Desde los inicios de Internet, las contraseñas han sido el principal factor de autenticación para acceder a cuentas en línea. La reciente Encuesta de Autenticación Global de Yubico realizada a 20.000 empleados encontró que el 58% todavía usa un nombre de usuario y contraseña para iniciar sesión en cuentas personales, y el 54% usa este método de inicio de sesión para acceder a cuentas laborales.
Esto a pesar de que el 80 por ciento de las infracciones actuales son el resultado del robo de credenciales mediante ataques como el phishing. Debido a esto, los expertos en seguridad consideran que las contraseñas son el método de autenticación más inseguro que deja a las personas, las organizaciones y sus empleados en todo el mundo vulnerables a ataques cibernéticos modernos cada vez más sofisticados, como el phishing.
De hecho, incluso las contraseñas consideradas “seguras” por los sitios web (es decir, que contienen más de una docena de caracteres que incluyen letras mayúsculas y minúsculas, números y símbolos) siguen siendo fácilmente adivinadas o robadas por los malos actores. Una vez que obtienen la contraseña, pueden omitir todos los sistemas de autenticación multifactor (MFA) heredados y acceder a los datos personales de las personas con facilidad. Combinado con el hecho de que las personas tienden a reutilizar contraseñas en múltiples cuentas (lo que brinda a los piratas informáticos la capacidad de piratear varias cuentas con un solo inicio de sesión), queda claro que las contraseñas como método de autenticación son defectuosas y altamente inseguras en innumerables formas.
Sorprendentemente, todavía existe una falta de conciencia sobre las mejores prácticas de autenticación: según la misma encuesta de Yubico, el 39 por ciento de las personas cree que un nombre de usuario y una contraseña son la forma más segura de autenticación, mientras que el 37 por ciento considera que los SMS a contraseñas de un solo uso en dispositivos móviles ( OTP) el método de autenticación más seguro. Si bien cualquier forma de MFA es mejor que depender únicamente de una contraseña, es importante reconocer que no todos los métodos de MFA ofrecen el mismo nivel de seguridad. Las técnicas tradicionales de MFA, incluidas las OTP basadas en SMS y las aplicaciones de autenticación móvil, tienen vulnerabilidades importantes, y los ciberdelincuentes demuestran capacidad para eludirlas fácilmente mediante ataques de phishing.
A medida que las personas y las organizaciones se vuelven cada vez más conscientes de los riesgos cibernéticos asociados con las contraseñas heredadas y la MFA, las organizaciones han comenzado a alejarse de los métodos de autenticación obsoletos y avanzar hacia tecnologías cibernéticas más sólidas y resistentes en forma de soluciones sin contraseñas y resistentes al phishing, como como claves de acceso. .
Gerente Regional de Reino Unido e Irlanda en Yubico.
Futuro sin contraseña con claves de contraseña
Al comprender los riesgos que conllevan las contraseñas, organizaciones e individuos de todo el mundo buscan una solución que brinde mayor seguridad y una mejor experiencia de usuario. Password Keys ha conquistado el mundo como la solución de autenticación de facto entre aplicaciones y sitios web para intercambiar contraseñas, ayudando tanto a individuos como a organizaciones a lograrlo con facilidad. Las claves de acceso autentican sin problemas a los usuarios utilizando “claves” de seguridad criptográficas almacenadas en su computadora o dispositivo. Se consideran una mejor alternativa a las contraseñas porque no se requiere que los usuarios recuerden o ingresen manualmente largas cadenas de caracteres que pueden olvidarse, robarse o interceptarse.
Como credenciales FIDO sin contraseña, las claves de contraseña brindan resistencia a la suplantación y aceleran el alejamiento de contraseñas problemáticas que se pueden descifrar fácilmente. Las claves de contraseña se utilizan para iniciar sesión en aplicaciones y servicios de manera eficiente y segura, mejorando tanto la productividad como la seguridad en línea. Por ejemplo, las claves de contraseña requieren verificación de posesión, así como de la presencia física del usuario durante el proceso de inicio de sesión, lo que las protege eficazmente de la interceptación o el robo por parte de ciberdelincuentes remotos.
