Everis, Ping Identity e IREO enumeran las oportunidades para las empresas de sustituir las credenciales por otros métodos de gestión de identidades.
Ver para creer: la contraseña más frecuente en el mundo es «123456». La segunda más común es «123456789». La imprudencia es obvia. Menos evidente, aunque igualmente peligroso, es emplear una misma contraseña para varios servicios online, o no cambiarla con la suficiente recurrencia.
Según un análisis realizado por el centro de ciberseguridad nacional de Reino Unido, más de 40 millones de usuarios utilizan contraseñas que un ciberdelincuente podría obtener en tan solo un segundo. Y según una investigación de Verizon publicada en 2019, el 81% de las filtraciones de datos eran el resultado de contraseñas comprometidas.
Aun los usuarios más sensibilizados y conocedores de los riesgos que entraña el ciberespacio cometen pequeñas pero significativas faltas en la gestión de sus contraseñas. Una contraseña insegura, si no se acompaña de sistemas robustos de doble autenticación, conduce inexorablemente a la pérdida de información y a brechas de seguridad.
Ventajas para las organizaciones
La ciberseguridad passwordless es una tendencia emergente que se ha visto acelerada durante la pandemia de la Covid-19, al calor del auge del teletrabajo. Entre sus principales ventajas, destacan «la mejora en la experiencia de usuario/empleado, una mejora general de la seguridad y una reducción de costes en el largo plazo», enumera Mónica Almela, country leader para España y Portugal de Ping Identity, compañía estadounidense especializada en gestión de accesos.
La mejora en la experiencia de usuario tiene que ver con la usabilidad, pero, sobre todo, con la productividad.
Cuatro casos de uso
Entre los casos de uso de identificación sin contraseña más comunes, Miguel Ángel Vicente destaca cuatro. En primer lugar, el llamado fewer login. Un ejemplo típico es la opción ‘Mantener mi sesión iniciada’ que ofrecen muchas páginas web o aplicaciones, o la funcionalidad SSO, por la que accedemos a algunas aplicaciones sin necesidad de realizar la autenticación.
Otro caso de uso es el zero login. «Muchas páginas construyen una cookie con la información del usuario que está realizado el onboarding, conteniendo los datos del usuario verificado y el contexto del dispositivo/navegador donde se realizó la operación», explica el responsable de Everis. De este modo, las visitas posteriores al mismo sitio web se pueden asociar al mismo usuario. «El uso de cookies permite identificar a los usuarios únicos en diferentes sesiones de navegación, pero no en diferentes navegadores o dispositivos», puntualiza.
En tercer lugar, encontraríamos el passwordless login, que se puede basar tanto en conocer algo que posee el usuario, como por ejemplo un teléfono –el usuario interactuaría con él a través de una notificación push o un token OTP-, o bien en conocer algo que es propiamente el usuario, a través de la biometría -empleando huellas dactilares o reconocimiento facial contenidas en contenedores biométricos externos, por ejemplo-.
Principales dificultades
En cualquier caso, la transición hacia un entorno passwordless es progresiva y no está exenta de dificultades. «La principal problemática para aplicar estos tipos de login, como el protocolo FIDO, es proveer a todos los empleados de un teléfono móvil o un portátil, una tablet…», reconoce Vicente. Máxime si hablamos de autenticación mediante biometría, no vale cualquier dispositivo.
En el caso de equipos personales que se empleen para trabajar, encontramos cada vez más soluciones para diferenciar ambos usos. Por ejemplo, Windows 10 integra Windows Hello, muchos smartphones disponen de contenedores seguros de aplicaciones y archivos, etcétera.
Por otra parte, hay organizaciones que se preocupan por los riesgos de suplantación que también entraña la biometría. En esos casos, explica Camacho, «complementan estas tecnologías recurriendo a un código PIN o a una contraseña, y eso acaba perpetuando el uso de credenciales dentro de la empresa». No es algo necesariamente negativo. Este experto aboga por la combinación de diferentes métodos de autenticación.
Después, entra en juego la logística de registrar y reemplazar de una forma segura los dispositivos. «Necesitaremos registrar el nuevo dispositivo de una forma ágil y sencilla. Lo que hacen muchas organizaciones es, de nuevo, recurrir a las contraseñas para hacer esos reemplazos, aunque, como hemos visto, existen alternativas mejores», comenta el portavoz de IREO.
#Ciberseguridad #Contraseñas #Empresa
Fuente: El Español
Comentarios recientes