Autenticación sin contraseña: ¿el camino más fácil hacia un mundo sin contraseñas?
Primera parte (de dos) del artículo
Suscríbase a continuación para recibir nuestro boletín semanal:
La autenticación sin contraseña es un objetivo análogo al Santo Grial que parece estar siempre fuera de nuestro alcance. ¿Por qué sin contraseña? Pues bien, el factor humano es la causa principal de la mayoría de las violaciones de datos: el 82 % se debe a contraseñas robadas, phishing, usos indebidos y errores. No olvidemos que los usuarios detestan las contraseñas. Nos ralentizan, especialmente en dispositivos pequeños donde es fácil equivocarse al introducirlas. ¡Deshazte de las contraseñas y voilà, el número de violaciones se reduce considerablemente y los usuarios están más contentos!
Entonces, ¿cuál es el problema? Bueno, varias comunidades han obtenido resultados desiguales, pero para que sea eficaz, la autenticación sin contraseña debe estar presente en todas partes. De principio a fin.
Sigue leyendo para saber más sobre cómo funciona la autenticación sin contraseña, la experiencia del usuario, las ventajas de la seguridad digital y los aspectos importantes que deben tener en cuenta las empresas para crear un futuro seguro sin contraseñas.
¿Qué es la autenticación sin contraseña?
La autenticación sin contraseña, a veces denominada simplemente «sin contraseña», consiste en verificar la identidad del usuario sin necesidad de una contraseña, es decir, se identifica al usuario sin que este tenga que introducir datos de identificación. Basta con pulsar un botón y ya estás dentro.
En lugar de una contraseña, utilizamos factores de posesión, como contraseñas de un solo uso, dispositivos móviles y tokens físicos, combinados con factores biométricos únicos para validar la autenticidad de una persona. Una vez validado, el usuario puede desbloquear y activar el uso de los factores de posesión, protegiendo así la confidencialidad de los datos biométricos. Con estándares y protocolos como Passkey y FIDO2 (hablaremos de ello más adelante).
La contraseña puede presentarse como una fachada que oculta el uso continuado de las contraseñas bajo el manto de la discreción.
Por ejemplo, si yo fuera desarrollador de software y mi aplicación no estuviera configurada para el acceso sin contraseña, no querría asumir el coste de reprogramarla. En su lugar, podría superponer un mecanismo sin contraseña que pidiera al usuario introducir su nombre de usuario y un segundo factor de autenticación, como una huella dactilar. A continuación, la contraseña se introduce en segundo plano. Al seguir utilizando la contraseña, se engaña al usuario haciéndole creer que el proceso es sin contraseña.
Compárese esto con el proceso de inicio de sesión tradicional, en el que el usuario debe introducir un identificador (normalmente un nombre de usuario) y un verificador (como una contraseña, una frase secreta, un código PIN, credenciales, una clave, un certificado u otro tipo de dato secreto). El identificador confirma la identidad del usuario y determina qué verificador es necesario para autenticarse y proporcionar el nivel de permisos de acceso.
Con la autenticación sin contraseña, los secretos se siguen intercambiando para verificar las autorizaciones y el nivel de acceso del usuario; simplemente, este intercambio se realiza en segundo plano. Los secretos pueden ser permanentes o temporales, en función de tu nivel de riesgo y tus objetivos de seguridad.
Autenticación sin contraseña: Introducción de claves de acceso
Como se ha indicado anteriormente, existen datos de identificación que mejoran la experiencia del usuario y ofrecen una mayor seguridad para los usuarios de alto riesgo y los servicios críticos.
Las credenciales FIDO son el ejemplo más destacado. Pueden utilizarse en un programa informático (por ejemplo, un módulo de plataforma de confianza en un ordenador portátil) o con un dispositivo físico portátil (por ejemplo, una YubiKey). Mejoran la seguridad al constituir un factor adicional —algo que tú tienes— y al ser resistentes al phishing.
