Rsa: ¿nunca más contraseñas?

Google ha declarado la guerra a las contraseñas, pero Alisdair Faulkner, Director de Productos y cofundador de ThreatMetrix, cree que están peleando la guerra equivocada. "La idea es loable", dijo Faulkner. "De hecho, la mayoría de la gente usa la misma contraseña simple una y otra vez. Google propone un autenticador físico. El problema es que cualquier tipo de esquema de dos factores debe ser adoptado tanto por los sitios como por los usuarios. Y si pierde su autenticador, ¿entonces que?" También señaló el problema de autenticar a un usuario durante el registro inicial.

ThreatMetrix propone una solución diferente, una que no requiere ningún esfuerzo por parte del usuario. "Nosotros (y muchos otros) creemos que necesitamos hacer de la seguridad una parte predeterminada de cada operación", dijo Faulkner. "Debe ser pasivo, no intrusivo. La combinación de sus comportamientos y sus dispositivos en muchas interacciones puede servir para identificarlo a usted y solo a usted".

Comportamiento desviado

Los bancos identifican transacciones sospechosas observando desviaciones de los patrones normales. ThreatMetrix aplica el mismo tipo de lógica a la autenticación en línea. No necesariamente saben nada de usted personalmente, pero sí saben, por ejemplo, que una cuenta de correo electrónico en particular normalmente se conecta desde tres dispositivos en particular, generalmente en California. Si esa cuenta de repente comienza a conectarse varias veces a la vez, desde dispositivos desconocidos, tal vez en China, eso es una señal de alerta.

"Los bancos, los sitios de comercio electrónico y algunas de las compañías tecnológicas más grandes usan ThreatMetrix", dijo Faulkner. "Observan signos de adquisición de cuenta y fraude con tarjetas de crédito, y lo utilizan para validar la nueva inscripción". Hizo hincapié en que la compañía busca estrictamente patrones en los datos, no la información personal de nadie.

Donde todos saben tu nombre

Tiene mucho sentido para mí. Cuando camino por la conferencia de RSA, las personas que me conocen dicen "¡Hola!" Y las personas que no revisan mi credencial. Si una joven atractiva usara mi placa, nadie creería que soy yo; La insignia no es mi identidad. No tengo que ingresar una contraseña para ingresar a la Sala de prensa; ellos saben quien soy. El plan ThreatMetrix se extiende sabiendo quién es usted en el ciberespacio.

Le pregunté a Faulkner, ¿qué pasa con los falsos positivos? Muchos de nosotros hemos experimentado retenciones de tarjetas de crédito porque realizamos una compra en un lugar inusual. ¿No podría ThreatMetrix bloquear erróneamente mi acceso a, por ejemplo, un sitio bancario? "Proporcionamos contexto", respondió, "pero no somos los encargados de hacer cumplir la ley. El sitio puede decidir rechazar la transacción o someterla a un escrutinio adicional. A menos que sea descaradamente fraudulenta, es probable que no lo nieguen".

La industria bancaria ya utiliza técnicas similares para marcar transacciones potencialmente riesgosas. Puedo ver totalmente extender ese modelo a la autenticación del sitio web. Por supuesto, solo puede suceder con una participación casi universal. Si se alcanza ese elevado objetivo, es posible que nunca más tengamos que recordar una contraseña como 8l3yO5JgtxIC o CorrectHorseBatteryStaple.

Para ver todas las publicaciones de nuestra cobertura RSA, consulte nuestra página Mostrar informes.