11111111, 12345678, Tromp_presi, realmadrid. “Aunque parezca sorprendente, el uso de contraseñas vulnerables sigue siendo alto entre los usuarios, junto con la reutilización de contraseñas para acceder a más de una cuenta o servicio”, comenta la Oficina de Seguridad del Internauta del Instituto Nacional de Ciberseguridad (INCIBE).
El problema viene de lejos. O más bien, se podría decir que estuvo siempre ahí. Un reciente informe del organismo británico homólogo del INCIBE, el National Cybersecurity Center, cifra en un 85% el porcentaje de contraseñas repetidas, inseguras o fácilmente rompibles. Hace un lustro, un estudio de Deloitte ponía la cifra de contraseñas peligrosas generadas por usuarios en el 90%.
El riesgo que conllevan este tipo de contraseñas no se reduce a que un ciberdelincuente llame a la puerta y compruebe que estaba casi entreabierta. Al contrario, romper la barrera de seguridad y penetrar en la bandeja de email o las redes sociales de un usuario, y a partir de ahí saltar a su banca online o a bases de datos de su empresa, se puede hacer incluso de manera automática.
Higiene básica de la cuenta
“La mayoría de ataques provienen de bots automáticos con acceso a filtraciones de contraseñas de servicios de terceros”, explican Kurt Thomas y Angelika Moscicki, expertos en ciberseguridad de Google. Thomas y Angelika Moscicki fueron los encargados de presentar un estudio de la compañía que mostró que “una higiene básica de la cuenta” es capaz de repeler el 99% de ataques de bots y un 66% de los ataques dirigidos contra una cuenta en concreto.
Con “higiene básica”, Google hacía referencia a utilizar un método de múltiple autentificación. Este consiste en no utilizar solo algo que sabes (la contraseña), sino mezclarlo también con algo que tienes (un mensaje con un código único al móvil, por ejemplo) o con algo que eres (biometría) para acceder a un servicio.
Mmétodo de autentificación múltiple
El uso del método de autentificación múltiple no implica erradicar la contraseña, el eslabón más débil de la cadena de la ciberseguridad. Tras años de contraseñas “111111”, las multinacionales digitales ya se han cansado. A ellas tampoco les gustan las contraseñas débiles que provocan estafas y delitos en sus servicios, así que investigan cómo saltarse por completo la capacidad de memorizar de los usuarios en el proceso de autentificación.
La iniciativa se denomina passwordless (sin contraseña) y no lleva a engaño. Pretende eliminar la contraseña, “aunque el proceso por debajo sí que tiene una capa de seguridad robusta. Los usuarios siguen teniendo que verificar sus identidades con una o más formas de autentificación”.
Hay varios métodos passwordless en pruebas. Uno de ellos se sirve de tokens, códigos cifrados que el servicio al que se intenta acceder y el ordenador del usuario se intercambian para identificarse mutuamente. Otro modo es mediante correo electrónico, “el sistema más prometedor”, se basa también en un código cifrado, pero en este caso el usuario lo recibe en su bandeja de mail. Por último, la gran apuesta de los fabricantes: el passwordless basado en biometría.
TI en todo el mundo ve el comienzo de una nueva era, donde Las contraseñas se consideran una reliquia del pasado. Los costos ahora superan los beneficios del uso de contraseñas, que cada vez más será predecible y dejar a los usuarios vulnerables al robo. Incluso Las contraseñas más seguras son fácilmente phishable.
¿Pero cómo llegas allí?
Para los departamentos de TI empresariales, nada cuesta más que el soporte de contraseña y mantenimiento. Es una práctica común para TI intenta reducir el riesgo de contraseña el empleo de mayor complejidad de contraseña y exigiendo cambios más frecuentes en la misma, sin embargo, estas tácticas aumentan los costos de la mesa de ayuda de TI, conducen a una pobre experiencia de usuario relacionadas con los requisitos de restablecimiento de contraseña. Este enfoque no es suficiente para la actual amenaza de ciberseguridad y no cumple con las necesidades de seguridad de la organización.
¿Por qué eliminar las contraseñas?
La autenticación de contraseña siempre ha sido un desafío en todo momento. Autenticación multifactor (MFA): por ejemplo, es un pin y una contraseña, o biometría: esto ha presentado un método más seguro para organizaciones. Con cada vez más entornos de acceso complejos y más
puntos de acceso, los equipos de TI tienen todas las razones para agregar factores múltiples de autenticación como tarjetas inteligentes, tokens duros y blandos, SMS y más donde los usuarios se conectan a los recursos.
Al ir más allá de las contraseñas para agregar pasos de autenticación, puede hacer que el usuario acceda a sus recursos de forma más segura.
Sin embargo, dependiendo de la implementación, MFA también puede conducir a complejidad creciente con respecto a la experiencia del usuario. Es imprescindible para los equipos de TI ofrecer una experiencia de usuario perfecta mientras se equilibra el riesgo de seguridad.
Hoy, la seguridad de TI se está moviendo hacia la autenticación sin contraseña utilizando tecnologías avanzadas como biometría, PIN y clave pública / privada criptográfica. Además, nuevos estándares como la web API de autenticación (WebAuthN) y rápido Identity Online (FIDO2) permite la autenticación sin contraseña en todas las plataformas. Estas los estándares diseñados para reemplazar contraseñas con biometría y dispositivos que las personas ya usa como claves de seguridad, teléfonos inteligentes, escáneres de huellas digitales o cámaras web.
Las opciones de reemplazo de contraseña pueden ayudar a las organizaciones a brindar facilidad de uso sin alta seguridad, sin contraseña puedes tener un ecosistema de autenticación que cumple Las necesidades organizativas de alta seguridad y privacidad, usabilidad e interoperabilidad entre diferentes dispositivos de autenticación.
En el futuro, los usuarios finales nunca tendrían que lidiar con las contraseñas. Y con un inicio de sesión intuitivo / registro de usuario, ayudaría a reducir costos de la mesa de ayuda.