La mayoría de las aplicaciones en línea hoy en día requieren una contraseña. Según una investigación reciente, una persona promedio debe utilizar 168 contraseñas.
Para muchos usuarios en línea, recordarlos y restablecerlos es una molestia recurrente.
Entonces, si bien las contraseñas se han convertido en la norma, no son la opción más segura ni la más práctica.
Martin Lee es líder técnico de investigación de seguridad para EMEA en Cisco Talos.
La realidad es que las contraseñas no duran tanto como antes y se han vuelto más fáciles de descifrar para los adversarios.
La fatiga de las contraseñas significa que muchos usuarios a menudo reutilizan y reciclan sus contraseñas, generalmente haciendo pequeños cambios en credenciales que ya son débiles.
Esto deja a los usuarios en línea vulnerables a ataques relacionados con contraseñas, como el relleno de credenciales, el phishing o el push-bombing.
Afortunadamente, existe una alternativa mejor: la autenticación sin contraseña. Sin contraseña te permite demostrar quién eres sin escribir una contraseña. En cambio, utiliza métodos como su huella digital, su rostro o una clave de seguridad en un dispositivo.
Esto no sólo simplifica el proceso de inicio de sesión, sino que también dificulta que los atacantes falsifiquen. Sin embargo, a pesar de sus beneficios, persisten los mitos sobre la autenticación sin contraseña.
Reemplazar el mito con la verdad
El primer mito común sobre un método sin contraseña es que es menos seguro que la autenticación multifactor (MFA).
Muchos creen que eliminar las contraseñas significa saltarse una capa importante de seguridad. De hecho, un método sin contraseña es MFA, pero de una forma ligeramente diferente.
La MFA tradicional se basa en algo que usted tiene, como un dispositivo móvil, y algo que conoce, como una contraseña. La autenticación sin contraseña combina el elemento “sabes algo” con algo que eres, como el reconocimiento facial o tus datos biométricos.
Eliminar la necesidad de una contraseña da como resultado una experiencia de inicio de sesión sin fricciones y reduce significativamente el riesgo para los usuarios y las plataformas y aplicaciones empresariales a las que acceden.
Esto hace que sea casi imposible para los atacantes robar o falsificar un inicio de sesión, ya que necesitan adivinar el PIN correcto y tener acceso a los datos biométricos.
Un beneficio secundario de la autenticación sin contraseña es que el equipo de TI tiene menos carga para resolver incidentes relacionados con contraseñas.
Teniendo en cuenta que las organizaciones con sede en EE. UU. asignan más de $1 millón en costos de soporte relacionados con contraseñas, la adopción de la autenticación sin contraseña puede liberar mucho tiempo y presupuesto para proyectos más complejos.
Una contraseña no es un PIN
Otro mito común sobre la autenticación sin contraseña es que un PIN puede tener los mismos puntos de falla de seguridad que una contraseña. Esto no es cierto. Un PIN puede parecer una contraseña, pero no funciona de la misma manera.
Los datos de las contraseñas generalmente se envían a través de Internet y a menudo se almacenan en los servidores de una empresa, exponiendo las credenciales del usuario a adversarios externos.
Por otro lado, se utiliza un PIN para desbloquear un dispositivo localmente, lo que significa que los atacantes no tienen nada a lo que acceder de forma remota. Un atacante no sólo tiene que poseer físicamente un dispositivo para intentar acceder a él, sino que incluso si un dispositivo es robado, sólo se puede ingresar un PIN incorrectamente antes de bloquear el dispositivo.
Esto hace que el acceso mediante PIN sea mucho más seguro que las contraseñas y, combinado con los datos biométricos, los usuarios pueden estar seguros de que es menos probable que su dispositivo se vea comprometido.
¿Son las contraseñas más seguras que la biométrica?
Un tercer mito común es la idea de que las contraseñas son inherentemente más seguras que la biometría. Este mito nació en los primeros días de la biometría, cuando la tecnología aún estaba en su infancia y los titulares informaban que engañaban a los dispositivos con caras o huellas dactilares falsas.
Afortunadamente, esos días quedaron atrás y muchas de las fallas asociadas con la biometría se han solucionado. Los sistemas actuales utilizan funciones como mapeo 3D, luz infrarroja y detección de “viva” para hacer que la suplantación de identidad sea extremadamente difícil.
Al igual que un PIN, la biometría funciona localmente. Cuando un usuario intenta autenticarse con datos biométricos, desbloquea una clave privada almacenada en un dispositivo. Esa clave no sale del dispositivo en el que está almacenada y no se puede transferir a otro dispositivo o sitio.
Esto hace que la biometría esté a salvo del acceso remoto y los ataques, y significa que los atacantes deben tener un dispositivo y obligar a su propietario a desbloquearlo para acceder a cualquier dato.
Sin contraseña: la clave para una experiencia de inicio de sesión sin fricciones
Como ocurre con cada nuevo ciclo o avance tecnológico, la autenticación sin contraseña está sujeta a mitos y escepticismo. Para muchas organizaciones, la tecnología sin contraseña es un elemento importante hacia una estrategia de seguridad de confianza cero.
Puede ayudar a las organizaciones, tanto grandes como pequeñas, a establecer una identidad y confianza de usuario únicas y sólidas, y transformar significativamente la experiencia de inicio de sesión para los clientes.
Pero la adopción de la autenticación sin contraseña no ocurre de la noche a la mañana, y si bien la promesa de una mejor experiencia de usuario, reducción de tiempo y costos de TI y una postura de seguridad sólida parecen la trifecta ideal, las organizaciones deben pensar detenidamente cómo implementarla.
Establecer una comprensión clara del panorama de aplicaciones de una organización es un punto de partida importante: pensar en qué aplicaciones deben protegerse. Esto ayudará a los equipos de TI y seguridad a definir los requisitos previos para avanzar hacia una estrategia totalmente de confianza cero.
A partir de ahí, los equipos de TI deberían considerar adoptar un enfoque gradual con implementaciones piloto de autenticación sin contraseña que puedan ayudar a abordar los problemas iniciales y abordar cualquier inquietud de los usuarios.
Sin contraseña no es solo una forma nueva y más fácil de iniciar sesión, sino que tiene el potencial de transformar las credenciales de seguridad de una organización y emprender el camino hacia la confianza cero. Dar el paso sin contraseña es el primer paso hacia el futuro de la autenticación.
Hemos presentado los mejores navegadores personales.
Este artículo se creó como parte del canal Expert Insights de TechRadarPro, donde destacamos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
