La identidad está reemplazando a la contraseña: lo que los desarrolladores de software y los profesionales de TI deben saber


La gestión de identidad y acceso está impulsando la seguridad de las aplicaciones más allá de la autenticación de un solo factor (una contraseña) e incluso la autenticación de múltiples factores a un modelo de gestión de riesgos, dice el CEO de Ping Identity.

Los sistemas de gestión de identidad y acceso están facilitando que los desarrolladores de software protejan sus aplicaciones, que los empleados y clientes accedan a las herramientas y servicios que necesitan y que las empresas protejan sus sistemas y datos. En un episodio reciente de
Desarrollador dinámico

, Hablé con Andre Durand, fundador y director ejecutivo de Ping Identity, sobre cómo el panorama cambiante de la gestión de identidades y accesos está afectando el desarrollo de software. También hablamos sobre lo que nos llevará llegar a un mundo "sin contraseña".

La siguiente es una transcripción de la entrevista, editada para facilitar la lectura. Puede escuchar el reproductor de podcast incluido en este artículo, ver un video arriba o leer una transcripción de la entrevista a continuación.

Bill Detwiler: Entonces, antes de comenzar a hablar realmente sobre la administración de identidades y accesos, para aquellos oyentes y espectadores que no conocen Ping Identity, háganme un resumen de la compañía.

Andre Durand: Bueno, Bill, todo esto de la identidad se ha vuelto realmente importante y es porque no puedes asegurar lo que no puedes identificar. Y todas nuestras vidas ahora están siendo impulsadas en gran medida digitales de alguna manera. Y todas estas interacciones digitales nos involucran interactuando con aplicaciones en nuestro teléfono, en la nube, en empresas de todo el lugar y el papel de la identidad es asegurarse de que el usuario correcto acceda a lo correcto. Así que realmente es una especie de base de este mundo móvil altamente descentralizado en el que vivimos y la necesidad básicamente de unir todo este concepto de acceso apropiado.

Andre Durand, fundador y director ejecutivo de Ping Identity

Andre Durand, fundador y director ejecutivo de Ping Identity

Imagen: Ping Identity

Entonces, para las grandes empresas, las grandes empresas complejas tienen un panorama de TI multigeneracional muy sofisticado que, en algunos casos, se remonta al mainframe y prácticamente todo lo que se encuentra en el medio. Y ahora tienen centros de datos cerrándose, aplicaciones que hacen el ascenso y se trasladan a la nube. Y están adoptando nuevos
SaaS

aplicaciones ahora en múltiples nubes. Entonces, ahora tienen usuarios a través de COVID trabajando en casa. Entonces, para esta noción de cómo se habilita el acceso seguro sin fricciones para los empleados. La identidad es prácticamente el eje. Es el hilo de acero que ahora mantiene unido este nuevo paradigma donde la identidad se ha convertido en el nuevo perímetro.

Entonces, lo que Ping hace en esta ecuación es para las empresas globales, realmente las 3.000 empresas más grandes del mundo, ayudamos a esas empresas a establecer un conjunto de capacidades centralizado, lo que llamamos autenticación y autorización, para permitir a los usuarios autenticarse en la empresa y luego obtenga acceso a cualquier aplicación o recurso, sin importar dónde se encuentre. Y que la empresa tenga control sobre lo que está debidamente autorizado a acceder. Así que es toda esta noción de seguridad de la identidad.

Y lo hacemos para los empleados, lo que significa que los trabajadores que día tras día tienen que autenticar fuertemente, por así decirlo, la empresa para obtener acceso a todo lo que necesitan hacer en sus trabajos, así como nosotros lo hacemos para los clientes. Así que grandes experiencias de los clientes, ¿cómo se registran los usuarios finales y luego se autentican en todos estos productos y servicios a través de su teléfono móvil, a través de sitios web, realmente a través del omnicanal? Asegurar esa identidad y permitir experiencias sin fricciones para todos estos diferentes tipos de identidad. Trabajadores, empleados, socios y clientes. Hacemos eso para 62 de las Fortune 100. Protegemos aproximadamente dos mil quinientos millones de cuentas en todo el mundo, donde probablemente aquí en los EE. UU., 13 de los 15 bancos más grandes aquí en los EE. UU., Todos confían en Ping para una identidad segura, aseguran sus interacciones.

