Cómo ir más allá de las contraseñas y la MFA básica


No es una cuestión de si vendrá sin contraseña, es simplemente una cuestión de cuándo. ¿Cómo debería prepararse su organización? (Segunda parte de una serie de dos partes).

Esta es la segunda de una serie de dos partes sobre la evolución de las contraseñas. A principios de esta semana, The Edge examinó el estado de las contraseñas y autenticación multifactorial. Ahora nos movemos más allá para ver cómo es un mundo sin contraseña y cómo las organizaciones pueden hacer la transición a un marco sin contraseña.

(Imagen: Song_about_summer a través de Adobe Stock)

(Imagen: Song_about_summer a través de Adobe Inventory)

Érase una vez, una contraseña de ocho caracteres era todo lo que se necesitaba para proteger un sistema. Descubrir una contraseña puede llevar años. Por supuesto, aparecieron computadoras más potentes y algoritmos más avanzados y se cortaron de dos maneras: hoy no se necesitan más de dos horas y media para descifrar una contraseña de ocho dígitos utilizando algoritmos avanzados y un enfoque de fuerza bruta. De hecho, los procesadores más rápidos pueden digerir la alucinante 102,8 mil millones de hashes por segundo.

Decirles a los empleados y consumidores que tienen que crear contraseñas seguras sin otra protección se ha convertido en una tontería. No solo es imposible recordar contraseñas complejas, especialmente cuando las llamadas mejores prácticas se multiplican en docenas o cientos de sitios, no protege contra el phishing. Si bien una contraseña de 12 o 15 caracteres es más difícil de descifrar, y es aconsejable usarlas, las empresas deben reconsiderar fundamentalmente la forma en que abordan las contraseñas, especialmente cuando computadoras cuánticas mucho más poderosas aparecer.

«Las organizaciones deben buscar oportunidades para eliminar las contraseñas por completo», dice Joe Nocera, líder del Cyber ​​and Privateness Innovation Institute de PwC. «La tecnología ha avanzado hasta el punto en que es posible utilizar datos biométricos y tokens para establecer confianza y otorgar acceso condicional basado en el token».

Es más, cuando los sistemas sin contraseña se combinan con la gestión de acceso e identidad empresarial (IAM) y el inicio de sesión único, la comodidad y la seguridad aumentan mientras que los costos bajan.

Sin duda, la autenticación sin contraseña es una bendición para los consumidores y empleados, que no están obligados a recordar una contraseña, restablecer una contraseña cada pocos meses y se encuentran periódicamente bloqueados de una cuenta. Hace posible usar un teléfono inteligente o un dispositivo con llave de seguridad para iniciar sesión en sitios y realizar transacciones sin tener que ingresar una contraseña, porque no existe ninguna contraseña. En los últimos meses, la tecnología también parece manejar dispositivos perdidos, y los tokens que residen en ellos, sin volver a tener una contraseña.

Sin pase gratuito
En el centro de todo sin contraseña está FIDO2. El marco independiente del proveedor permite que una persona use un sistema de desbloqueo electronic, como Deal with ID o Contact ID en un teléfono inteligente, o voz o un PIN en un dispositivo para autenticarse. El marco funciona en Home windows, Mac y Android. Una vez que se completa la autenticación del dispositivo, una clave criptográfica privada almacenada en el módulo de plataforma segura (TPM) de la máquina se comunica con una clave criptográfica pública utilizada para un sitio internet o una aplicación. Dado que el TPM no se puede modificar y es inaccesible fuera del dispositivo en el que se encuentra, ofrece la verificación absoluta requerida. En otras palabras, se puede confiar plenamente en la persona.

Es un concepto uncomplicated basado en tecnología de capas complejas.

«Es criptográficamente fuerte y está ligado al usuario y al dispositivo», dice Alex Simons, vicepresidente corporativo de administración de programas en la División de Identidad de Microsoft. «Entonces, aunque nada está al 100%, es casi inconcebible que alguien pueda entrar».

Además, el marco FIDO2 tiene protecciones adicionales integradas. Por ejemplo, una conexión segura entre claves criptográficas solo dura una sesión en particular. Si un delincuente puede de alguna manera obtener acceso al código específico utilizado para una sesión, no es válido y se rechaza. Esto hace que un ataque de hombre en el medio (MITM) sea imposible.

Como resultado, FIDO2 está ganando una rápida adopción y haciendo posibles verdaderos sistemas sin contraseña. Aunque todos los principales actores de la industria tecnológica se han adherido al concepto, incluidos Apple, Microsoft, Google, Amazon, Intel, ARM y Qualcomm, la migración a la tecnología sin contraseña no ocurrirá de la noche a la mañana. Hasta ahora, la mayoría de los componentes sin contraseña han aparecido para usos específicos, como los intercambios de cifrado, aunque eBay se ha convertido en el primer sitio world-wide-web importante en prescindir por completo de las contraseñas, y Microsoft se ha subido al tren sin contraseña de una manera importante.

eBay hizo la transición a marco sin contraseña en 2020. Primero, construyó su propio servidor FIDO de código abierto para poder mantener el máximo handle sobre la gestión de autenticación. Luego configuró la autenticación de segundo issue utilizando el protocolo UAF de FIDO con flujo de notificaciones thrust. Por lo tanto, cuando los usuarios inician sesión con un dispositivo que admite FIDO2, se les pregunta si desean inscribirse en la autenticación sin contraseña. Si optan, registran sus datos biométricos y, luego, el inicio de sesión se produce a través del biométrico. No se requiere nombre de usuario ni contraseña. Por ahora, la recuperación de la cuenta aún se lleva a cabo mediante un proceso de restablecimiento de correo electrónico convencional, aunque eBay está trabajando para que el proceso de recuperación también sea sin contraseña.

