El fin de las contraseñas: los expertos de la industria exploran las posibilidades y los desafíos.


Las contraseñas han sido un estándar de la industria y un dolor de cabeza de la industria durante décadas. Conozca algunos consejos de mejores prácticas para la administración de contraseñas de expertos en seguridad tecnológica.

<a href = "https://tr4.cbsistatic.com/hub/i/r/2020/04/13/d56a5560-8c63-460a-bc7d-b2e9b3a2df18/resize/770x/b5668691100eceea687766360a953365/istock-1125002378.jpg" target = "_ blank" data-component = "modalEnlargeImage" data-headline = "

"data-credit =" Imagen: designer491, Getty Images / iStockPhoto "rel =" noopener noreferrer nofollow ">Gestión de contraseñas. Portátil con notas en la pantalla.

Imagen: designer491, Getty Images / iStockPhoto

La administración de contraseñas es la pesadilla de los usuarios finales y los administradores de TI, pero hay opciones para aprovechar al máximo la experiencia y reducir los dolores de cabeza. Varios expertos de la industria discutieron los desafíos y las soluciones a las contraseñas.

Hablamos con Matt Davey, director de operaciones de 1Password, un proveedor de administración de contraseñas en línea; Daniel Smith, jefe de investigación de seguridad en Radware, un proveedor de soluciones de seguridad; Rick McElroy, estratega de seguridad principal de VMware Carbon Black, una plataforma de seguridad virtual; Matt Wilson, asesor jefe de seguridad de la información en BTB Security, un proveedor de soluciones de seguridad; y Ben Goodman, CISSP y vicepresidente senior de negocios globales y desarrollo corporativo en el proveedor de plataformas de identidad ForgeRock.

VER: Ciberseguridad: pongámonos tácticos (PDF gratuito) (TechRepublic)

Scott Matteson: ¿Cuáles son los desafíos actuales con las contraseñas?

Matt Davey: Durante muchos años hemos confiado en las contraseñas para acceder de forma segura a las aplicaciones y servicios que usamos diariamente, tanto en casa como en el trabajo. Hoy, a medida que muchos de estos servicios se trasladan a la nube y las brechas se hacen más grandes y más frecuentes, la autenticación de contraseña es aún más crítica, particularmente para las empresas.

Eso no es probable que cambie. A pesar del aumento de la autenticación sin contraseña como la biometría y el inicio de sesión único (SSO), las contraseñas continúan proporcionando una capa base vital de seguridad en cualquier aplicación o servicio. Las formas de autenticación sin contraseña vienen con sus propios problemas o vulnerabilidades, por lo que las contraseñas son su última línea de defensa en caso de que otros métodos fallen. Cybersecurity Ventures estima que para 2020 habrá al menos 100 mil millones de contraseñas humanas.

El mayor desafío es lograr que los trabajadores cumplan con los requisitos de contraseña modernos, utilizando contraseñas seguras y únicas para cada cuenta o servicio al que acceden. Esto se debe en parte a la educación, pero principalmente el problema es la sobrecarga de la contraseña; tener demasiadas contraseñas largas, complejas y únicas para recordar. Para superar esto, los trabajadores a menudo caen en el uso de la misma contraseña para múltiples sitios, lo que deja a las empresas abiertas a ataques. Si se viola una plataforma aparentemente sin importancia, puede dejarlos vulnerables en todas partes donde se usen esos detalles de inicio de sesión.

Otro desafío que afecta la seguridad de las contraseñas empresariales es la TI paralela, donde los empleados usan aplicaciones y servicios de terceros para hacer su trabajo de manera más eficiente, sin avisar a su departamento de TI. Por ejemplo, Carlos en marketing abre una cuenta Airtable, o Anita en usos legales Grammarly para verificar errores gramaticales. A medida que los empleados continúan encontrando sus propios "ataques de productividad", crean inadvertidamente vulnerabilidades, como contraseñas invisibles, sobre las cuales su departamento de TI no tiene conocimiento ni control.

Matt Wilson: La frustración con la administración de numerosas cuentas en un número creciente de dispositivos es real, y cuando los humanos se frustran, a veces buscamos resolver el problema haciendo compensaciones deficientes sin reconocer que lo estamos haciendo. Hace tiempo que sabemos que solo hay un puñado de categorías para "autenticadores": algo que tiene (por ejemplo, una tarjeta de débito), algo que sabe (por ejemplo, un PIN / contraseña), algo que es (por ejemplo, huella digital), y algo que haces (por ejemplo, usa el mismo cajero automático todos los viernes). Memorizar una contraseña ha sido la forma más fácil para la mayoría de las personas de demostrar su identidad a medida que los servicios en línea han explotado en los últimos 25 años.

