Tabla de contenido:
- ¿Qué impide la autenticación sin contraseña?
- Los federales vienen a tocar
- Entrar en la misma página
- ¿Cuándo finalmente desaparecerán las contraseñas?
Video: ALERO – Conexión remota segura: Sin VPN, sin Agentes, sin Contraseñas (Noviembre 2024)
En 2012, Matt Honan de Wired escribió sobre las desastrosas consecuencias de vincular toda su vida digital a una cadena de letras, dígitos y símbolos. Honan es solo una de las innumerables personas cuyas cuentas en línea fueron secuestradas después de que los hackers descubrieron sus contraseñas; La lista de víctimas también contiene ejecutivos de tecnología de alto perfil, incluido Mark Zuckerberg.
Y, sin embargo, las contraseñas siguen siendo el método principal para proteger las cuentas en línea.
No ha habido una pequeña cantidad de innovación en el espacio de autenticación. En 2016, escribí sobre tecnologías de autenticación que proporcionaban alternativas seguras y fáciles de usar a las contraseñas, pero hasta hace poco, ninguna había logrado una adopción masiva.
Ahora, sin embargo, hay esperanza de que finalmente podamos deshacernos de contraseñas largas y complejas gracias a una serie de regulaciones y estándares abiertos que facilitan y fomentan la implementación de métodos de autenticación sin contraseña en aplicaciones en línea.
¿Qué impide la autenticación sin contraseña?
"La gran cantidad de contraseñas necesarias en nuestra vida diaria se ha convertido en una carga, por eso vemos tantas credenciales estáticas reutilizadas o débiles", dice Stina Ehrensvard, CEO y fundadora de Yubico, que fabrica claves de seguridad física como el Yubikey 5 NFC. "Necesitábamos pensar en cómo abordar este problema de una manera que simplificara el proceso de inicio de sesión al tiempo que agregaba el nivel más alto de seguridad. Hasta ahora, realmente no ha habido una manera de hacer ambas cosas con éxito".
Las vulnerabilidades de las contraseñas no se pierden en las organizaciones que continúan usándolas. Pero antes de considerar alternativas, deben tener en cuenta la seguridad, la usabilidad, la disponibilidad y los costos de la tecnología.
"La razón por la que no hemos reemplazado las contraseñas antes con algo más confiable es que todas las alternativas que podrían haber sido mejores para la seguridad o la usabilidad no han estado disponibles de manera ubicua para todas las formas y tamaños de dispositivos conectados a Internet, ni han sido costosos "efectivo", dice Brett McDowell, director ejecutivo de FIDO Alliance, un consorcio que desarrolla estándares de autenticación.
Además, la entrada de contraseña es la tecnología de autenticación menos costosa y más fácil de implementar en nuevos sitios web y aplicaciones móviles. Y aunque las alternativas como la tecnología de autenticación biométrica se han vuelto más ampliamente disponibles en dispositivos móviles, la entrada de contraseña sigue siendo la característica ubicua que todos los dispositivos admiten. Eliminarlo evitaría que muchos usuarios accedan a esos servicios.
La falta de estándares también hace que sea difícil alejarse de las contraseñas. El costo general de agregar soporte para docenas de diferentes tecnologías de autenticación en aplicaciones cliente y servidores de back-end es algo que la mayoría de las organizaciones no podrían soportar.
Y, por supuesto, siempre está el factor humano. "Algunas empresas e individuos continúan creyendo que no se verán afectados por los ciberataques y que no son de interés para los cibercriminales. La falta de deseo y recursos para cambiar las soluciones existentes está obstaculizando la adopción de nuevas soluciones de autenticación sin contraseña", dice Alex Momot, CEO de REMME, una startup que desarrolla un sistema de autenticación descentralizado.
Los federales vienen a tocar
En los últimos años, ha habido un aumento de la conciencia sobre la seguridad en línea y la privacidad de los usuarios, especialmente entre las agencias gubernamentales y los reguladores. Si bien anteriormente, las organizaciones podrían haber ignorado las violaciones de datos y los incidentes de seguridad con pocas consecuencias legales y financieras, ese ya no es el caso.
"Los reguladores están tan cansados de los titulares de violación de datos como cualquier otra persona, y están comenzando a tomar medidas, lo que hace que más empresas agreguen una autenticación sólida a sus prácticas de protección de datos", dice McDowell.
