¿Por qué seguimos sufriendo los problemas que generan las contraseñas? Me refiero a las contraseñas estáticas, esas que hay que recordar para poder acceder a dispositivos, redes y aplicaciones. Aunque hay quien dice que son la opción más sencilla y económica, deshacerse de las contraseñas simplifica la autenticación y puede ofrecer un retorno de inversión en menos de 3 meses. Veamos el cómo y el porqué.

 

 

 

Gartner predice que en 2022 el 60% de las grandes empresas globales y el 90% de las medianas empresas implementarán métodos passwordless en más del 50% de los casos de uso. Las contraseñas estáticas son inseguras y con frecuencia sustraídas y descifradas. En consecuencia, tenemos que usar contraseñas complejas, no reutilizarlas y cambiarlas periódicamente. Por eso las olvidamos con facilidad y que tengamos que restablecerlas con frecuencia, lo que conlleva pérdidas de tiempo y frustración en los usuarios.

Según Microsoft, el coste ocasionado por las incidencias con las contraseñas supone hasta el 30% del presupuesto de IT, junto con un impacto negativo en la productividad de los empleados. Por no hablar del riesgo de seguridad que supone. Estudios realizados por IBM y Verizon muestran que las credenciales de usuario comprometidas representan entre el 50% y el 80% de las violaciones de seguridad.

También según Microsoft, menos del 10% de los aproximadamente mil millones de usuarios de Azure usan dos factores de autenticación (2FA). Y son menos aún los que utilizan soluciones de autenticación basadas en criptografía de clave pública.

 

Buscando soluciones

Las soluciones de dos factores de autenticación (2FA) han hecho que el proceso de autenticación sea más complejo y requiera más pasos extra. En consecuencia, este cambio genera rechazo por parte de los usuarios. Además, aunque añaden seguridad a la autenticación, dichas soluciones de 2FA basadas en One-Time Passwords (OTP) no son suficientemente seguras, ya que dependen de un secreto compartido entre el dispositivo y el backend del sistema de autenticación. Desafortunadamente, los ciberdelincuentes roban continuamente esos secretos para obtener acceso a nuestros sistemas críticos. Una vez dentro, elevan privilegios y cometen todo tipo de delitos.

 

Passwordless, la solución definitiva

La solución es dejar de usar contraseñas estáticas. Ya lo estamos haciendo, por ejemplo, usando datos biométricos para desbloquear nuestros teléfonos y algunas aplicaciones. Nuestras tarjetas de pago son Smart Cards con claves asimétricas, sin secretos compartidos. La clave privada nunca sale de la tarjeta, así que es imposible interceptarla.

El camino hacia Passwordless comenzó en 2013 con la fundación de la FIDO Alliance. En marzo de 2019, WebAuthn fue designado estándar web oficial, clave para lograr la eliminación de las contraseñas estáticas. Cualquier aplicación, software o sistema operativo compatible con WebAuthn puede utilizar autenticación Passwordless desde cualquier dispositivo de usuario o software que lo admita.

¿Qué se necesita para implementar WebAuthn? Con apenas unas líneas de código se puede habilitar WebAuthn en el lado del servidor de autenticación. Por otro lado, el usuario debe disponer de un dispositivo con chip criptográfico integrado. Actualmente, estos chips ya están incluidos de fábrica en nuestros ordenadores, teléfonos móviles, tabletas y llaves de hardware de seguridad externas, como las YubiKeys. Estos chips criptográficos convierten nuestros dispositivos en una Smart Card, al igual que nuestras tarjetas bancarias con chips criptográficos. Además, los principales navegadores web ya son compatibles con WebAuthn.

 

Un futuro más seguro

Ya se puede iniciar sesión sin contraseñas en Windows 10, Azure y Microsoft 365. El funcionamiento es tan sencillo como pagar con tarjeta. Ha llegado el momento de empezar a olvidarse de las contraseñas. Ya hay muchas de aplicaciones compatibles con FIDO2 y otras muchas lo serán pronto. Puede ver la lista en fidoalliance.org.

Passwordless no se limita al ámbito corporativo, también puede proteger los inicios de sesión de clientes de comercios electrónicos o bancos para reducir la apropiación de cuentas y el fraude. Empresas como HYPR permiten utilizar el estándar WebAuthn para que los bancos y los proveedores de pagos logren el cumplimiento de la normativa PSD2.

Hay una serie de soluciones en el mercado que le permitirán comenzar a implementar la autenticación Passwordless para todos sus usuarios y todas las aplicaciones a las que tengan que acceder. No es un proyecto que pueda realizar de la noche a la mañana, pero cuanto antes comience, antes alcanzará la utopía Passwordless, y más satisfechos y seguros se sentirán sus empleados, contratistas y clientes. Puede lograr un retorno de la inversión en tan solo 3 meses, para cientos, miles o incluso millones de usuarios.

#Ciberseguridad #Empresas #Passwordless

Fuente: Revistabyte