VER: Los 5 principales lenguajes de programación que los desarrolladores web deben conocer (PDF gratuito) (TechRepublic)

¿Cómo deberían pensar los desarrolladores de software en la gestión de identidades y accesos?

Bill Detwiler: Solía ​​ser que las empresas configuraban Microsoft Active Directory y el servidor. Ellos tirarían eso por ahí. Y esa es la forma en que sus empleados se autenticarían en la red y luego podrían tener contraseñas para varios sistemas y aplicaciones, pero con el cambio a la nube, y usted aludió a esto y el cambio a todo como un servicio, el panorama tanto. más complicado. Y especialmente cuando intentas integrar sistemas heredados, como dijiste, mainframes con nuevos sistemas modernos basados ​​en la nube, eso se vuelve realmente complicado.

Contenido imprescindible para desarrolladores

Así que mencionaste esto, pero me encantaría profundizar un poco más, que es cómo deberían hacerlo las personas que buscan crear aplicaciones empresariales o cómo integran todas estas aplicaciones juntas, cómo deberían ¿Están pensando en la gestión de identidades y accesos hasta el día de hoy?

Andre Durand: Bueno, el mundo era un poco más simple cuando todo era Windows y Active Directory era como la ubicación predeterminada en la que almacenamos las identidades y contraseñas de los empleados. Y esencialmente se autenticará a través de Windows Active Directory. Y en un mundo local de Windows, teníamos un inicio de sesión único de forma invisible. En ese momento se llamaba Kerberos.

Pero ahora el mundo está más distribuido que eso. Y el plano de control ha cambiado, o la base ha pasado de ser una especie de visión local centrada en la red y centrada en AD de cómo gestionamos la identidad a, Oye, esta cuestión de la identidad. Realmente es más grande y más central en un mundo altamente distribuido donde todas las cosas que hacemos en nuestro escritorio, por así decirlo, y las aplicaciones que tenemos en nuestro escritorio ahora se están mezclando con muchas aplicaciones que son SaaS y en las nubes.

Entonces, lo que realmente está sucediendo es que la identidad se está centralizando, pero no se está centralizando alrededor de Active Directory local. Ahora se está centralizando en una nueva pieza central o plano de control para todas las aplicaciones en el
nube híbrida

. Por tanto, tanto en las instalaciones como en el material heredado, así como en las nuevas aplicaciones y SaaS que se están trasladando a la nube pública.

Entonces, creo que lo primero que hay que entender es que, desde una perspectiva empresarial, esta noción de tener una identidad integrada en las aplicaciones en todas partes no es ideal, ¿verdad? Quiero decir, entonces, si estás en una gran empresa, eres responsable de proteger todas las joyas de la corona y de permitir el acceso adecuado para todos los usuarios a todo. ¿Cuál es el modelo correcto? Bueno, el modelo correcto es tener un servicio de autenticación centralizado en el que todos sus usuarios, ya sean empleados, socios o clientes, se autentiquen en esa única cosa, por así decirlo. Y luego obtienen acceso a las aplicaciones a través del inicio de sesión único basado en estándares, nuevos estándares que hemos desarrollado durante los últimos años.

Sin el inicio de sesión único basado en estándares, eso no era posible. No fue posible abstraer la autenticación de algo que era central y luego obtener acceso a todas las aplicaciones. Pero la mejor práctica ahora es a través de estos estándares abiertos federados y cosas como el inicio de sesión único en las mejores prácticas para centralizarlos.

Ping Identity: plataforma en la nube PingOne "src =" https://www.techrepublic.com/a/hub/i/r/2021/08/31/ee881e41-ea43-49bd-bf80-40d9809139ed/resize/770x/2d66b3c23499e505658fcb29c23b7bed/ captura de pantalla-2021-08-31-at-11-13-46-am.png

Ping Identity: plataforma en la nube PingOne

Imagen: Ping Identity

Entonces ese es el tema. Las empresas ahora están centralizando los servicios, abstrayéndolos de las aplicaciones para que puedan crear una experiencia de usuario consistente para los usuarios finales que no es aplicación por aplicación, por así decirlo. Existe una experiencia uniforme para la autenticación y la autenticación multifactor. Y luego es algo invisible en cuanto a cómo se integra en el backend con todas estas aplicaciones y servicios.