Desde los albores de la primera contraseña hemos luchado con los mismos problemas; seleccionar contraseñas seguras y únicas, recordarlas y almacenarlas, y cambiarlas periódicamente.

Las personas eligen contraseñas malas y las comparten en varias cuentas por una razón muy simple: es más fácil de recordar. A medida que los atacantes desarrollaron y refinaron sus conjuntos de herramientas, aumentaron sus capacidades para atacar nuestras cuentas. Su velocidad de ataque, el volumen de conjeturas, la capacidad de enmascarar su ubicación / identidad y la "inteligencia" que han desarrollado para hacer mejores conjeturas hace que proteger nuestras cuentas sea más difícil que nunca.

Rick McElroy: Los datos recopilados en los últimos 20 años muestran que cuanto más requiera la complejidad y rotación de la contraseña, más probable es que los usuarios escriban las contraseñas y aumenten el número de tickets de la mesa de ayuda en la organización. Esto afectará la productividad de los empleados. Usar una contraseña es tan anticuado como usar una llave estándar en su puerta principal. Claro que está bloqueado, pero alguien puede copiar la llave o abrir la cerradura y aún así tener acceso. En un mundo donde las aplicaciones móviles y los sitios web, la autenticación de "recordar contraseñas" puede convertirse en una experiencia frustrante para los usuarios. NIST salió y cambió su guía de contraseña hace unos años, básicamente invirtiendo su postura sobre las fortalezas de contraseña recomendadas y el tiempo entre rotaciones.

VER: Los beneficios de una política de administración de contraseñas (TechRepublic)

Ben Goodman: La contraseña y el nombre de usuario han sido el método principal para autenticar a los usuarios durante años. Sin embargo, a medida que los usuarios crean más cuentas para perfiles de redes sociales, direcciones de correo electrónico, portales de servicios financieros, perfiles de juegos en línea, aplicaciones corporativas y más, los usuarios optan por reutilizar la misma combinación de contraseña y nombre de usuario en todos o la mayoría de los inicios de sesión para evitar la molestia de tener que recuerde múltiples conjuntos de credenciales. Incluso con un administrador de contraseñas, todavía se utiliza una combinación de contraseña y nombre de usuario para iniciar sesión en las aplicaciones, lo que significa que aún puede ser atacado por un mal actor.

Además de esto, incluso cuando las organizaciones eligen someterse a restablecimientos de contraseña frecuentes para sus clientes y empleados, los usuarios aún pueden optar por elegir una contraseña que esté en uso en un perfil diferente. Esta práctica también es costosa, ya que las grandes organizaciones pueden gastar $ 1 millón anualmente para facilitar el restablecimiento completo de la contraseña. Los restablecimientos continuos de contraseña también crean una experiencia de usuario horrible.

Finalmente, incluso si un usuario se ve obligado a crear o cambiar su contraseña actual para incluir tipos de caracteres diversificados, millones aún optan por usar contraseñas débiles como "123456", así como "contraseña1" o incluso "qwerty".

La reutilización de contraseñas crea un riesgo significativo para todos los usuarios y sus empleadores. Esto se debe a que los actores de amenazas con acceso al conjunto de credenciales de inicio de sesión robadas de un usuario pueden reutilizar esa contraseña y nombre de usuario para infiltrarse en cuentas con datos mucho más confidenciales, incluidas cuentas financieras, de atención médica o profesionales. Como resultado, no es sorprendente que cuatro de cada cinco violaciones de datos globales sean causadas por contraseñas débiles o robadas.

Scott Matteson: ¿Cuáles son los remedios?

Matt Davey: Para abordar la situación, las empresas deben abordar el problema de la sobrecarga de la contraseña. La mejor solución es implementar un sistema de gestión, como un administrador de contraseñas. De esa manera, los empleados ya no necesitan recordar muchas contraseñas fuertes y únicas: el sistema las recuerda todas por ellas.

La seguridad debe ser conveniente. Los seres humanos, naturalmente, toman el camino de menor resistencia, así que facilite el proceso de creación y uso de contraseñas seguras para los empleados. Cuando se convierte en parte de su flujo de trabajo, eventualmente los buenos hábitos de seguridad se convertirán en una segunda naturaleza. De lo contrario, los empleados recurrirán a soluciones alternativas no seguras como la reutilización de contraseñas.

La educación y la creación de un entorno donde los empleados se sientan cómodos haciendo preguntas sobre la seguridad empresarial también es importante. No maldezca a las personas por equivocarse: las personas cometen errores. Si conoce los problemas de seguridad a medida que surgen, puede actuar rápidamente para abordar la amenaza inicial y tomar medidas para evitar que ocurra en el futuro.

