Evolucionando más allá de la contraseña: venciendo la contraseña



El primer artículo de esta serie de dos partes examinó formas de mejorar la autenticación multifactor (MFA) e impulsar la adopción. Esta historia analiza cómo las organizaciones pueden adoptar sistemas MFA sin contraseña más avanzados y verdaderos sistemas sin contraseña.

Llegar a la tecnología sin contraseña no será fácil, pero el concepto finalmente está cobrando impulso. Aunque varios proveedores han ofrecido MFA sin contraseña y verdadera tecnología sin contraseña durante algunos años, en su mayoría relegados al uso empresarial, ahora está tomando forma un marco más completo. Apple, Google y Microsoft tienen acordaron conjuntamente adoptar sin contraseña en serio.

Por ejemplo, Apple presentará Claves de acceso, que reemplazan por completo las contraseñas utilizadas para iniciar sesión en sitios world-wide-web, en unos pocos meses. El marco, basado en el estándar FIDO Alliance, utiliza biometría como Experience ID para generar una clave electronic cifrada única que reside solo en el dispositivo y dentro de un llavero cifrado utilizado para otros dispositivos Apple, incluidos Apple iphone, iPad, Mac y Apple Television. Esto lo hace inmune al phishing y otras formas de extracción de datos.

En 2020, Microsoft recurrió a la biometría para la autenticación en Windows 10 y Home windows 365, y la empresa también se está expandiendo sin contraseña a los sitios world wide web. Además, las tres compañías están agregando la capacidad de transferir estos datos de identidad a través de dispositivos y sistemas autenticados. En el pasado, cambiar de teléfono u otros dispositivos generalmente significaba reinstalar las credenciales, una tarea irritante y que consumía mucho tiempo.

Además de incorporar biometría y otros mecanismos de seguridad en sus sistemas operativos, los Tres Grandes están introduciendo kits de desarrollo de program (SDK) que las empresas pueden usar para crear sitios internet sin contraseña. Como resultado, pronto será posible que los consumidores comiencen a deshacerse de las contraseñas de los sitios y servicios compatibles. Al igual que la clave de acceso de Apple, un teléfono móvil u otro dispositivo registrado autentica a la persona y luego envía la solicitud al servidor sin enviar los datos biométricos.

«Donde lideran los grandes proveedores, todos los demás los siguen», dice Don Tait, analista senior de Omdia.

En el corazón de esta transformación se encuentra la Alianza FIDO. «Es un ejemplo clásico del impacto de la consumerización en la tecnología», agrega Rik Turner, analista senior de Omdia. «A medida que las personas comienzan a usar herramientas en su vida privada, comienzan a filtrarse en el lugar de trabajo».

Una cuestión de identidad

Los expertos en seguridad dicen que el primer paso para construir un mejor marco de autenticación es dejar de usar métodos obsoletos como palabras secretas y códigos de un solo uso para verificar a los usuarios. Incluso las aplicaciones drive son vulnerables a los exploits. Por ejemplo, los delincuentes que obtienen acceso a la red de una empresa oa un sistema MFA pueden generar solicitudes de autenticación falsas que alguien podría autorizar en un momento de distracción o falta de atención.

Incluso las YubiKeys altamente seguras y otros tokens U2F no están exentos de vulnerabilidades
y soluciones. Por ejemplo, si un usuario olvida la clave o no puede usarla por algún motivo, la solución típica es volver a un código de texto o una forma menos segura de MFA como respaldo. En ese momento, incluso un token digital ultraseguro no puede brindar protección.

Es clave un uso más profundo y amplio de la biometría y los métodos de verificación de usuarios, incluida la autenticación basada en la presencia y los modelos basados ​​en el comportamiento o la actividad. Esto incluye el uso del protocolo FIDO WebAuthn, que ofrece una API que admite el registro y la autenticación sólidos de criptografía de clave pública. Se puede combinar con un método de autenticación continua que vuelve a verificar la identidad de la sesión a través de un token persistente.

Varias empresas, incluidas Beyond Identity, Veriff, 1Kosmos y Jumio, han adoptado este tipo de enfoque. Se basan en los estándares FIDO que se vinculan con la biometría, junto con un método de prueba de identidad altamente seguro. Por lo normal, solicitan a los usuarios que proporcionen un documento, como una licencia de conducir o un pasaporte, que se almacena de forma segura en una aplicación en el dispositivo. Un selfie o escaneo facial asegura que todo coincida y autentique al usuario.

Por ejemplo, Veriff, que funciona en 190 países, en 35 idiomas y con 8000 ID, ejecuta una verificación de identidad en línea basada en blockchain en unos pocos segundos. Utiliza un motor de decisiones compatible con IA que incorpora comentarios en tiempo actual a través de una verificación de documentos, escaneo biométrico, comparación de rostros, movie de fondo y análisis de dispositivos y redes. Las instituciones financieras, los proveedores de atención médica y otros que usan la tecnología también pueden reducir las cuentas falsas y el fraude.

«Esto crea una barrera que es mucho más difícil de sortear para un mal actor inteligente y decidido», dice Kalev Rundu, gerente senior de productos de Veriff. «La gente de hoy está mucho más dispuesta a usar la biometría para la autenticación, pero solo está lista para hacerlo si recibe un valor actual a cambio y puede mantener el command sobre cómo y dónde se usan sus datos».

Con visión de futuro

El cambio a MFA sin contraseña y sin contraseña serious sigue siendo lento. Por ahora, la autenticación avanzada es más feasible dentro de la empresa, donde se trata de un entorno cerrado y controlado. Michael Engle, cofundador y CSO del proveedor de soluciones MFA sin contraseña 1kosmos, estima que el 80 % de las contraseñas se pueden eliminar casi de inmediato con la estrategia y las herramientas adecuadas.

Por ahora, los analistas de Omdia, Tait y Turner, recomiendan migrar a MFA sin contraseña sin demora. El marco no solo ofrece una experiencia del cliente mejor y más segura, sino que también puede impulsar el crecimiento de los ingresos, argumentan. Además, es aconsejable introducir gradualmente sistemas sin contraseña reales y desarrollarlos a través de FIDO Alliance, así como a través de Apple Passkeys y los sistemas sin contraseña equivalentes en Google y Microsoft.

En el camino, también es esencial educar a los clientes y empleados sobre la autenticación sin contraseña y asegurarse de que las personas comprendan que sus datos biométricos se utilizan como puerta de entrada a las aplicaciones e Online. La combinación de una mejor UX, incentivos y procesos más optimizados puede, a largo plazo, aumentar la seguridad, mejorar la confianza y recortar los costos de seguridad.

Dice Jasson Casey, CTO de Outside of Id: «Al remaining, el objetivo no es eliminar las contraseñas, aunque esa es una causa noble. Es crear una mejor seguridad y un entorno informático más seguro para todos».



Enlace a la noticia initial