Lo mismo ocurrirá con la autorización. Todavía no estamos aquí. Todavía estamos en el proceso de centralizar la autenticación. Pero creo que hay que mirarlo desde la perspectiva, es una perspectiva externa. Dice, ¿cuál es la experiencia de usuario que queremos que tengan los empleados o la experiencia de usuario que queremos que tengan los socios?

Y hay que pensar en grande, a nivel empresarial. ¿Es una buena experiencia tener muchas experiencias fragmentadas o es una mejor experiencia tener una? Y creo que si nos fijamos en las empresas nativas digitales, piense en Apple, Google, Microsoft y Amazon. No tiene muchas cuentas de Amazon para acceder a Audible y la tienda de Amazon y Echo y Kindle. Tienes una cuenta de Amazon para todos los productos y servicios. Lo mismo pasa con Google. Y las grandes empresas buscan recrear eso. Quieren experiencias optimizadas, sin fricciones, seguras y consistentes en las que los usuarios interactúen con la marca.

Así que creo que es para apreciar realmente la experiencia del usuario final. Necesitamos centralizar este conjunto de identidades de experiencias de usuario y cómo interactúan con las aplicaciones.

VER: Los mejores lenguajes de programación para aprender y lo peor (TechRepublic Premium)

¿Qué errores cree que cometen las empresas en lo que respecta a la gestión de identidades y accesos?

Bill Detwiler: Sí. Y me recuerda muchas tendencias que vemos en TI en general. Así que hemos hablado sobre la consumerización de TI durante años, y realmente se trata de llevar la simplicidad de esa experiencia del consumidor a la TI empresarial, y eso es lo que estaba hablando de lo que los primeros empleados digitales ahora realmente esperan. Y, sinceramente, yo mismo espero que así sea. Todos queremos simplicidad y parece que soluciones como Ping, lo que realmente estás tratando de hacer es facilitar las cosas al usuario final, obviamente, pero también a las personas dentro de la organización que también están creando esas aplicaciones, porque tú no No tengo que manejar esa parte. Manejan la autenticación. Manejan la administración de identidades y accesos a través de Ping, y luego no tienen que preocuparse por esa parte de la ecuación.

¿Qué errores comunes ve que las organizaciones cometen ahora mismo con la administración de identidades y accesos y cómo evitan esos errores?

Andre Durand: De hecho, creo que, al menos en mis interacciones, es un viaje, en primer lugar, como ir desde el mundo histórico, que era una especie de AD local. Y, por cierto, estaba describiendo principalmente la experiencia de la fuerza laboral. La experiencia del cliente no se centró necesariamente en Active Directory local. Las empresas han tenido sitios web de clientes y aplicaciones móviles que no estaban necesariamente vinculadas a Active Directory. Tenían un conjunto completo de herramientas heredadas de cosecha propia o improvisadas para hacer eso. Por lo tanto, debe separar la experiencia y la tecnología de la identidad de la fuerza laboral de la experiencia y la tecnología de la identidad del cliente.

Pero me limitaría a dar un paso atrás y decir, reconocer que estamos en una situación en la que la identidad se está volviendo central para la seguridad y central para la experiencia del usuario. Mientras que antes podría haberse pensado un poco como una ocurrencia tardía, o, oh, necesito proteger mi aplicación y necesito hacer esto.

Se está volviendo central. Y a medida que se vuelve central y la tecnología se ha vuelto más sofisticada, hacerlo a un nivel de sofisticación, quiero decir, "sin contraseña" no es sencillo. Hay una serie de tecnologías que se utilizan para eliminar la contraseña. Ojalá hubiera un simple santo grial, pero no lo hay, y hay diferentes cosas que debes usar para lograr esta experiencia sin fricciones.

