La pandemia podría acelerar la autenticación sin contraseña


Mientras celebramos otro Día Mundial de la Contraseña, los profesionales de seguridad esperan que cuando salgamos del período de permanencia en el hogar, las compañías continúen enfocándose en las tecnologías digitales y en deshacerse de las contraseñas.

En los últimos años, en el Día Mundial de la Contraseña, nos hemos preguntado por qué celebramos las contraseñas dada la realidad de que más del 80% de las violaciones de seguridad son causadas por contraseñas y credenciales débiles, según los datos de los altamente reconocidos Informe de violación de datos de Verizon.

Hoy, como miles de empresas se han visto obligadas a trabajar de forma remota debido a las órdenes de quedarse en casa de COVID-19, la pregunta este año es si la pandemia dará como resultado el paso a soluciones de autenticación sin contraseña en masa.

Brad Brooks, CEO de OneLogIn, dice que la experiencia de trabajo desde el hogar COVID-19 hará avanzar a muchas compañías. Pero incluso si no implementan nuevas tecnologías de autenticación de inmediato, dice, los empresarios reconocen que algo tiene que cambiar.

«El período COVID-19 ha acelerado la adopción electronic», dice Brooks. «Es como si alguien atascara el acelerador y saltara a la velocidad más alta».

Frank Dickson, un vicepresidente del programa que cubre la seguridad de IDC, dice que COVID-19 ha obligado a las compañías a repensar la forma en que administran el acceso a la purple. Las VPN estaban bien cuando un pequeño porcentaje de trabajadores necesitaba acceder a la pink de forma remota. Pero con algunas compañías que pasan de un par de cientos de trabajadores remotos a más de 10,000 prácticamente de la noche a la mañana, Dickson dice que no tiene sentido gastar cinco veces o más en VPN.

«Si solo estoy usando Place of work 365 o Salesforce en la nube, ¿por qué necesito acceso VPN?» Dickson dice. «Al utilizar la autenticación sin contraseña, les doy a los usuarios una mejor experiencia, brindo mayor seguridad y disminuyo la cantidad de personas que tengo acceso a la pink. Las compañías pueden usar VPN para las personas que realmente necesitan acceso a la red».

Bil Harmer, CISO y evangelista jefe de SecureAuth, dice que la gente estaba esperando hasta que hubo un evento lo suficientemente convincente como para enfocarse más en las tecnologías digitales y la autenticación de adopción que no se basa en contraseñas. «Cuando termine el período de quedarse en casa, la gente querrá trabajar más desde casa», dice Harmer. «Sin contraseña es la forma más segura de autenticar usuarios a escala».

Y TJ Jermoluk, CEO de Outside of Identification recientemente lanzado, dice que quitar las contraseñas ha sido uno de los 3 objetivos principales para los CIOS durante los últimos años.

«Nuestro objetivo es lograr que las contraseñas ya no sean necesarias», dice. «Una persona puede simplemente levantar el teléfono y comenzar a acceder a las aplicaciones», dice Jermoluk, quien agrega que con el enfoque de Over and above Identity, el dispositivo de punto last actúa como su propia autoridad de certificación X.509. Las claves privadas del usuario se almacenan localmente y la aplicación ejecuta la autenticación desde la nube, o mediante la aplicación de inicio de sesión único existente de una empresa.

¿La misma historia, nuevo capítulo?

El concepto de autenticación sin contraseña no es nuevo. El caso comercial ha estado allí durante varios años: según Gartner, entre el 20% y el 50% de todas las llamadas a la mesa de ayuda son para restablecer contraseñas, mientras que la estadística a menudo citada de Forrester Exploration dice que el costo promedio de mano de obra de la mesa de ayuda para un solo restablecimiento de contraseña es de aproximadamente $ 70.

Jermoluk dice que al automatizar el restablecimiento de contraseñas, las compañías pueden ahorrar en costos de mesa de ayuda, además de invertir parte de ese dinero en aplicaciones de mesa de ayuda automatizadas.

Brooks de OneLogIn señala que también pone a las empresas en el camino de automatizar a los nuevos usuarios en el sistema y les permite acceder a aplicaciones sin contraseñas. El problema en el pasado era que muchos procesos empresariales no podían funcionar de forma remota sin ejecutarlos a través de la VPN. Pero a medida que las empresas mueven más aplicaciones a la nube, están menos vinculadas a las VPN y luego pueden optar por implementar la autenticación sin contraseña.

También hay otros dos beneficios importantes, el cumplimiento y la capacidad de usar cualquier dispositivo. Los sistemas sin contraseña de compañías como Past Id, OneLogIn y SecureAuth, permiten a los usuarios autenticarse mediante huellas digitales o reconocimiento facial. Recopilan datos detallados del usuario, como dispositivo, ubicación, hora, aplicación y propósito. Todos estos datos ayudan a las organizaciones a cumplir con regulaciones como el Reglamento Typical de Protección de Datos (GDPR) y la Ley de Privacidad del Consumidor de California. Y con autenticación sin contraseña, los trabajadores son libres de usar sus propios dispositivos porque hay una conexión segura entre la aplicación y el dispositivo.

«La autenticación sin contraseña también es más segura», dice Brooks. «Los ataques de fuerza bruta no funcionan y los ataques de phishing son más difíciles de hacer».

Curiosamente, investigaciones recientes muestran algunas contradicciones en cómo los usuarios perciben la biometría y las opciones sin contraseña. SecureAuth lanzó un reporte Esta semana, mientras que solo uno de cada tres consumidores se siente cómodo compartiendo sus datos biométricos, un 51% dice que ya está utilizando datos biométricos. Algunas de las aplicaciones líderes incluyen inicio de sesión telefónico, inicio de sesión en la computadora y el uso de una ID de TSA en el aeropuerto.

«He estado usando la identificación de la TSA en el aeropuerto durante algún tiempo», dice Harmer de SecureAuth. «Mucha gente puede gastar la aplicación en el trabajo, pero he visto en todos los ámbitos que puedes convencer a la gente de que use la biometría».

La eliminación de la necesidad de contraseñas puede surgir a medida que más empresas se den cuenta de la debilidad inherente de ejecutar sus sistemas con contraseñas. OneLogIn informes hoy, casi 1 de cada 5 encuestados en su encuesta global ha compartido la contraseña de su dispositivo de trabajo con su cónyuge o hijo, exponiendo potencialmente los datos corporativos.

Francois Lasnier, vicepresidente de gestión de acceso de Thales, agrega que las empresas deben pensar en la autenticación sin contraseña como punto de partida. Las organizaciones necesitan pasar a lo que él llama «administración de acceso moderna», donde los sistemas de administración de identidad hacen uso de todos los metadatos en un dispositivo para decidir si otorgan acceso a un dispositivo.

«Cuando un usuario solicita acceso, el sistema puede otorgar acceso, denegar el acceso o activar un segundo factor de autenticación donde el usuario tiene que demostrar quiénes dicen que son».

Contenido relacionado:

Mira esta lista de productos y servicios de seguridad gratuitos compilado para Darkish Reading through por analistas de Omdia para ayudarlo a enfrentar los desafíos de COVID-19.

Steve Zurier tiene más de 30 años de experiencia en periodismo y publicaciones, la mayoría de los últimos 24 de los cuales se dedicaron a la tecnología de redes y seguridad. Steve tiene su sede en Columbia, Maryland. Ver biografía completa

Lectura recomendada:

Más tips





Enlace a la noticia initial