Planificación de nuestro futuro sin contraseña


Toda la charla de que las contraseñas podrían desaparecer algún día parecía demasiado buena para ser verdad, pero la balanza finalmente comienza a inclinarse hacia una realidad sin contraseña. (Primera parte de una serie de dos partes).

(Imagen: HQUALITY a través de Adobe Stock)

(Imagen: HQUALITY a través de Adobe Stock)

Contraseñas. La sola mención de la palabra es suficiente para hacer que la mayoría de la gente pronuncie obscenidades. Durante años, hemos escuchado promesas de que las contraseñas desaparecerán pronto. Los consumidores y las empresas los odian, son el blanco de las bromas y generan miles de millones de dólares en pérdidas anuales. Sin embargo, de alguna manera persisten.

Finalmente, sin embargo, estamos llegando a un punto de inflexión que puede significar la perdición para las contraseñas y los innumerables dolores de cabeza que crean. Los avances en biometría, autenticación multifactor (MFA) y tokenización, junto con el surgimiento de la Alianza FIDO, están inclinando la balanza.

«Estamos empezando a hacer un progreso serious en la eliminación de contraseñas, pero todavía queda mucho trabajo por hacer», afirma Sean Ryan, analista senior de Forrester Investigation. De echo, 70% de organizaciones hoy en día todavía se basan en un enfoque de autenticación centrado en contraseñas, señala.

El jueves es el Día Mundial de las Contraseñas, así que, ¿qué mejor momento para explorar el estado cambiante de las contraseñas y los sistemas emergentes sin contraseña? The Edge habló con los principales expertos y discutió qué pueden hacer las personas y las organizaciones para avanzar, y cómo se ve un futuro sin contraseña. En este artículo, el primero de una serie de dos partes sobre el tema, analizamos cómo las organizaciones pueden navegar por las contraseñas y cómo se ve un marco de seguridad de mejores prácticas.

Viviendo con contraseñas
Pocas cosas son tan frustrantes para los consumidores y las organizaciones como lidiar con las contraseñas. Sorprendentemente, el 60% de las interacciones de la mesa de servicio de TI están relacionadas con el restablecimiento de contraseñas, según una estadística de Gartner que se cita con frecuencia. Las personas los olvidan, los revelan y ni siquiera pueden realizar un seguimiento de la nueva contraseña que acaban de crear.

«Es completamente imposible para los humanos administrar el espacio de manera efectiva», observa Alex Simons, vicepresidente corporativo de administración de programas en la División de Identidad de Microsoft.

De hecho, el el empleado medio gestiona cerca de 200 credenciales, según la empresa de gestión de contraseñas empresariales LastPass. La ironía, dice Simons, es que la mayoría de las contraseñas cumplen con los requisitos del sistema en cuanto a seguridad y complejidad, sin embargo, son increíblemente fáciles de descifrar para los piratas informáticos porque se basan en frases simples como el mes y el año.

«La gente united states of america patrones muy obvios», dice. «Lo hemos puesto realmente difícil para los humanos comunes y muy fácil para los piratas informáticos en este mundo de nombres de usuario y contraseñas. Así que tenemos que encontrar una manera de salir de eso».

A pesar de la llegada del inicio de sesión único (SSO), la autenticación biométrica y una serie de herramientas y tecnologías más avanzadas, muchas organizaciones siguen encadenadas al infierno de las contraseñas. Por un lado, las aplicaciones y los sistemas de components heredados a menudo requieren contraseñas y, en el caso de los mainframes, suele ser una contraseña de ocho dígitos.

«Todavía hay una gran cantidad de datos valiosos protegidos solo por una contraseña de ocho o 12 caracteres», dice Joe Nocera, líder del Cyber ​​and Privacy Innovation Institute de PwC.

Por otro lado, hasta hace poco, no había ninguna forma práctica de eliminar las contraseñas de sitios net, aplicaciones y dispositivos de World-wide-web de las cosas (IoT). Transmitir un nombre de usuario y una contraseña a través de Internet fue la forma en que se hizo. Luego, los delincuentes se dieron cuenta de que robar contraseñas y piratear bases de datos y obtener texto sin cifrar o contraseñas hash period un negocio lucrativo que les permitía participar en todo, desde el robo de identidad hasta la plantación de ransomware. Hoy en día, una contraseña de ocho caracteres se puede descifrar en tan solo Dos horas y media.

MFA es basic
En muchos aspectos, las contraseñas son llaves maestras digitales en la era electronic.

«Las contraseñas se diseñaron como un medio para proporcionar acceso seguro a los datos que se encuentran en un servidor, pero la contraseña también se encuentra en el servidor», dice Andrew Shikiar, director ejecutivo y CMO de FIDO Alliance (Fast Identification On the net), un consorcio de más más de 250 pesos pesados ​​de las empresas que trabajan para promover soluciones sin contraseña. «El problema con eso es que cualquier cosa en un servidor puede y será robado, y lo vemos una y otra vez».

Sorprendentemente, el 80% de las infracciones están vinculadas a contraseñas, según el «Informe de violación de datos de Verizon 2020. «Con tasas de éxito en los ataques de phishing que alcanzan el 50% y los costos de la mesa de ayuda cuestan $ 70 o más por incidente, según Forrester, las organizaciones deben comenzar a repensar el concepto profundamente defectuoso de que las contraseñas más sólidas por sí solas resolverán el problema.