Ping Identity: PingID y diagrama PingOne "src =" https://www.techrepublic.com/a/hub/i/r/2021/08/31/a257322d-2bd6-42a2-abbe-1ba10b2b2df8/resize/770x/73a1818363f14edba77fb90ff2659aa7 /screen-shot-2021-08-31-at-10-54-24-am.png

Ping Identity: diagrama PingID y PingOne

Imagen: Ping Identity

Entonces, cuando da un paso atrás y dice que estamos en un viaje en el que la identidad se está volviendo más central para la seguridad y la experiencia, también se está volviendo más sofisticada. Y el listón de la experiencia del usuario a nivel de empresa es muy alto, lo que significa que los consumidores esperan una experiencia de usuario simple, elegante y singular con una marca. No quieren una experiencia fragmentada a nivel de producto. Es decir, ¿qué sería comprometerse con Amazon si cada empresa que adquirió Amazon simplemente dejara al usuario, inicie sesión, se registre, todo lo demás por separado? ¿Ves lo que estoy diciendo? Esa sería una experiencia realmente pobre, fragmentada y aislada.

Así que creo que se lo agradezco. Se trata de una experiencia simple que debe centralizarse para esa gran empresa. Y simplemente aprecia que estás en ese viaje y realmente no tomas tantas decisiones aisladas que han sido la historia. Ha habido muchas decisiones en silos en las que me permiten optimizar para mi única aplicación o para mi unidad de negocio. Derecha. Y no piense en la experiencia del usuario final que podría estar interactuando con su línea de negocio particular, la propiedad web de su aplicación, pero que al mismo tiempo tiene que interactuar con todos los demás aspectos de su empresa.

Entonces, si es una empresa pequeña con una aplicación, no es un problema. Pero si usted es una gran empresa global que tiene una experiencia de usuario consistente y segura, le sugiero que piense en grande. Ese es realmente el punto. Necesitas pensar en grande.

¿Qué están haciendo las empresas que gestionan correctamente la identidad y el acceso?

Bill Detwiler: Hablas con muchas empresas mientras trabajan en este proceso, ¿verdad? Hablas con las OSC y con los CXO y con los directores ejecutivos de las empresas y estás tratando de ayudarlos en este proceso. ¿Que ves? Supongo, ¿cómo las empresas exitosas rompieron esos silos? Porque si está ejecutando cientos de sistemas internamente y luego docenas de sistemas externamente, como con sus sistemas de cara al cliente y sus sistemas de cara a los empleados, ¿qué están haciendo las empresas que están haciendo con éxito exactamente lo que describió, que es pensar de manera integral en su seguridad? paisaje y no solo decir, bueno, vamos a asegurar esta aplicación, o vamos a asegurar RRHH, y vamos a asegurar esta de esta manera, porque sé personalmente que tengo al menos 10 contraseñas diferentes y 10 sistemas diferentes en los que tengo que trabajar de forma regular. Y es frustrante para mí. Y también puedo apreciar totalmente esa experiencia del cliente, al querer un signo en una identidad que me permita acceder a todo. Entonces, ¿qué están haciendo las empresas de éxito?

Andre Durand: Bueno, aquí es donde la función sigue a la forma, ¿verdad? Y sé que puedes torcerlos en la otra dirección. Entonces, lo que quiero decir con eso es que están reconociendo que la identidad es central o fundamental. Están reconociendo que la experiencia del usuario es primordial y se están organizando a sí mismos y a sus equipos de identidad y el alcance de esos equipos de identidad para cubrir una experiencia de usuario única en múltiples productos y servicios.

Entonces, realmente lo que es, es un reconocimiento de que el status quo de llamarlo toma de decisiones aislada no está logrando la mejor experiencia de usuario. Y están redefiniendo la estructura organizativa para obtener el resultado que desean. Y la estructura organizativa es que ahora se están formando equipos de identidad. Ahora están informando sobre seguridad, mientras que solían ser un poco más genéricos en el grupo de TI. Y ahora informan a seguridad porque la identidad es la base del futuro de la seguridad.