Entre las acciones regulatorias más relevantes se encuentra el Reglamento General de Protección de Datos (GDPR), un conjunto de reglas que definen cómo las empresas recopilan, manejan y protegen los datos de los usuarios. GDPR también define estándares para una autenticación de usuario fuerte. Las compañías que no cumplan con las reglas y no protejan los datos de sus clientes serán severamente multados. El RGPD se aplica solo a la jurisdicción de la UE, pero dado que muchas empresas que no tienen su sede en la UE todavía hacen negocios en la región, ahora se considera un estándar de oro para la seguridad.
"En un momento en que cada vez más empresas están adoptando una autenticación sólida, y cada vez más violaciones de datos son causadas por el compromiso de la contraseña, será cada vez más difícil para una empresa presentar el caso ante un regulador del GDPR de que la autenticación solo con contraseña es seguridad adecuada, exponiendo potencialmente a su empresa a multas que son mucho más caras que el precio de pasar de las contraseñas a una verdadera autenticación fuerte ", dice McDowell.
Otras regulaciones específicas de la industria son más explícitas sobre el uso de la tecnología de autenticación. Un ejemplo es la Directiva de servicios de pago 2 (PSD2), que regula el comercio electrónico y los servicios financieros en línea en Europa y hace obligatoria la autenticación de dos factores (2FA). PSD2 también fomenta el uso de tarjetas de seguridad, dispositivos móviles y escáneres biométricos para mejorar la experiencia del usuario sin comprometer la seguridad.
Y el Instituto Nacional de Estándares y Tecnología (NIST), que define los criterios para varias industrias, establece en sus pautas de identidad digital que las organizaciones deben alejarse de las contraseñas y códigos de acceso únicos y adoptar una autenticación moderna y sólida.
"Más específicamente, NIST recomienda la autenticación en la cual su dispositivo moderno crea y usa claves privadas criptográficas como credenciales de su nueva cuenta y las almacena de forma segura en su dispositivo personal de la misma manera que la mayoría de los teléfonos inteligentes ahora almacenan de manera segura sus datos de huellas digitales", dice McDowell.
Existe un debate sobre si la regulación gubernamental obstaculizará o fomentará la innovación. Pero en este punto, podríamos necesitar un impulso regulatorio hacia la adopción de mecanismos de autenticación más seguros.
"Los gobiernos pueden desempeñar un papel fundamental en la adopción de estándares abiertos", dice Ehrensvard. "Eche un vistazo al cinturón de seguridad, por ejemplo. También es un estándar abierto, y su uso fue regulado por el gobierno. Debido a esto, hoy hay 10 veces más automóviles en la carretera, pero un número total menor de accidentes automovilísticos fatales. ".
Entrar en la misma página
El reemplazo generalizado de la autenticación solo con contraseña necesita más que regulaciones. Sin un conjunto de protocolos estándar, las organizaciones y las empresas tendrán dificultades para encontrar una tecnología de autenticación que los mantenga en línea con las normas de seguridad y que sus aplicaciones estén disponibles para sus usuarios.
Ese fue el problema que FIDO estaba dispuesto a resolver. La autenticación FIDO se basa en un conjunto de estándares tecnológicos gratuitos y abiertos, desarrollados en asociación con el World Wide Web Consortium (W3C). El objetivo es crear interoperabilidad entre dispositivos y servicios al permitir que toda la industria de electrónica de consumo integre la tecnología en sus productos y plataformas.
FIDO reemplaza las contraseñas con criptografía de clave pública. Esto significa que, en lugar de contraseñas, los usuarios se identifican con un par de claves públicas y privadas. Cualquier cosa cifrada con una clave pública solo se puede descifrar mediante su clave privada correspondiente. Cuando un usuario se registra con un servicio en línea que admite la autenticación FIDO, el servicio genera un par de claves y almacena la clave pública en sus servidores. La clave privada se almacena solo en el dispositivo del usuario. Al iniciar sesión, la aplicación cliente se presenta con un desafío criptográfico generado con la clave pública, que solo puede resolverse con la clave privada. Los usuarios deben verificar su identidad con su dispositivo (mediante huella digital, cara o PIN) para desbloquear su clave privada y resolver el desafío.