Además, a pesar de que los consumidores abandonan un tercio de sus compras en línea debido a contraseñas olvidadas y la necesidad de restablecerlas, una encuesta de Experian encontró sobre 75% de las empresas todavía temen incomodar a los clientes al introducir MFA, que requiere que los usuarios verifiquen sus identidades de varias formas para acceder a una aplicación.

Sin embargo, llegar sin contraseña no es una ruta directa. A medida que las organizaciones comienzan a planificar e implementar un futuro sin contraseñas, la MFA con contraseñas tiene un papel central. Los códigos de texto, los códigos móviles en aplicaciones como Microsoft Authenticator o Google Authenticator, o las autorizaciones emergentes basadas en token en una aplicación o en un dispositivo portátil, como Apple View, pueden reducir los ataques exitosos en más del 99%. También es posible agregar MFA a hardware y program heredados que inicialmente no lo admitían.

¿El consejo de Simons? «Energetic MFA en todas partes, porque ahora se ha salido del patrón de riesgo principal», dice.

Un buen paso de transición en el camino hacia la eliminación de contraseñas, dice Nocera de PwC, es usar un PIN o token que permanezca en un dispositivo community. De esa manera, la contraseña, incluso si está comprometida, no proporciona acceso a una cuenta.

«Es posible utilizar un token blando o duro o incluso una herramienta de desafío-respuesta, para saber que la persona es quien dice ser», dice.

Esta capacidad se puede combinar con análisis de comportamiento, como datos de geolocalización o detección de anomalías, para aumentar el nivel de datos de identidad requeridos.

«Simplemente no quieres que la contraseña sea la única clave del reino», agrega Nocera.

Los teléfonos inteligentes y dispositivos portátiles que usan identificación facial o biometría táctil para autenticar a un usuario no siempre reemplazan la contraseña, pero pueden enmascarar las contraseñas y reducir la necesidad de restablecerlas. Además, dice Simons, debido a que el teléfono almacena datos de identidad localmente en un Módulo de procesador confiable (TPM), un criptoprocesador seguro que tienen prácticamente todas las Computer y teléfonos inteligentes modernos, no se puede acceder a la biometría y otros datos sensibles de la máquina, incluidas las claves de cifrado, desde el exterior y los datos nunca salen de la máquina.

Esto significa que incluso sin un sistema sin contraseña, es posible obtener una prueba firmada criptográficamente de que una persona es quien dice ser. Si las contraseñas coinciden en ambos extremos y el autenticador secundario almacenado en el TPM del dispositivo del usuario se comprueba, el usuario inicia sesión con una clave privada. En este punto, los riesgos de seguridad disminuyen sustancialmente y los usuarios tienen una forma más fluida de iniciar sesión en las cuentas.

Otras herramientas avanzadas de MFA incluyen dispositivos con llave de seguridad que utilizan los protocolos FIDO U2F o FIDO2 y se conectan a través de USB, Bluetooth Reduced Vitality (BLE) o comunicaciones de campo cercano (NFC). Algunos ejemplos de estos incluyen YubiKey, RSA SecureID Accessibility y las llaves de seguridad Titan de Google. Si bien es posible que una persona acceda a un sitio web falsificado e inicie sesión con credenciales y algunas formas de autenticación multifactor, un token de components no funcionará en un sitio falso. Aunque estos dispositivos pueden ser un poco difíciles de configurar, generalmente son más fáciles de usar para la autenticación que un teléfono o un reloj.

El camino hacia la tecnología sin contraseña
El objetivo final, por supuesto, es eliminar por completo el uso de contraseñas. Si bien el software y los sistemas más nuevos admiten cada vez más marcos sin contraseña, la lista incluye sitios como eBay, Microsoft Windows Hello para empresas, y Azury varios componentes integrados en iPhones, Apple Watches y varios dispositivos Android: la transición ha comenzado en serio.

El motor de esta migración es FIDO2, que se basa en un conjunto de especificaciones que estandarizan la autenticación en entornos móviles y de escritorio. Esto incluye WebAuthn y CTAP, que ofrece protocolos y API para la infraestructura web, incluidos los navegadores. FIDO2 ofrece un marco que permite que la información confidencial de inicio de sesión permanezca en el TPM de un dispositivo, eliminando así los riesgos de phishing e introduciendo claves criptográficas que no se pueden rastrear en todos los sitios. Virtualmente todas las principales empresas tecnológicas y financieras, incluidos Apple, Google, Microsoft y Amazon, se han unido a la alianza.

«La tecnología FIDO2 está permitiendo la transición a la tecnología sin contraseña», dice Ryan de Forrester. «Después de años de promesas, finalmente está convirtiendo el concepto en realidad. Es posible que sigamos viendo las contraseñas de una forma u otra durante muchos años hay infraestructura, sistemas y aplicaciones en las que es simplemente imposible dejar de usarlas, pero las organizaciones pueden comenzar a implementarlas. sistemas de hoy «.

La Parte II, que se publicará el jueves, analizará cómo se ve un mundo sin contraseña y cómo las organizaciones pueden hacer la transición a un marco sin contraseña.

Samuel Greengard escribe sobre negocios, tecnología y ciberseguridad para numerosas revistas y sitios website. Es autor de los libros «Online de las cosas» y «Realidad virtual» (MIT Push). Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial