(Imagen: adrian_ilie825 a través de Adobe Inventory)
La causa de las infracciones ha sido conocida desde el hito «Informe de investigaciones de incumplimiento de datos de Verizon 2017, «Que reveló que el 81% de las infracciones relacionadas con la piratería aprovecharon contraseñas robadas o débiles.
No ha cambiado mucho en los últimos años. De Verizon Informe 2019 confirma que el número de contraseñas robadas y / o débiles aún se encuentra en alrededor del 80%, con un 29% de infracciones causadas por credenciales robadas.
Entonces, una vez más, preguntamos: ¿Qué se necesitará para que la industria salga de las contraseñas? ¿Y qué impide que las organizaciones avancen?
'Nuestra mejor apuesta' para finalizar contraseñas
«Las organizaciones saben que demasiadas personas usan las mismas contraseñas una y otra vez. Es una mala práctica, pero en gran parte se debe a la inercia. Hay demasiadas cosas que hacer», dice Rik Turner, analista principal de Ovum. . «En el futuro, vale la pena echarle un vistazo a FIDO (Autenticación en línea de identidad rápida), ya que tiene muchas de las grandes marcas de consumo detrás de él. Realmente se ha convertido en la mejor apuesta para el futuro de la autenticación sin contraseña».
Si bien es cierto que la industria ha tardado en cambiar, una mirada más cercana revela que se han realizado muchos progresos en 2019. Por ejemplo, Microsoft y Google ahora es appropriate con el estándar sin contraseña FIDO2, y manzana dejó en claro que tiene la intención de admitir FIDO2 para su navegador Safari. En otro movimiento importante, Apple dice que iOS 13.3 (probablemente disponible a principios de 2020) admitirá dispositivos de autenticación populares compatibles con FIDO como el YubiKey.
Del lado del consumidor, empresas como eBay sus desarrolladores han creado sus sitios con la especificación WebAuthn FIDO2, que permite la autenticación sin contraseña utilizando datos biométricos, agrega Andrew Shikiar, director ejecutivo y director de marketing de la Alianza FIDO. A partir de ahora, los usuarios de Android que utilizan Google Chrome 75 pueden acceder a eBay autenticándose con una huella digital o un escaneo facial, lo que sea appropriate con el dispositivo.
Intuit, que también desplegó FIDO autenticación sin contraseña para sus servicios móviles, encontró que sus clientes se autenticaron con éxito el 99.9% del tiempo, en comparación con el 80% al 85% para mensajes de texto. El tiempo de inicio de sesión también se redujo en un 78%. Shikiar dice que muchas más compañías ofrecerán autenticación sin contraseña en sus sitios world-wide-web en los próximos meses.
«Estamos viendo que las organizaciones se están dando cuenta de que las contraseñas son una responsabilidad», dice. «Con FIDO, las organizaciones pueden mejorar la experiencia del usuario, aumentar la seguridad y reducir el riesgo y el tiempo de autenticación».
Matthew Ulery, director de producto de SecureAuth, dice que las organizaciones cambiarán en función de una combinación de cuatro factores importantes: un importante par de la industria (es decir, un banco o compañía de seguros) se viola y no quieren ser la próxima víctima un nuevo CEO o alto ejecutivo entra en la organización y dicta que la compañía avanzará hacia la autenticación sin contraseña una organización se da cuenta de que finalmente tiene que hacer algo para detener la capacidad de las ID sintéticas para robar contraseñas y, finalmente, los clientes presionan por el cambio.
«Los clientes están retrocediendo», dice Ulery. «Ahora es tan fácil leer las huellas digitales o el reconocimiento facial en un teléfono inteligente que los clientes querrán saber por qué no pueden pasar a una solución sin contraseña».
También hay un argumento económico para pasar a la autenticación sin contraseña. Según Frank Dickson, vicepresidente de programas de IDC que cubre temas de seguridad, los empleados, en promedio, llaman a la mesa de ayuda corporativa para restablecer sus contraseñas hasta dos veces al año. Cada llamada cuesta entre $ 30 y $ 40, por lo que de inmediato la autenticación sin contraseña puede ayudar a reducir los costos. Además, debido a que los usuarios se autentican en las aplicaciones y no en la red corporativa con autenticación sin contraseña, las compañías pueden reducir las llamadas relacionadas para ayudar con sus VPN, e incluso eliminar sus costos de administrar una VPN corporativa.
«Las empresas saben que necesitan ir sin contraseña, pero también necesitan encontrar el dinero para hacerlo», dice Dickson. «Cuando se dan cuenta de que pueden eliminar los costos y agregar seguridad al pasar sin contraseña, las cosas comenzarán a moverse. Espero que 2020 sea un año en que gran parte de esto se junte».
(Continúa en la siguiente página)
Steve Zurier tiene más de 30 años de experiencia en periodismo y publicaciones, la mayoría de los últimos 24 de los cuales se dedicaron a la tecnología de redes y seguridad. Steve tiene su sede en Columbia, Maryland. Ver biografía completa
1 de 2
Más thoughts