Aún más impresionante es la incursión de Microsoft en la tecnología sin contraseña. El soporte completo sin contraseña está integrado en el servicio en la nube Azure, junto con todos los dispositivos con Home windows 10. La plataforma del consumidor, llamada Hello there, está abriendo camino hacia la tecnología sin contraseña. Más de 200 millones de personas ahora inician sesión en sus dispositivos informáticos todos los meses sin usar una contraseña, dice Microsoft. La tecnología también permite brindar acceso a servicios, sitios y más. Los usuarios se inscriben con un escaneo facial y un PIN, y en las computadoras portátiles habilitadas para Contact ID pueden incluir una huella electronic como una capa adicional de protección. Si varios usuarios confían en un solo dispositivo, incluso es posible crear varias cuentas.

Además, Microsoft ha introducido una forma de incorporar métodos de autenticación más avanzados y lidiar con un dispositivo perdido o token físico. Su Pase de acceso temporal evita una contraseña con un código temporal.

Autenticación: la próxima generación
En los próximos años, cuando Apple y Google adopten el soporte completo para la autenticación sin contraseña FIDO2 en teléfonos inteligentes y dispositivos portátiles, es casi seguro que la tecnología se extienda a la corriente principal.

«Los dispositivos actuales no requieren el uso de una contraseña», afirma Andrew Shikiar, director ejecutivo y CMO de FIDO Alliance. «El primer paso es quitar la contraseña de las manos del usuario. El siguiente paso es quitar las contraseñas de los servidores. Esto cambiará fundamentalmente la experiencia del usuario y representará un gran avance en ciberseguridad».

En ese momento, un consumidor o empleado pasará por sitios world-wide-web y servicios e iniciará sesión sin problemas y de forma invisible. Las empresas saldrán del negocio del restablecimiento de contraseñas de una vez por todas y mejorarán la seguridad. La ausencia de contraseña tiene repercusiones importantes para los sistemas IAM que actualmente administran miles de personas, máquinas y dispositivos de World-wide-web de las cosas (IoT) en entornos vastos de múltiples nubes y cadenas de suministro extendidas.

Para los minoristas y otros que dependen de las cuentas, «el mayor beneficio es una disminución en el abandono durante el proceso de apertura de la cuenta. También puede reducir la responsabilidad debido a mantener las contraseñas en una foundation de datos con fines de cumplimiento y, al mismo tiempo, reducir e incluso eliminar la apropiación de la cuenta», dice Mickey Boodaei, director ejecutivo de Transmit Safety, una empresa que ofrece una solución basada en FIDO2 que automatiza y administra las inscripciones.

Sin embargo, FIDO Alliance no se detiene allí. El mes pasado anunció el lanzamiento del Protocolo FIDO Machine Onboard (FDO), un nuevo estándar de IoT abierto que permite que los dispositivos se incorporen de forma sencilla y segura a las plataformas de gestión en la nube y en las instalaciones. El marco aprovecha la criptografía de clave pública asimétrica para construir un sistema de gestión seguro de cualquier dispositivo a cualquier dispositivo. Salah Machani, director, tecnólogo de ingeniería de RSA, describe la especificación como «un hito crítico para asegurar la cadena de suministro y el ecosistema de IoT».

Dar el paso a la tecnología sin contraseña
Por ahora, el analista senior de Forrester Analysis, Sean Ryan, sugiere que las empresas comiencen a realizar la conversión a aplicaciones sin contraseña a través de la nube y aplicaciones basadas en software package como servicio (SaaS), y se aseguren de que los servicios de directorio y los sistemas IAM puedan admitirlo.

Además, «si tiene una solución IDaaS (identidad como servicio), construya a partir de eso y use el método proxy para volver a ingresar y proteger las credenciales de la contraseña de la exposición mientras permite que las personas utilicen un enfoque de inicio de sesión único , eso es sin contraseña «, dice. «(En última instancia) debe abordar la tarea en pasos y adoptar un enfoque por fases. Hay algunos sistemas que es posible que no pueda modernizar».

También es aconsejable asegurarse de que las personas se sientan cómodas al iniciar sesión con Deal with ID, Touch ID, Voice ID y otros datos biométricos. Ryan sugiere utilizar un enfoque de suscripción voluntaria y asegurarse de que los datos biométricos siempre permanezcan en el dispositivo y en el TPM. A medida que las organizaciones comienzan a poner en marcha sistemas sin contraseña orientados al consumidor, es importante asegurarse de que funcionen con los principales navegadores internet y en todas las principales plataformas, servicios en la nube y sistemas operativos. También es esencial ofrecer diferentes formas de autenticación, incluidos métodos no biométricos como un PIN que se almacena en el TPM de un dispositivo. Para algunos, esto puede ayudar a aliviar los problemas de privacidad.

Al final, no es una cuestión de si vendrá sin contraseña, es simplemente una cuestión de cuándo. Después de años de arranques, promesas y decepciones, el marco tecnológico existe para construir un marco de autenticación mejor, y mucho menos engorroso.

«Es posible que las contraseñas nunca desaparezcan por completo», dice Simons de Microsoft. «Pero la situación puede volverse más parecida a cuando una persona va a un cajero automático. Todos los sistemas de back-stop, incluidos los mainframes, se vuelven invisibles. Dentro de cinco años, la mayoría de las personas que utilizan dispositivos informáticos no tendrán que lidiar con contraseñas».

Samuel Greengard escribe sobre negocios, tecnología y ciberseguridad para numerosas revistas y sitios website. Es autor de los libros «Net de las cosas» y «Realidad virtual» (MIT Press). Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique