Es hora de repensar la identidad y la autenticación



Los sistemas de autenticación e identidad heredados no están equipados para manejar las necesidades modernas. La seguridad, el cumplimiento, la privacidad y la facilidad de acceso de confianza cero requieren un nuevo enfoque: autenticación basada en identidad sin fricciones.

La identidad es la moneda electronic más valorada de la actualidad. Una vez verificado, le da acceso a casi todo. Históricamente, la identidad ha sido validada por un certificado de nacimiento, una identificación emitida por el gobierno y contraseñas, y más recientemente por dispositivos móviles y biometría.

En medio de los constantes ataques de los ciberdelincuentes, estamos viendo un cambio en la forma en que definimos la identidad y aseguramos la autenticación adecuada. Los métodos de seguridad heredados asumen que la persona que inicia sesión es quien dice ser, pero los estándares de seguridad modernos (como NIST 800-63-3 y FIDO2) se enfocan imperativamente en la afirmación de la identidad y se alejan de las contraseñas heredadas.

Este cambio en la seguridad también debe incorporar las necesidades de los usuarios. Con varias cuentas y contraseñas para recordar, la seguridad es un proceso engorroso que aún pone a los usuarios en un riesgo sustancial de comprometer las credenciales.

Aquí hay cuatro formas en las que debemos pensar de manera diferente sobre la identidad y la autenticación.

  1. La identidad y la autenticación deben consolidarse
    Por lo standard, la seguridad se centra en soluciones a prueba de identidad o sin contraseña. Esta separación causa fricciones para las organizaciones y los clientes al implementar dos sistemas potencialmente incompatibles, pero necesarios.

    Hay dos problemas principales al mantener separados la información de identidad y los medios de autenticación, especialmente cuando se trata tanto con empleados como con clientes. Primero, la autenticación nunca será «fluida» para su usuario. Tendrán que lidiar con múltiples contraseñas y nombres de usuario, lo cual es una vulnerabilidad. En segundo lugar, si su empleado united states su plataforma por razones personales como cliente (piense: los empleados del banco también tienen cuentas corrientes con usted), no puede demostrar que es la misma persona, solo que la persona tiene las credenciales de cliente correctas.

    Ya no necesitamos nombres de usuario y contraseñas para autenticar a las personas. La biometría, los dispositivos móviles y la autenticación multifactor son herramientas sólidas. La combinación de estos métodos con la verificación de identidad definitiva al principio lessen la fricción del usuario y mejora la seguridad normal.

  2. Los usuarios deben controlar sus identidades

    Las personas están en riesgo cada vez que brindan información de identificación. Por lo tanto, los usuarios quieren tener más handle sobre quién, qué y cuándo dar esa información. Hoy en día, existen varias formas de devolver la autenticación a las manos de los usuarios:

    • Smartphones que validan datos biométricos
    • Disponibilidad de aplicaciones y dispositivos con contraseña de un solo uso (OTP)
    • Uso de chips de módulo de plataforma confiable (TPM) en computadoras y dispositivos móviles para almacenar claves de cifrado y otros datos
    • Uso de blockchain para almacenar información identificable
    • Requerir el consentimiento de los usuarios para proporcionar detalles de validación

    Dadas estas opciones, el regulate de la identidad y la autenticación del usuario debe ser un requisito. Es obligación de todas las empresas con las que interactúan los usuarios reducir su propio riesgo y el de sus empleados y clientes.

  3. La autenticación debe corresponder al riesgo
    A pesar de la promesa de las tecnologías enumeradas anteriormente, la mayoría de las empresas no las utilizan. Más bien, continúan invirtiendo en formas arcaicas de autenticación que no corresponden a la creciente sofisticación del riesgo. Si bien la autenticación de dos factores ayuda, esta no es una solución única para todos. Cada usuario tiene distintos grados de riesgo y su autenticación debe coincidir en consecuencia.

    La autenticación debe admitir varios métodos, pero puede incluir verificación de cuenta corporativa, acceso a la dirección de correo electrónico y datos biométricos, además de SMS y OTP, como se mencionó anteriormente.

    Las organizaciones no necesitan implementar todos los factores disponibles, pero deben identificar sus usos caso por caso de acuerdo con el riesgo de su organización y usuarios. Teniendo en cuenta que los usuarios desean controlar su propia identidad para mantener una experiencia positiva, también es importante darse cuenta de la necesidad de permitirles potencialmente decidir cuándo adoptar métodos de autenticación más nuevos.

  4. Ambos deben ser manejables de implementar
    La transición a nuevas soluciones es un proceso delicado. Moverse demasiado rápido sin identificar las necesidades complejas de su negocio o preparar a su fuerza de trabajo y clientes es un camino para el fracaso. Concéntrese primero en la mejor manera de consolidar la identidad y la autenticación y construir a partir de ahí. Este marco proporcionará a sus empleados y clientes una autenticación confiable y fácil de usar.

El concepto de identidad ha existido durante décadas, pero la autenticación no se ha puesto al día con sus amenazas avanzadas, hasta ahora. Es hora de dejar de esperar lo mejor con los sistemas heredados y adoptar nuevos medios de autenticación y almacenamiento de información. Esto creará una mejor eficacia de autenticación, experiencia de usuario y seguridad organizacional.

Manténgase al día con las últimas amenazas de ciberseguridad, vulnerabilidades recién descubiertas, información sobre filtraciones de datos y tendencias emergentes. Entregado diariamente o semanalmente directamente en su bandeja de entrada de correo electrónico.

Suscribir



Enlace a la noticia original