Daniel Smith: La higiene de contraseña es uno de los mayores problemas que enfrentan las organizaciones y los usuarios individuales en la actualidad.

Una de las formas más fáciles de combatir y solucionar el problema con la higiene de contraseñas es mediante el uso de un administrador de contraseñas y el uso de autenticación de múltiples factores. El uso de un administrador de contraseñas alienta naturalmente a los usuarios a no reutilizar las contraseñas, y hay muchas opciones fáciles de usar disponibles tanto para los consumidores como para la empresa. La autenticación multifactor simplemente crea un paso adicional para acceder a cualquier cuenta y puede ser la barrera necesaria para detener el acceso no deseado.

VER: Las 5 mejores alternativas de contraseña (TechRepublic)

Las empresas, incluso las escuelas, podrían estar haciendo más para ayudar a educar y brindar capacitación a sus usuarios. Cuando se trata de seguridad de contraseña, los usuarios son su primera línea de defensa. Si sus credenciales se ven comprometidas, su empresa lo pasará mal. Cuando se trata de las credenciales de sus usuarios, los procesos de seguridad y capacitación deben ser proactivos, alentando la seguridad de la contraseña fuerte desde el inicio.

Matt Wilson: Durante años, los profesionales de seguridad de la información han aconsejado a los usuarios sobre los buenos hábitos de contraseña y han alentado su adopción, con un éxito limitado. La industria ha estado en el camino de soluciones más accesibles que hacen que las cosas sean más fáciles de usar y se están formando mejores hábitos, pero los buenos hábitos tardan en dar sus frutos. La mayoría de los usuarios deberían elegir un enfoque de generación de contraseñas que sea efectivo, pero lo más importante, que funcione para ellos. El cómic popular XKCD captura perfectamente la mentalidad correcta.

Idealmente, cada cuenta utilizaría una contraseña única y segura. Muchos atacantes aprovechan las listas de adivinación de contraseñas que incluyen contraseñas recolectadas de las numerosas infracciones en los últimos años. Sin embargo, agrupar cuentas por nivel de riesgo es una compensación razonable. Por ejemplo, los usuarios pueden tener una contraseña única y segura para su cuenta bancaria en línea, pero comparten una contraseña razonablemente segura entre varias cuentas individuales en foros de aficionados.

Rick McElroy: La autenticación conductual y continua son clave. Además, aléjese de una tienda central de identidades, que pueden ser pirateadas. La cadena de bloques es prometedora en lo que respecta a la identificación y autenticación, pero los proyectos aún están en curso y en construcción. Se deben incluir múltiples factores en cualquier proyecto futuro de autenticación segura. Cualquier sistema de autenticación que sea estático (lo que significa que depende de un factor) es inherentemente inseguro y no resuelve el problema por completo. La autenticación multifactor recorre un largo camino.

VER: Infografía: la muerte de las contraseñas (TechRepublic)

Scott Matteson: ¿Qué más deberíamos estar haciendo?

Matt Davey: Necesitamos encontrar formas de recuperar nuestro tiempo y el de TI a través de soluciones de contraseña automatizadas. Los profesionales de TI dedican el 20% de su tiempo a las contraseñas, y es uno de los usos menos eficientes de su tiempo. Liberar a TI del monitoreo y la gestión de la seguridad de las contraseñas les permite convertirse en habilitadores, en lugar de administradores.

Sin embargo, no debe evitar que las personas utilicen las herramientas que necesitan en el trabajo. Las empresas necesitan encontrar un compromiso entre las necesidades y la seguridad de los empleados, de lo contrario, corren el riesgo de sofocar la productividad.

Matt Wilson: Cualquiera puede usar un administrador de contraseñas. Los administradores de contraseñas son bastante fáciles de usar, algunos incluso son gratuitos y pueden fomentar buenos hábitos de creación de contraseñas al generar y luego almacenar contraseñas seguras y únicas. Cada vez más, los navegadores web han incluido esta funcionalidad, y los principales sistemas operativos como iOS, Android, MacOS y Windows tienen la misma capacidad. Finalmente, la autenticación multifactor (MFA) puede proporcionar otra capa de autenticación. Existen problemas conocidos para algunas implementaciones de MFA, y los atacantes han encontrado soluciones en algunos casos, pero el uso de MFA sigue siendo una práctica sólida.

Scott Matteson: ¿Qué reemplazará el problema de contraseña en el futuro?

Matt Davey: Incluso con la mayor adopción de autenticación sin contraseña, es probable que las personas y las empresas necesiten contraseñas en el futuro.

