La mayoría de las aplicaciones en línea hoy en día requieren una contraseña. Según una investigación reciente, una persona promedio tiene que hacer malabarismos con 168 contraseñas.
Para muchos usuarios en línea, recordarlos y restablecerlos una y otra vez es molesto.
Entonces, si bien las contraseñas se han vuelto comunes, no son ni la opción más segura ni la más práctica.
Martin Lee es el líder técnico de investigación de seguridad en EMEA en Cisco Talos.
La realidad es que las contraseñas no duran tanto como antes y los adversarios las descifran fácilmente.
La fatiga de las contraseñas significa que muchos usuarios reutilizan y reciclan contraseñas con frecuencia, generalmente realizando pequeños cambios en sus credenciales ya débiles.
Esto deja a los usuarios de la red vulnerables a ataques relacionados con contraseñas, como el relleno de credenciales, el phishing o los ataques push-bombing.
Afortunadamente, existe una alternativa mejor: la autenticación sin contraseña. Sin contraseña Puedes demostrar quién eres sin escribir una contraseña. En cambio, utiliza métodos como su huella digital, rostro o clave de seguridad en un dispositivo.
Esto no sólo simplifica el proceso de inicio de sesión, sino que también dificulta que los atacantes lo falsifiquen. A pesar de los beneficios, persiste el mito de la autenticación sin contraseña.
Reemplazar mitos con hechos
El primer mito común sobre el enfoque sin contraseña es la suposición de que es más seguro que la autenticación multifactor (MFA).
Muchos creen que eliminar una contraseña significa eludir una importante capa de protección. En realidad, el enfoque sin contraseña es MFA, pero de una manera ligeramente diferente.
La MFA tradicional se basa en algo que usted tiene, como un dispositivo móvil, y algo que conoce, como una contraseña. La autenticación sin contraseña combina el elemento “algo que sabes” con algo que eres, como el reconocimiento facial o tus datos biométricos.
La eliminación de la necesidad de una contraseña da como resultado una experiencia de inicio de sesión sin fricciones y reduce significativamente el riesgo para los usuarios, así como las plataformas y aplicaciones empresariales a las que acceden.
Es casi imposible para los atacantes robar o falsificar un inicio de sesión; tendrían que adivinar el PIN correcto y también tener acceso a los datos biométricos.
Un segundo beneficio de la autenticación sin contraseña es también reducir la carga de los equipos de TI para resolver incidentes relacionados con contraseñas.
Teniendo en cuenta que las organizaciones estadounidenses asignan más de mil millones de dólares en costos de soporte relacionados con las contraseñas, la adopción de la autenticación sin contraseña puede liberar mucho tiempo y presupuesto para proyectos más complejos.
Una contraseña no es un pin
Otro mito común sobre la autenticación sin contraseña es que un pin puede tener los mismos puntos de falla de seguridad que las contraseñas. Eso no es cierto. Un pin puede parecer una contraseña, pero no funciona de la misma manera.
Los datos de las contraseñas generalmente se envían a través de Internet y a menudo se almacenan en un servidor de la empresa, exponiendo las credenciales del usuario a adversarios externos.
Por otro lado, un PIN se utiliza para desbloquear un dispositivo localmente, lo que significa que los atacantes no pueden acceder a nada de forma remota. Un atacante tendría que tener físicamente un dispositivo para intentar acceder a él, pero incluso si un dispositivo es robado, solo se puede ingresar un PIN incorrectamente un número determinado de veces antes de que el dispositivo se bloquee.
Esto hace que el acceso mediante PIN sea mucho más seguro que las contraseñas y, cuando se combina con datos biométricos, los usuarios pueden estar seguros de que es muy poco probable que su dispositivo se vea comprometido.
¿Son las contraseñas más seguras que la biométrica?
Un tercer mito común es que las contraseñas son inherentemente más seguras que la biometría. Este mito se remonta a los primeros días de la biometría, cuando la tecnología aún estaba en su infancia y los titulares solían engañar a los dispositivos con caras o huellas dactilares.
Afortunadamente, esos días quedaron atrás y se han solucionado muchos errores relacionados con la biometría. Los sistemas actuales utilizan funciones como mapas 3D, luces infrarrojas y detección de “vida” para dificultar la falsificación.
Como un alfiler, la biometría funciona localmente. Cuando un usuario intenta autenticarse mediante datos biométricos, desbloquea una clave privada almacenada en un dispositivo. Esta clave nunca sale del dispositivo en el que está almacenada y no se puede transferir a otro dispositivo o sitio.
Esto hace que la biometría esté a salvo del acceso remoto y la piratería, lo que significa que los atacantes tendrían que tener un dispositivo y obligar al propietario a desbloquearlo para acceder a cualquier dato.
Sin contraseña: la clave para una experiencia de inicio de sesión sin fricciones
Como ocurre con todos los ciclos o avances de las nuevas tecnologías, la autenticación sin contraseña está sujeta a mitos y escepticismo. Para muchas organizaciones, es un componente importante de una estrategia de seguridad sin contraseñas.
Puede ayudar a las organizaciones, grandes y pequeñas, a establecer una identidad y confianza de usuario sólidas y únicas, y transformar drásticamente la experiencia de inicio de sesión del cliente.
Pero la adopción de la autenticación sin contraseña no ocurre de la noche a la mañana, y si bien una mejor experiencia de usuario, reducción de tiempo y costos de TI y una postura de seguridad más sólida pueden parecer la combinación ideal, las organizaciones deben pensar detenidamente cómo se implementará.
Una comprensión clara del panorama de aplicaciones de una organización es un punto de partida importante para pensar qué aplicaciones deben protegerse. Esto ayudará a los equipos de TI y seguridad a determinar los requisitos previos para una estrategia totalmente de confianza cero.
A partir de ahí, los equipos de TI deberían considerar adoptar un enfoque gradual con implementaciones piloto de autenticación sin contraseña que puedan ayudar a resolver los problemas iniciales y abordar las inquietudes de los usuarios.
Sin contraseña no solo es una forma nueva y más fácil de iniciar sesión, sino que también tiene la capacidad de transformar las credenciales de seguridad de una organización y emprender el camino hacia la confianza cero. No utilizar contraseñas es el primer paso hacia el futuro de la autenticación.
Te presentamos el mejor navegador privado.
Este artículo se produjo como parte del canal Expert Insights de TechRadarPro, donde presentamos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si estás interesado en participar, más información aquí:
