Las realidades del cambio a un futuro informático sin contraseñas

La mejora de la seguridad informática está en el horizonte tanto para las empresas como para los usuarios individuales que deseen adoptar una alternativa a las contraseñas. Sin embargo, a pesar del creciente desdén por el engorroso proceso de crear e ingresar contraseñas, la transición hacia un futuro sin ellas está ganando terreno a un ritmo sorprendentemente lento.

El consenso en el espacio de gestión de identidades y acceso respalda sólidamente la idea de que las contraseñas no son la forma más segura de proteger los datos. No busque más allá del Informe de violaciones de investigaciones de datos de Verizon de este año para obtener pruebas. Encontró que el 32% de los casi 42.000 incidentes de seguridad involucraron phishing y el 29% involucraron credenciales robadas.

Además, existen numerosos casos en los que se advierte a los usuarios que cambien sus contraseñas debido a la exposición a un incidente de seguridad. Estos hallazgos subrayan la necesidad de métodos de autenticación que no dependan de contraseñas.

Dos palabras de moda utilizadas para el concepto de eliminación de contraseñas son autenticación sin contraseña y sin contraseña. Estos dos términos, aunque similares, no son lo mismo. Sin embargo, ambos sugieren obtener acceso a contenido digital sin ingresar contraseñas. La diferencia clave es la tecnología invocada para eliminar el uso de contraseñas.

Más que simplemente mejorar la experiencia del usuario, varios requisitos organizacionales impulsan el cambio hacia la eliminación de contraseñas, según Mesh Bolutiwi, director de Cyber ​​GRC (Gobernanza, Riesgo y Cumplimiento) de CyberCX.

"Estos incluyen un fuerte énfasis en reducir las filtraciones de datos, mejorar la postura general de seguridad y reducir los costos de soporte a largo plazo vinculados a la gestión de contraseñas", dijo a TechNewsWorld.

La seguridad es más esencial que la comodidad

Las soluciones sin contraseña también mejoran la autenticación de usuarios y la escalabilidad para las empresas al proporcionar una forma más eficiente de cumplir con los requisitos normativos y de cumplimiento aplicables.

Añadió que el rápido crecimiento y la sofisticación de los dispositivos informáticos móviles también han desempeñado un papel importante en la eliminación de contraseñas. Los métodos de autenticación tradicionales suelen resultar insuficientes en estos dispositivos.

Irónicamente, ese factor está provocando un mayor uso de dispositivos móviles para facilitar la autenticación sin contraseña. Si bien las empresas son cada vez más vulnerables a los ataques basados ​​en contraseñas, sólo unas pocas tienen los medios para defenderse de ellos.

Las contraseñas son muy vulnerables a los ciberataques que son engañosamente sutiles y adoptan diversas formas. El uso de autenticación sin contraseña minimiza este riesgo.

Las grandes tecnológicas impulsan soluciones sin contraseña

Google y Microsoft están allanando el camino para alternativas de contraseñas.

Google lanzó una versión beta abierta para claves de acceso en cuentas de Workspace en junio. Permite a las organizaciones permitir que sus usuarios inicien sesión en una cuenta de Google Workspace o Google Cloud utilizando una clave de acceso en lugar de sus contraseñas habituales.

Las claves de acceso son credenciales digitales vinculadas a cuentas de usuario, sitios web o aplicaciones. Los usuarios pueden autenticarse sin ingresar un nombre de usuario o contraseña ni proporcionar ningún factor de autenticación adicional.

La tecnología Authenticator de Microsoft permite a los usuarios iniciar sesión en cualquier cuenta de Azure Active Directory sin contraseña. Utiliza autenticación basada en claves para habilitar una credencial de usuario vinculada a un dispositivo. El dispositivo utiliza un PIN o datos biométricos. Windows Hello for Business utiliza una tecnología similar.

Mejor aunque no perfecto

La autenticación sin contraseña no es inmune al malware, al hombre en el navegador y a otros ataques. Los piratas informáticos pueden instalar malware diseñado específicamente para interceptar contraseñas de un solo uso (OTP), por ejemplo, utilizando soluciones alternativas.

“Si bien la autenticación sin contraseña ofrece una solución de autenticación sólida, no es completamente inmune a los ataques. Los riesgos a menudo dependen del método empleado, ya sea biométrico o tokens de hardware”, dijo Bolutiwi.

Evita eficazmente los peligros del robo de credenciales. Aun así, no está exento de riesgos, como el posible robo de dispositivos de hardware, tokens o la suplantación de datos biométricos, añadió.

Aun así, la autenticación sin contraseña crea un revés importante para los delincuentes. Según los expertos en ciberseguridad, hace que descifrar sistemas sea más difícil que las contraseñas tradicionales y es menos propenso a la mayoría de los ataques cibernéticos.

Entrada sin ventanas tranquilizadora

Los verdaderos métodos de autenticación sin contraseña no tienen ningún campo de entrada para ingresar contraseñas. En cambio, requiere otra forma de autenticación, como biometría o dispositivos secundarios, para validar las identidades de los usuarios.

Esta solución transmite un certificado para permitir la verificación, lo que aumenta la seguridad al eliminar los ataques de phishing y las credenciales robadas.

Otros métodos de autenticación alternativos podrían llegar a ser más populares. Estos incluyen enlaces de correo electrónico, contraseñas de un solo uso enviadas por correo electrónico o SMS, reconocimiento facial y escaneo de huellas dactilares.

"Sin embargo, las soluciones sin contraseña introducen un enfoque transformador al eliminar por completo el concepto de contraseñas, pasando la responsabilidad de que los usuarios administren credenciales complicadas a métodos de autenticación más intuitivos y fluidos, ofreciendo así un paradigma más seguro", ofreció Bolutiwi.

Preguntas y respuestas que exploran los pros y los contras de no tener contraseñas

TechNewsWorld le pidió a Mesh Bolutiwi que analizara sus puntos de vista más urgentes sobre cómo avanzar hacia un futuro sin contraseñas.

TechNewsWorld: ¿Cuál es su opinión sobre la mejora general de la seguridad que ofrecen las estrategias de reemplazo de contraseñas?

Malla Bolutiwi: Sin contraseña sigue representando una mejora en la seguridad con respecto a las contraseñas convencionales.

Es fundamental reconocer que ningún sistema de autenticación es completamente inmune a los ataques.

A medida que los métodos sin contraseña se vuelven más frecuentes, es sólo cuestión de tiempo antes de que surjan nuevas técnicas de ataque, dirigidas a posibles puntos débiles o intentando robar datos biométricos.

Además, la creciente tendencia a utilizar dispositivos personales para la autenticación sin contraseña amplifica el riesgo, ya que comprometer el dispositivo móvil de un individuo queda fuera del alcance del control organizacional, lo que hace que la mitigación sea un desafío.

¿Hacer campaña para que los usuarios establezcan contraseñas más rigurosas ayudaría a resolver el problema y reduciría la necesidad de iniciar sesión sin contraseña?

Bolutiwi: Sencillamente, no. Si bien promover la adopción de contraseñas complejas puede ofrecer una mayor seguridad, no es una solución infalible. Incluso con los esfuerzos por reforzar el uso complejo de contraseñas, persisten desafíos como el error humano, la fatiga de las contraseñas, los riesgos de phishing y el mal manejo.

¿Sería este un proceso diferente para usuarios de computadoras no comerciales? Si es así, ¿por qué?

Bolutiwi: La tecnología central seguiría siendo la misma, pero la implementación podría diferir. Los usuarios no comerciales pueden tener necesidades más simples sin necesidad de integración con aplicaciones empresariales a gran escala.

La tasa de adopción también podría verse influenciada por diferentes factores, como la facilidad de uso, en lugar del estricto cumplimiento de la seguridad. Esto último sería una preocupación mucho mayor para las empresas que para los consumidores.

¿Qué impacto tendrán los cambios en los métodos de inicio de sesión para superar las vulnerabilidades del software?

Bolutiwi: Simplemente mejorar la educación de los usuarios y las políticas estrictas de contraseñas no disminuye las vulnerabilidades asociadas con la autenticación basada en contraseñas.

A pesar de su naturaleza desafiante, las contraseñas complejas pueden reutilizarse en todas las plataformas, olvidarse o escribirse de manera insegura y seguir siendo susceptibles a diversos ataques. Estos pueden incluir métodos de ataque de fuerza bruta, phishing y relleno de credenciales.

¿Cómo funcionaría realmente un mundo informático sin contraseñas?

Bolutiwi: En un mundo sin contraseñas, los usuarios se autenticarían utilizando métodos como la biometría: huellas dactilares, reconocimiento facial, escaneos de retina o reconocimiento de patrones de voz.