Y están estos oficiales de digital now en empresas que son responsables de los programas digitales y la digitalización de muchos de los modelos de negocios tradicionales, y las personas que ahora tienen el nuevo mandato de crear nuevos canales digitales para sus productos y servicios están diciendo , la experiencia del usuario es primordial. La gente vota sobre la experiencia del usuario.

Entonces, lo que realmente está sucediendo es que se está produciendo una concentración en la que las organizaciones están redefiniendo la centralidad del papel de la identidad en sus propiedades digitales. Y están entrando con estos requisitos, en realidad estos objetivos que dicen que creemos una experiencia singular y se están metiendo, quiero decir, francamente, hay política involucrada en muchas de estas cosas y la construcción organizacional de quién tiene el poder y ¿Tengo el control para hacer esto, o es alguna organización central con un mandato superior? Y lo que estamos viendo es que las empresas dicen que la experiencia del usuario es primordial. Entonces, debemos romper los silos y ellos se están organizando para facilitar ese resultado.

VER: Una guía para la lista de verificación de proyectos de The Open Source Index y GitHub (TechRepublic Premium)

¿Cuándo podemos dejar de usar contraseñas?

Bill Detwiler: Sí, creo que ese es un mensaje que escucho para una variedad de problemas, ya sea con código bajo, sin desarrollo de código, si es seguridad, si se trata de procesos relacionados con el desarrollo, es realmente la forma en que se desglosan esas, realmente, empresas que están teniendo éxito. están rompiendo esos silos y tratando de pensar de manera integral. Así que avancemos un par de años, porque lo mencionaste un poco cuando hablabas de un futuro "sin contraseña". ¿Hacia dónde ve la gestión de identidades y accesos en los próximos años? Y vamos a llegar a un lugar donde al menos la contraseña esté minimizada, ¿verdad? O esas medidas de autenticación, eres tú, como hemos hablado de biometría durante mucho tiempo, pero no eres solo tú, algo que eres, algo que tienes, como un sistema de autenticación de dos factores o un token de clave. Pero también es algo que sabes. Cómo tiene identidad, como una contraseña. ¿Cómo ha cambiado la gestión de identidades y accesos en los próximos años?

Andre Durand: Bueno, hablaste sobre "sin contraseña". Así que permítanme centrar la conversación en la evolución o el viaje en la autenticación y ese viejo mantra de que es mejor tener una especie de tres factores, algo que sabe, algo que es, algo que tiene, por ejemplo, y combina los tres. y eso es difícil de burlar. La verdad es que estamos mucho más allá de los tres factores. Estamos en el factor N ahora.

Ahora hay docenas de señales de riesgo, señales pasivas, a las que tenemos acceso a la biometría de comportamiento similar, como aprovechar todos los sensores en los dispositivos que estamos usando, que nos permiten esencialmente reconocer a las personas sin ninguna acción explícita del usuario. Entonces, una pausa biométrica o digamos por un segundo, sostenga la cámara frente a usted, haremos una identificación facial, sería un evento de autenticación multifactor explícito. Una notificación push a un mensaje de texto que luego tiene un enlace o te pide que vuelvas a leer un secreto, básicamente un pin, para asegurarte. Entonces, el dispositivo que tiene se está utilizando como factor de autenticación.

Consola de administración basada en web de PingID alojada en PingOne "src =" https://www.techrepublic.com/a/hub/i/r/2021/08/31/88ee2474-3d06-4386-a66d-5997aa68fb84/resize/770x /6152affd13adec6bbc2d2b0de2b7bbc7/screen-shot-2021-08-31-at-10-58-15-am.png

Consola de administración basada en web de PingID alojada en PingOne

Imagen: Ping Identity

El futuro de la seguridad sin fricciones, tal como se encarna en este concepto de "sin contraseña", será una combinación de señales de riesgo, señales pasivas sobre nuestro comportamiento, sobre el entorno, sobre el contexto y los dispositivos y otras cosas que estaban surgiendo, de las cuales como dije, ahora hay docenas. Y eventos MFA explícitos, por así decirlo. Uno de esos eventos podría ser déjame revisar tu biometría, como una identificación facial. Y las empresas mezclarán y combinarán estas cosas de diferentes maneras para diferentes poblaciones de usuarios, para diferentes escenarios, lo que significa que el nivel de confianza debe ser mucho más alto si estoy haciendo una transferencia bancaria que si estoy haciendo algo. Tal vez sea más alto por hacer una transacción de comercio electrónico y la dirección es nueva, por ejemplo. Entonces esa sería una condición bajo la cual, Oye, realmente quieres prestar atención.