Más allá de la seguridad mejorada, la accesibilidad también mejora significativamente mediante el uso de una clave, resaltada por dos formas diferentes de opciones de clave: los protocolos de autenticación se pueden almacenar en la nube (clave sincronizada) o en el dispositivo como una clave de seguridad de hardware (clave de conexión al dispositivo). luego, se intercambia sin esfuerzo al iniciar sesión mediante deslizar, hacer clic, tocar o gesto biométrico.
Desde una perspectiva de seguridad, la clave de contraseña hace que sea mucho más difícil para los actores malintencionados explotar las credenciales y obtener acceso no autorizado porque utiliza cifrado de clave pública basado en principios matemáticos. También se pueden almacenar de forma cómoda y segura en claves de seguridad de hardware, lo que ofrece un mayor nivel de seguridad ya que evita que la clave de contraseña se copie o comparta en la nube y en otros dispositivos. Sin embargo, cada opción de contraseña aporta diferentes beneficios y es importante comprender qué tipo es el adecuado para su situación y modelo de amenaza.
La estrategia de desarrollador adecuada para usted
Primero, es importante determinar la diferencia entre claves de acceso sincronizadas y vinculadas al dispositivo. Las claves de contraseña sincronizadas están destinadas principalmente al uso generalizado de los consumidores y no a las organizaciones, y se almacenan en la nube. Esto significa que las credenciales se pueden copiar en todos los dispositivos conectados a la cuenta de un usuario. Para personas y familias que comparten dispositivos y cuentas, esto puede ser una gran ventaja. Sin embargo, para las empresas, puede crear varios puntos de falla y exponer fallas importantes en escenarios empresariales clave, como el trabajo remoto y la seguridad de la cadena de suministro.
Las claves de acceso vinculadas a dispositivos ofrecen mayor capacidad de administración y control sobre sus credenciales FIDO que las claves de acceso sincronizadas, lo que las hace más adecuadas para personas con conocimientos de seguridad y de alto riesgo, así como para empresas. Conectar un dispositivo significa que la autenticación debe provenir de una pieza de hardware específica separada de los dispositivos cotidianos, donde la clave no se puede copiar ni compartir. A pesar de la falta de flexibilidad que conlleva la necesidad de registrar cada dispositivo por separado, estas soluciones brindan una mayor garantía de seguridad ya que el único método de verificación es tener un dispositivo específico que haya sido registrado previamente.
Sin embargo, también existen diferencias importantes en las opciones de claves de contraseña relacionadas con los dispositivos: algunas opciones están ubicadas en dispositivos cotidianos de uso general, como teléfonos inteligentes y computadoras portátiles, y otras están ubicadas en claves de seguridad de hardware, que se reconoce que ofrecen la mayor garantía de seguridad. . Las claves de seguridad de hardware brindan a las organizaciones una gestión confiable del ciclo de vida de las credenciales y la prueba necesaria para validar la seguridad de sus credenciales, garantizando que las organizaciones puedan lograr una seguridad óptima y seguir cumpliendo con los requisitos más estrictos en diversas industrias.
En ciberseguridad, es imperativo encontrar un equilibrio entre accesibilidad y seguridad, y no es diferente cuando se consideran las claves de contraseña. Las organizaciones deben elegir una solución clave que proporcione seguridad y comodidad a partes iguales. La solución debería mejorar la seguridad de las cuentas en línea y los datos confidenciales, así como proteger a los usuarios y a la organización en general contra el phishing y el acceso no autorizado, al tiempo que permite a los empleados aprovechar una experiencia de inicio de sesión perfecta.
A medida que navegamos por el panorama de la ciberseguridad en constante evolución, la incorporación de la autenticación sin contraseña, particularmente a través de la adopción generalizada de claves de contraseña, resultará fundamental para proteger nuestras identidades digitales y asegurar los sistemas y servicios que son una parte integral de nuestra vida diaria.
Hemos introducido la mejor protección contra el robo de identidad.
Este artículo se produjo como parte del canal Expert Insights de TechRadarPro, donde mostramos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si estás interesado en donar, descubre más aquí:
