Por qué las contraseñas se hicieron tan pasadas de moda
Obviamente, las contraseñas tienen algunos inconvenientes importantes en cuanto a la usabilidad, incluida la dificultad de recordar múltiples contraseñas cada vez más complejas en la cabeza, tener que escribirlas en algún lugar o usar un administrador de contraseñas para realizar un seguimiento de todas.
Además de la facilidad de uso, existen riesgos de seguridad obvios con las contraseñas, ya que pueden verse fácilmente comprometidas por ataques de phishing cada vez más sofisticados que se dirigen a consumidores y empresas todos los días.
Se ha demostrado que las malas prácticas de contraseñas y los desafíos innatos de contraseñas conducen a costosas compras de cuentas, filtraciones de datos e identidades robadas.
Para combatir las infracciones basadas en contraseñas, algunas organizaciones han adoptado lo que ahora se considera autenticación multifactor (MFA) heredada, como contraseñas de un solo uso (OTP), que tienen más probabilidades de ser interceptadas, ya que los ciberdelincuentes pueden acceder fácilmente a las bases de datos de OTP.
Incluso la autenticación móvil es vulnerable al phishing y los ataques cibernéticos de métodos de ataque similares. Estos enfoques más antiguos son más costosos para las empresas que necesitan proporcionar a los usuarios teléfonos móviles sin la libertad del riesgo de ataques.
Esta es exactamente la razón por la que algunos de los gigantes tecnológicos más grandes del mundo han decidido eliminar la contraseña por completo y avanzar hacia formas modernas de MFA como claves de acceso y claves de seguridad de hardware.
Estándares de autenticación a prueba de phishing
Ahora que los tres gigantes tecnológicos (Google, Microsoft y Apple) y un sinnúmero de otras empresas y corporaciones de todo el mundo han adoptado la MFA moderna para el acceso seguro a sus servicios, estamos a punto de reemplazar las contraseñas con estándares abiertos de autenticación modernos, como phishing. FIDO2 resistente Fraudulento (Fast Identity Online v2).
El estándar FIDO2 brinda una experiencia de usuario más simple, brinda múltiples formas de verificar las identidades de los usuarios y puede publicar una herramienta externa, como una clave de seguridad. Esto alienta a pasar de las contraseñas a métodos más seguros y fáciles de usar.
El estándar FIDO2 brinda a las organizaciones una autenticación más segura basada en criptografía de clave pública, eliminando la necesidad de contraseñas y, por lo tanto, la vulnerabilidad a las filtraciones de datos. Los gigantes tecnológicos han trabajado con nosotros para desarrollar FIDO2, fomentando el uso generalizado de dispositivos de seguridad fáciles de usar y a prueba de phishing y eliminando muchos problemas asociados con las contraseñas durante décadas.
Fomentar la adopción del enfoque AMF
Como se mencionó anteriormente, las principales empresas están adoptando el enfoque MFA antiphishing utilizando el estándar FIDO2 para todas las plataformas móviles, de escritorio y de navegador bajo su paraguas.
Estos incluyen iCloud, iOS y macOS de Apple; Chrome, ChromeOS y Android de Google; Microsoft Windows, Windows 365, Azure Virtual Desktop e infraestructura de escritorio virtual, que utilizan miles de millones de personas todos los días.
Juntas, las tres empresas representan más del 99 % de los usuarios móviles y más del 92 % de los usuarios de escritorio, lo que hace que la adopción generalizada de FIDO2 sea un paso importante para garantizar una mayor ciberseguridad para todos. Debido a su ubicuidad, estos tres gigantes tecnológicos tienen un impacto significativo en el lado de la oferta, lo que probablemente genere una gran demanda de dispositivos de seguridad de hardware y otros métodos modernos de MFA.
Hemos visto a otros jugadores en el ecosistema, como proveedores de gestión de acceso e identidad (IAM), proveedores de redes privadas virtuales (VPN) y otros, que adoptan FIDO2 como su método de autenticación preferido.
¿Qué son las claves de acceso y las claves de seguridad?
Las claves de paso son credenciales FIDO detectables que permiten a los usuarios autenticarse en sitios web sin contraseña.
Dos tipos de credenciales FIDO detectables permiten la autenticación sin contraseña y son «sincronizables» o vinculadas al hardware.
Las claves de acceso sincronizables se pueden sincronizar entre teléfonos inteligentes, tabletas, computadoras portátiles/de escritorio, y están destinadas principalmente a escenarios de consumidores para ayudar a evitar las contraseñas propensas a la suplantación de identidad.
Por el contrario, las claves de acceso vinculadas al hardware, donde las credenciales FIDO permanecen en un autenticador móvil (como una clave de seguridad como YubiKey), son un beneficio para las organizaciones y los consumidores de alta confirmación, o simplemente para los casos de uso de alta confirmación.
Device Security Key es la solución perfecta para garantizar una mayor protección, ya que se basa en un dispositivo físico que se desbloquea mediante un código PIN único o una huella digital biométrica para iniciar sesión en la cuenta.
Requiere que el usuario esté en posesión del dispositivo y es un método de verificación más sólido que un nombre de usuario y una contraseña. Las organizaciones también pueden cumplir con el estándar FIDO2, que reemplaza completamente las contraseñas.
Pasando a usar sin contraseña usando FIDO2
Ahora se alentará a muchas organizaciones a avanzar hacia un futuro sin contraseña para garantizar que sus sistemas sean más seguros.
La implementación de estas prácticas ayudará a mitigar los riesgos cibernéticos y permitirá que el personal de TI dedique más tiempo a proyectos estratégicos.
Sin embargo, ahora que los grandes jugadores están totalmente de acuerdo con el servicio sin contraseña con el que todos tratamos todos los días, la adopción de métodos de autenticación modernos aumentará considerablemente. Está claro que las contraseñas no desaparecerán en el corto plazo, y definitivamente se necesitaría un esfuerzo a escala global para lograr que todas las aplicaciones y sitios web se alejaran de ellas. Aunque se avecina un futuro sin contraseña, la integración total de la tecnología FIDO2 en todas partes llevará tiempo.
Educación del usuario
Dado que sin una contraseña es tanto un cambio de paradigma cultural como un cambio tecnológico, la educación del usuario es esencial. ¡Décadas de abuso de contraseñas es un gran hábito que hay que romper!
Por lo tanto, las organizaciones deberán hacer todo lo posible para crear conciencia, de modo que sus usuarios puedan sentirse cómodos con la nueva tecnología sin contraseña. Cualquier inquietud sobre esta forma más segura y conveniente de iniciar sesión en su cuenta puede aliviarse.
Estamos en el camino correcto hacia inicios de sesión seguros y fáciles con claves de paso en todos los dispositivos y plataformas. Las claves de acceso resuelven un problema global y nos permiten alejarnos de las contraseñas para reducir las infracciones cibernéticas y de phishing.
Tenga en cuenta, sin embargo, que una talla no sirve para todos, y debemos tener cuidado al considerar las compensaciones entre las claves de acceso «sincronizables» y las claves de seguridad con un certificado de hardware para almacenar las credenciales.
«Creador. Aficionado al café. Amante de Internet. Organizador. Friki de la cultura pop. Aficionado a la televisión. Orgulloso adicto a la comida».