Así que lograremos en los próximos tres o cuatro años, más seguridad y menos fricciones en el futuro. 100%. Vamos a llegar allí. Pero la respuesta para lograr el mayor nivel de experiencia del usuario y el mayor nivel de seguridad requerirá más sofisticación bajo las sábanas. Vamos a pasar de la ubicuidad de las contraseñas que son algo fáciles, pero ahora nos hemos convertido en la pesadilla de nuestra existencia porque son demasiado complicadas y no podemos recordarlas, a, en esencia, todas estas otras tecnologías son llenarán el vacío y crearán un modelo de mayor seguridad y una experiencia más fluida. Pero no habrá una talla única para todos.

Pasar "sin contraseña" no será una solución única para todos, se trata de la gestión de riesgos

Bill Detwiler: Creo que me recuerda mucho a lo que veo que hacen los bancos y lo que han estado haciendo durante un tiempo con el análisis de riesgo de transacciones crediticias. ¿Derecha? Buscando patrones. ¿Es eso lo que ves? Como hablaste de usar todos los sensores en un dispositivo o mirar las señales que regresan al sistema. No solo decir, está bien, mira, tenemos esta autenticación de que esta acción está ocurriendo, pero ¿esta acción está sucediendo en el momento adecuado? ¿Los datos de geolocalización muestran que este dispositivo está donde se encuentra normalmente? ¿Hay algo fuera de los límites, verdad? ¿Fue a otro estado e intentó comprar gasolina en una gasolinera a la que normalmente no va? Derecha. Y eso levanta una bandera roja. ¿Y cómo hacemos eso? Eso es lo que te escucho describir. ¿Es eso exacto? ¿Es ese el sistema que está describiendo al que nos dirigimos?

Andre Durand: Eso es 100% exacto. Tenemos que pasar de lo que llamaré un plano de control de identidad estático y manual, donde digamos que una talla sirve para todos. De vuelta, todos tienen una contraseña. Es como una talla única para todos. Como si no importara si estás haciendo una transferencia bancaria o algo así. Es como si tuvieras una contraseña. Donde ahora, hay muchos tonos de gris en la experiencia de autenticación. Y muchos de esos tonos de gris de cómo vamos a reconocer y asegurarnos de que estamos interactuando con la persona adecuada. Esa autenticación. Muchos de esos tonos de gris ahora son señales, inteligencia que podemos recopilar y agregar para ayudarnos a tomar una buena decisión de autenticación.

¿Es la confianza alta y el riesgo bajo? Bueno. Haz X. Si las señales han cambiado y pensamos, oh, esto ahora parece, no he visto esto antes. Esto es arriesgado. Quizás necesitemos incrementar la autenticación. Quizás necesitemos denegar el acceso, por ejemplo.

Entonces, lo que ha visto en las transacciones con tarjetas de crédito ahora se está aplicando a la totalidad del plano de control de identidad. Desde el momento en que pasa por una verificación de identidad, hasta el registro de una identidad, la autenticación, la autorización, todo el inicio de sesión para cerrar la sesión. Y, por cierto, incluso antes de eso, cuando ingresa al sitio web, no se ha autenticado, no se ha verificado y no se ha registrado. Hay toda una serie de señales que nos permitirían entender si estamos hablando con la misma persona o estamos hablando con un bot, por ejemplo.

Entonces, hacer que la identidad sea inteligente. Esa es la razón por la que dije que se está volviendo más sofisticado, lo que significa que tener ese nivel de sofisticación integrado en cada aplicación no tiene sentido. Necesitamos centralizar el plano de control de identidad. Necesitamos hacerlo inteligente, y debemos volver a conectarlo a nuestras aplicaciones a través de estándares abiertos, idealmente.

Entrevistas dinámicas para desarrolladores y más



Enlace a la noticia original