21.000 gasoline, costarían alrededor de 60,5 millones de dólares por día, y Ethereum tendría un precio de 2.400 dólares por ETH.
Y para colmo, todo ese costo se quemaría en Ethereum, lo que significa que nadie en la pink obtendría ingresos de ello.
Esto no es sostenible.
Los inicios de sesión simplemente no pueden costar tanto como verificar una transacción en un libro de contabilidad público. La descentralización de blockchain, si bien ofrece gran seguridad y transparencia de buena fe, viene con una prima financiera que la hace poco práctica para algo tan mundano pero ubicuo como iniciar sesión en su sitio net favorito.
La cuadratura del círculo
Aún así, las pruebas de conocimiento cero (ZKP) ofrecen un rayo de esperanza en un panorama que de otro modo sería sombrío. Los ZKP permiten a los usuarios demostrar su identidad sin revelar ninguna información confidencial, algo muy lejano del mundo precise, donde los datos personales están dispersos en miles de bases de datos, cada una de las cuales es un objetivo potencial para los piratas informáticos. En teoría, los inicios de sesión impulsados por blockchain utilizando ZKP podrían marcar el comienzo de una nueva period de privacidad, una en la que las contraseñas y los nombres de usuario sean reliquias del pasado.
Pero la teoría y la práctica rara vez se alinean tan claramente. Si bien las ZKP pueden resolver algunos problemas de privacidad, introducen otros problemas, a saber, la necesidad de importantes recursos computacionales y el alto costo precise de verificar estas pruebas.
Como se mencionó anteriormente, Ethereum lucha con estas demandas y, aunque otras cadenas de bloques como zkVerify están trabajando para reducir drásticamente los costos, la tecnología aún no está lista para una implementación generalizada. Y luego está el desafío de la experiencia del usuario. La mayoría de los usuarios de Web no son expertos en criptografía, por lo que cualquier sistema nuevo debe ser tan fluido como la combinación precise, aunque defectuosa, de nombre de usuario y contraseña.
Los problemas de UX tampoco deberían ser ignorados. El hecho de que algo sea técnicamente superior no significa necesariamente que será adoptado ampliamente (tomemos el sistema operativo Linux como un gran ejemplo). La industria debe combinar ambas cosas para tener éxito.
Si bien los inicios de sesión no deberían conllevar ningún costo directo, a menudo los tienen, ocultos en los servicios que utilizamos. Worldcoin ofrece una solución de inicio de sesión basada en blockchain que utiliza escaneos de retina para autenticar a los usuarios con pruebas de conocimiento cero, verificadas en la cadena de bloques Optimism. Aunque este proceso cuesta sólo 0,0033 dólares por inicio de sesión, cuando se escala a 240 millones de inicios de sesión por día, el gasto alcanza la insostenible cifra de 800.000 dólares diarios.
Si bien se trata de una reducción del 98,5% en comparación con Ethereum, el sistema opera en una capa diferente, más centralizada, sacrificando la descentralización por la escalabilidad. Por el contrario, los servicios en la nube como AWS Cognito ofrecen una alternativa mucho más barata, que cuesta 0,0025 dólares por usuario al mes, lo que hace que la opción blockchain sea un 98,5% más cara. Claramente, los inicios de sesión de blockchain tienen margen de mejora.
Entonces, ¿dónde nos deja eso? Blockchain tiene los ingredientes para interrumpir los inicios de sesión, aunque no una receta clara para lograrlo. A medida que continúan desarrollándose los avances en rentabilidad y escalabilidad, como las soluciones de Capa 2 basadas en conocimiento cero, podríamos estar acercándonos a un punto de inflexión. Si bien los sistemas basados en blockchain actualmente luchan por competir con la infraestructura de bajo costo y alta velocidad de proveedores de nube como Amazon y Google, la balanza se está inclinando a su favor.
Mencionado en este artículo.