También podrían utilizar tokens de hardware, como claves de seguridad físicas o claves programables, autenticadores basados ​​en teléfonos inteligentes o incluso patrones de comportamiento. Serían identificados y verificados sin ingresar ningún secreto memorizado usando algo que tienen o algo que son.

Estos dispositivos físicos generan y almacenan claves criptográficas, lo que garantiza que solo la persona autorizada con el token correcto pueda acceder. Estos aprovechan el mismo concepto que los certificados digitales.

Cuéntenos cómo funciona este proceso sin contraseña entre bastidores.

Bolutiwi: A los usuarios que intenten iniciar sesión en un recurso en línea se les puede solicitar que escaneen sus huellas digitales a través de sus dispositivos móviles o biométricos. Detrás de escena, la clave pública de un usuario se comparte mientras se registra en el recurso en línea.

Sin embargo, el acceso a la clave privada, que está almacenada en el dispositivo del usuario, requeriría que el usuario lleve a cabo una acción biométrica para desbloquear la clave privada. Posteriormente, la clave privada se compara con la clave pública y se concede el acceso si las claves coinciden.

¿Qué debe suceder para implementar el acceso sin contraseña a las redes empresariales?

Bolutiwi: Las organizaciones que contemplan la transición a la autenticación sin contraseña deben abordar una gran cantidad de consideraciones. Las mejoras en la infraestructura son primordiales. Los sistemas actuales requerirían actualizaciones o reemplazos para adaptarse a sistemas sin contraseña.

La integración es crucial durante esta fase, ya que garantiza una compatibilidad perfecta entre las soluciones sin contraseña y los sistemas y aplicaciones existentes, junto con pruebas rigurosas. Además, las organizaciones deben evaluar los desafíos relacionados con el soporte y la integración con sistemas heredados, que podrían ser incompatibles con los estándares de autenticación sin contraseña.

Las organizaciones también deben evaluar su panorama tecnológico existente para determinar la compatibilidad con posibles sistemas sin contraseña, tener en cuenta los costos asociados con nuevas instalaciones, modificaciones o actualizaciones del sistema y medir su nivel de adopción de la nube.

¿Qué papel podría desempeñar el elemento humano una vez que el hardware esté instalado?

Bolutiwi: No se puede pasar por alto el elemento humano. La formación de los usuarios es vital y aborda tanto la importancia como el funcionamiento de las nuevas herramientas de autenticación.

Además, las organizaciones deben tener en cuenta la posible resistencia de los usuarios, especialmente cuando los métodos sin contraseña dependen de dispositivos personales, debido a una falta de comprensión o reticencia hacia este novedoso enfoque.

¿Cómo influirían múltiples factores de autenticación en la transición a un entorno informático sin contraseña?

Bolutiwi: La combinación de la autenticación multifactor (MFA) con sistemas sin contraseña crea un proceso de autenticación fortalecido, lo que eleva significativamente el nivel de seguridad.

Incluso sin ingresar una contraseña, fusionar algo que posee un usuario, como un teléfono o un token, con un atributo inherente como una característica biométrica presenta desafíos formidables para los piratas informáticos que intentan replicar ambos.

La integración de MFA con técnicas sin contraseña reduce los riesgos asociados con un punto singular de vulnerabilidad. En última instancia, esto mejora la protección de los sistemas y los datos y facilita una transición más fluida hacia un futuro sin contraseñas.

¿Cuál es la ventaja de MFA sobre depender únicamente de la biometría o el cifrado?

Bolutiwi: La biometría por sí sola puede potencialmente imitarse y las claves criptográficas descifrarse. Por lo tanto, la introducción de múltiples capas de autenticación disminuye en gran medida las posibilidades de que se produzcan violaciones de seguridad exitosas.

Esta estrategia multifacética resuena con el modelo de seguridad de confianza cero, enfatizando la evaluación continua del acceso basada en una multitud de factores en lugar de una dependencia solitaria de las contraseñas.

¿Cuáles son los principales obstáculos para adoptar un sistema sin contraseña?

Bolutiwi: La compatibilidad con sistemas heredados, la resistencia de los usuarios al cambio y las limitaciones financieras son los principales obstáculos en la transición a la autenticación sin contraseña.

Además, el aspecto monetario de esta transición relacionado con el hardware podría sobrecargar el presupuesto de una organización. Además, abordar el posible desconocimiento o vacilación de los usuarios al utilizar sus dispositivos personales para la autenticación podría ser una barrera para la adopción.