Los métodos más populares, como el uso de una aplicación, sitio web o cuenta de correo electrónico para autenticar, requieren una contraseña para iniciar sesión inicialmente. Y estos métodos conllevan riesgos similares a la reutilización de contraseñas; Si su aplicación o correo electrónico se ve comprometido, un atacante puede acceder a todas sus cuentas.

VER: Las 5 contraseñas más pirateadas (TechRepublic)

El futuro traerá más funciones de seguridad como el inicio de sesión único (SSO) y una adopción más amplia de la biometría, sin embargo, esos desafíos adicionales. SSO proporciona una solución segura, pero solo admite una fracción de los servicios disponibles.

Hay más de 30,000 aplicaciones comerciales con más en línea todos los días. Por ejemplo, hoy solo 6,000 están integrados con la compañía líder de SSO.

La autenticación biométrica utilizada de forma aislada conlleva un defecto importante. Si le roban sus datos de reconocimiento facial o huella digital, nuevamente, tendrá los mismos problemas que con la reutilización de contraseña; un atacante puede usar esos datos para acceder a otras cuentas que usan datos biométricos para autenticarse. Excepto, aún más preocupante, es que no puede simplemente restablecer sus características biométricas como lo haría con una contraseña, son permanentes.

La biometría, el correo electrónico y las aplicaciones de terceros son efectivas cuando se usan como un segundo factor para verificar la identidad, pero no como el medio principal de autenticación. El enfoque más seguro es que las empresas coloquen una capa de autenticación sin contraseña sobre las contraseñas, por lo que si una defensa falla, siempre hay una copia de seguridad.

Matt Wilson: Ya existen varias mejoras a la contraseña simple, pero la adopción de administradores de contraseñas integrados en los sistemas operativos populares necesita aumentar.
Los servicios de autenticación federados como los de Apple, Facebook, Microsoft y Google (por nombrar algunos) son otra herramienta que puede reducir la cantidad de desorden de contraseñas que frustra a los usuarios finales.

Hasta cierto punto, la biometría se usa para transacciones y acciones privilegiadas (por ejemplo, TouchID de Apple para teléfonos y computadoras portátiles). La biometría se ha propuesto durante mucho tiempo como el reemplazo completo y absoluto de las contraseñas, pero aún hay inconvenientes y consideraciones de privacidad que aún no se han resuelto.

El análisis del comportamiento del usuario ya está establecido como un factor de puntuación para muchos sistemas de autenticación, y a medida que crece el conjunto de datos de cada usuario, también lo será su utilidad para detectar anomalías potencialmente maliciosas.

Rick McElroy: A corto plazo, parece biomarcadores de manos y huellas digitales, autenticación de dos factores con un dispositivo móvil y, en un mundo posterior a COVID-19, el reconocimiento facial se implementará más rápido que nunca. En algún momento en el futuro, el ADN probablemente se usará para verificar la identidad en el campo médico, pero no se puede aplicar para decir una computadora portátil y un inicio de sesión de Windows actualmente. A largo plazo, podría ver un futuro en el que podría usarse una combinación de medidas como un latido cardíaco y ondas cerebrales. Este tipo de sistemas de identificación ya se están probando en beta en los campos de batalla para garantizar que los criminales e insurgentes correctos sean arrestados y para proteger vidas inocentes. No me sorprendería ver eso desplegado en algún momento en el futuro.

VER: Los hackers se dirigen a la Organización Mundial de la Salud en un intento de robar contraseñas (TechRepublic)

Ben Goodman: Las contraseñas deberían ser cosa del pasado. Hoy, las organizaciones pueden resolver los desafíos que vienen con las contraseñas al aprovechar la tecnología que puede proporcionar un viaje de usuario sin contraseña. Al adoptar un enfoque sin contraseña, las organizaciones brindan a los usuarios experiencias digitales seguras y sin fricción. Con el uso de biometría o notificaciones push, las organizaciones pueden llevar las mismas autenticaciones sin esfuerzo que los usuarios han experimentado en sus teléfonos inteligentes, con tecnologías como FaceID de Apple o el escáner ultrasónico de huellas dactilares de Samsung, a cada punto de contacto digital al tiempo que garantizan la seguridad.

Como parte de una estrategia de autenticación inteligente, la autenticación sin contraseña permite un acceso a prueba de futuro que mejora la experiencia del cliente y garantiza la seguridad al empujar a los usuarios sospechosos a una verificación adicional.

Gartner predice que el 60% de las empresas grandes y globales, así como el 90% de las empresas medianas, implementarán métodos sin contraseña en más del 50% de los casos de uso para 2022. Sin embargo, las organizaciones no necesitan esperar para resolver los problemas de contraseña: si elige la solución correcta, la autenticación sin contraseña es posible hoy.

Ver también



Enlace a la noticia original