Día mundial de la contraseña: avanzamos hacia una infraestructura sin contraseña


Mientras celebramos el Día Mundial de la Contraseña, las empresas de todos los tamaños buscan alternativas de contraseña, incluidas YubiKeys, claves de Google Titan y datos biométricos. Un analista de Gartner pesa.

Karen Roby de TechRepublic habla con el analista de Gartner David Mahdi sobre las opciones disponibles para un futuro sin contraseña. La siguiente es una transcripción editada de su conversación.

David Mahdi: Este es definitivamente un tema muy emocionante, y es realmente muy oportuno dado lo que está sucediendo a medida que cambiamos la fuerza laboral a un nivel más remoto. Las contraseñas y las técnicas de autenticación se utilizan varias veces al día, y todos sabemos que es muy frustrante trabajar con ellas, ¿verdad? Recordando todos ellos y solo innumerables cantidades de ellos. Estamos llegando a su fin, ¿verdad?

VER: VPN: selección de un proveedor y consejos para la solución de problemas (PDF gratuito) (TechRepublic)

Las organizaciones nos han estado preguntando y diciendo: «Hola Gartner, ¿hay opciones viables para la autenticación sin contraseña?» Y de hecho, tanto que fue una de nuestras principales tendencias de seguridad el año pasado, al decir que sí, no period una tendencia para 2019, pero fue algo que vimos señales en el mercado donde las organizaciones querían moverse lejos de las contraseñas y avanzar más hacia un mundo de técnicas sin contraseña. Por lo tanto, hay demanda y deseo, pero no estamos viendo ninguna solución omnipresente que exista hoy en día, pero se está volviendo muy prometedora.

Karen Roby: Hable un poco sobre los problemas que surgen para las empresas y los empleados, y el uso de contraseñas.

David Mahdi: Por supuesto que hay complejidad de contraseña, ¿verdad? Existe la noción de que cuanto más larga sea la contraseña y más caracteres tengamos, sí, sabemos contra cosas como los ataques de fuerza bruta y los ataques de diccionario que realmente pueden frustrar algunos de esos ataques de muchas maneras. Pero también debe pensar: «Bueno, ¿qué tipo de daño les vamos a hacer a nuestros empleados solo en términos de ponerles más estrés al tener que administrar todas estas contraseñas?» Entonces, hay un gran problema de usabilidad aquí, y esa es la noción principal de que muchos clientes acuden a nosotros y nos dicen, ya sea un banco o una empresa, están realmente preocupados por esa carga cognitiva. Y creo que una de las cosas que vemos y todos sabemos, son las notas adhesivas donde escribirás las contraseñas, porque simplemente no estamos hechos para eso. No estamos destinados a memorizar contraseñas, y mucho menos para los cientos de sitios net que también tenemos en nuestra vida personal. Entonces tenemos que lidiar con esto. Y, francamente, la contraseña de la nota adhesiva es un mecanismo de defensa, realmente.

VER: Un futuro sin contraseña: cómo las claves de seguridad y la biometría se están haciendo cargo (TechRepublic)

Karen Roby: Todos somos culpables de las notas adhesivas, creo. Hable acerca de algunas de las opciones sin contraseña disponibles.

David Mahdi: Esa es una gran pregunta y ciertamente una que me entusiasma mucho. Hay muchas opciones que están por venir. Te mostraré, esto está en las llaves de mi car. Tengo un par de variedades de estas claves de Google Titan. Este tiene un USB, USB estándar. Este es un token Bluetooth. Es inalámbrico, lo cual es genial, y sigue siendo una clave de Google Titan. Y estos también son bastante populares, estos YubiKeys de Yubico, que también es USB. Puedes obtener diferentes sabores con USB-C.

Esto realmente ayuda a eliminar la contraseña, donde un usuario puede colocar uno de estos tokens, le pones el pulgar, y esencialmente se activa y te permite iniciar sesión. Ahora hay un pin que generalmente está asociado con él, pero eso Realmente puede ayudar. Y ese es un método, que creo que muchas organizaciones tenían los tokens RSA tradicionales hace muchos años o esas contraseñas de un solo uso, y muchas personas pensaban que los tokens se iban a ir. Pero Google salió hace unos años y dijo: «No tuvimos ningún ataque de phishing exitoso contra nosotros, Google, porque estábamos usando ese tipo de tokens». Todos sus empleados los usarían. Eso es realmente interesante

VER: Conciencia de seguridad y política de capacitación (TechRepublic Top quality)

Pero también hay otros métodos. Biometría Cuando vimos a Apple lanzar el Apple iphone 5 e incluyeron, creo que en realidad period el 5S, y en realidad tengo uno aquí. Incluyeron la identificación táctil, ¿verdad? Este fue el primero en incluir identificación táctil. Y luego, por supuesto, pasamos al reconocimiento facial, iris, and so forth. Y luego también tenemos, con los dispositivos de Microsoft en Windows 10, Windows Good day, que es muy prometedor, no solo para las personas sino también para las empresas, porque ahora hemos incorporado en Windows 10 la capacidad de aprovechar la biometría. Estas son opciones que admiten un marco de autenticación sin contraseña.

Pero aún queda el desafío en el que podría tener mi Apple iphone, mi Google Pixel y mi computadora portátil Area y todos ellos tienen opciones biométricas. ¿Pero cómo manejas eso? Permiten un futuro sin contraseña, pero es realmente difícil reunir a todos esos en este momento bajo una sola capucha. Y ese es el próximo obstáculo que debemos superar. Pero realmente estamos comenzando a avanzar en esa dirección con esas opciones. La biometría, los tokens y lo último que diré son solo los dispositivos que tienen hardware incorporado. Estoy seguro de que si escuchas la jerga de Apple, dirán enclave seguro y otros que hablan sobre entornos de ejecución confiables o módulos de plataforma confiables. Todo esto unido nos ayuda a sentar las bases para un mundo sin contraseña. Pero aún no hemos llegado.

Ver también

20200505-gartner-karen.jpg "src =" https://tr2.cbsistatic.com/hub/i/r/2020/05/07/0f3c7287-ca95-4fd0-a14e-be8c9ef0f23f/resize/770x/3142d82071cb1de7dc865bd200bff172 -gartner-karen.jpg

Karen Roby de TechRepublic habla con el analista de Gartner David Mahdi sobre las opciones disponibles para un futuro sin contraseña.

Imagen: Mackenzie Burke



Enlace a la noticia initial