La ventaja de este modelo es que proporciona autenticación de múltiples factores sin requerir el almacenamiento y el intercambio de contraseñas. Incluso si los piratas informáticos logran violar los servidores del proveedor de servicios, solo tendrán acceso a las claves públicas, que son inútiles sin las claves privadas correspondientes almacenadas en los dispositivos de los usuarios. Si los piratas informáticos roban el dispositivo de un usuario, aún deberán omitir la verificación de identidad local para obtener la clave privada. Desde la perspectiva del usuario, esto evita la necesidad de memorizar contraseñas largas y complejas para cada cuenta al tiempo que proporciona una seguridad superior.
Pero el mayor logro de FIDO es obtener un amplio apoyo de la industria tecnológica. La alianza ha reunido a grandes nombres como Google, Microsoft, Amazon e Intel para desarrollar estándares que serían fáciles de implementar en diferentes tipos de dispositivos y sistemas operativos.
"Las empresas que se unieron para formar FIDO Alliance entendieron que reemplazar las contraseñas para la autenticación en línea solo podría volverse comercialmente viable a escala a través de una combinación de estándares de tecnología abiertos y gratuitos, una experiencia de usuario muy superior y un enfoque fundamentalmente diferente del modelo de seguridad ", Dice McDowell.
FIDO lanzó recientemente el FIDO2, una extensión de su estándar que agrega soporte para la autenticación de clave pública a los navegadores y una amplia gama de marcos de aplicaciones. El estándar es compatible con Windows 10, Google Play Services en Android y los navegadores web Chrome, Firefox y Edge. WebKit, la tecnología detrás del navegador Safari de Apple, también podría agregar soporte para FIDO2 pronto.
"El estándar FIDO2 permite el reemplazo de una autenticación débil basada en contraseña con una autenticación fuerte basada en hardware que utiliza criptografía de clave pública", dice Ehrensvard, cuya empresa Yubico se encuentra entre los miembros clave de FIDO. "Este estándar permite la autenticación sin contraseña en varias formas, incluso a través de USB y NFC, lo que proporciona una experiencia de usuario óptima y mejora drásticamente la seguridad y la productividad".
¿Cuándo finalmente desaparecerán las contraseñas?
Aunque la industria ha recorrido un largo camino hacia el desarrollo de métodos de autenticación alternativos, las contraseñas no desaparecerán de la noche a la mañana. "Debemos tener en cuenta que tenemos una gran cantidad de software y sistemas de información 'heredados'. Es por eso que no siempre es posible cambiar fácilmente las reglas de autenticación establecidas, incluidas las que están basadas en contraseña", dice Momot, el director ejecutivo de REMME.
Otros expertos como Sandor Palfy, CTO de LogMeIn, creen que las contraseñas seguirán siendo una faceta central para identificar a los usuarios. También cree que la industria debería centrarse en mejorar la experiencia de la contraseña.
- Los mejores administradores de contraseñas para 2019 Los mejores administradores de contraseñas para 2019
- ¿Cual es la contraseña? Reproduzca música e inicie sesión a través de Brainwaves ¿Cuál es la contraseña? Reproduzca algo de música e inicie sesión a través de Brainwaves
- Correos electrónicos porno falsos que usan contraseñas antiguas para estafarlo sin efectivo Correos electrónicos porno falsos que usan contraseñas antiguas para estafarlo sin efectivo
"Hasta que esté disponible la cobertura universal con autenticación multifactor (o incluso autenticación conductual o contextual), las empresas deben invertir en fortalecer los servicios protegidos por contraseña que se utilizan en toda la organización", dice Palfy.
"Recordar contraseñas únicas y complejas para todas nuestras cuentas de trabajo y personales no se alinea con el comportamiento humano natural. Al usar herramientas como administradores de contraseñas, recordar contraseñas múltiples debería ser cosa del pasado, ya que los usuarios solo tienen que recordar una contraseña maestra, "dice Palfy, cuya compañía es el desarrollador del administrador de contraseñas LastPass.
Pero para McDowell, que ha estado al frente de FIDO desde 2014, la búsqueda de eliminar las contraseñas finalmente está llegando a sus etapas finales. "Hoy, el futuro sin contraseña se está haciendo realidad, una aplicación a la vez. Dentro de unos años, espero que los formularios de ingreso de contraseña sean tan raros de encontrar en las páginas web como las cabinas telefónicas públicas están en espacios públicos en estos días, y para mismo motivo: tenemos una alternativa rentable y ubicua que ofrece una experiencia de usuario mucho mejor ", dice.