Al principio, los tokens FIDO complementaban el uso de una contraseña con factores de autenticación adicionales. Más recientemente, la alianza FIDO se ha asociado con las grandes empresas tecnológicas (Apple, Google y Microsoft) en torno a un nuevo estándar de claves de seguridad. Tal y como se describe en la página web passkeys.io , una clave de seguridad es una nueva forma de iniciar sesión que funciona completamente sin contraseña. En lugar de complementar una contraseña, la sustituye por completo. Las claves de seguridad se basan en los estándares FIDO existentes, aportando una mejor experiencia de usuario y ventajas en materia de seguridad digital.
Los usuarios pueden acceder a su clave de acceso desde todos sus dispositivos utilizando un método que emplean a diario: la verificación de su huella dactilar, su rostro o el código PIN del dispositivo. No es necesario registrar un nuevo identificador FIDO en cada dispositivo nuevo. Los proveedores de servicios pueden admitir la autenticación mediante una clave de autenticación sin necesidad de contraseñas, como método alternativo de inicio de sesión o de recuperación de cuenta. La gestión de la clave privada puede ser específica del ecosistema; por ejemplo, Apple utiliza su iCloud y Keychain para la sincronización.
Además, las claves de acceso se han combinado con tecnologías de autocompletado para simplificar el proceso de inicio de sesión de los usuarios, de modo que la identidad del usuario se rellene automáticamente al acceder a una aplicación web que se haya registrado previamente para un inicio de sesión basado en la clave de acceso. Esto se traduce en una experiencia «sin necesidad de introducir datos» para el usuario una vez que ha completado la verificación biométrica.
Empresas como eBay, PayPal, BestBuy y Kayak se han comprometido a ofrecer una alternativa a las claves de acceso para iniciar sesión, y todos los miembros fundadores de las grandes tecnológicas han actualizado sus sistemas y aplicaciones para admitirla. Este nivel de compatibilidad nos acercará a un mundo verdaderamente sin contraseñas de principio a fin.
Sin contraseña para la empresa
¿Se convertirán las llaves de seguridad o algo similar en la norma de facto?
En lo que respecta a las claves de acceso, la norma exigirá que cada proveedor de servicios actualice su sistema de autenticación basado en contraseñas. Cabe esperar que la adopción de sistemas sin contraseñas se extienda desde la nube hasta las aplicaciones y los sistemas heredados. Muchas aplicaciones SaaS ya admiten estándares y protocolos modernos como OpenID Connect, SAML y OAuth2 para la autenticación federada desde un proveedor de identidad de confianza, así como la autenticación multifactorial (MFA), por lo que la transición debería ser más sencilla.
Cualquier aplicación web que actualmente sea compatible con FIDO2 debería poder aprovechar la tecnología de llaves de seguridad, dada su interoperabilidad. Por ejemplo, los servicios de identidad de la plataforma Delinea admiten la autenticación de usuarios sin contraseña FIDO2 y basada en contraseña. Sin embargo, los sitios web que aún no hayan incorporado la compatibilidad con FIDO2 deberán modificarse para admitir las claves de seguridad.
Según Forrester Research, cada vez más empresas están adoptando la autenticación sin contraseña. Una encuesta reciente reveló que aproximadamente la mitad está probando el inicio de sesión sin contraseña. La mayoría son proyectos piloto, programas de prueba de concepto y pequeñas implementaciones con grupos específicos de usuarios. Las encuestas realizadas por proveedores como Ping Identity y Yubico indican que existe un enorme interés por parte de los departamentos de TI en adoptar la autenticación sin contraseña. Así pues, la bola de nieve está en marcha.
Las claves de acceso son ideales para iniciar sesión sin contraseña en ordenadores portátiles y aplicaciones web, pero las organizaciones deben plantearse cómo ampliar el acceso sin contraseña a los servidores y las aplicaciones empresariales. Las empresas tienen necesidades de seguridad avanzadas y exigen un nivel de gestión de la autenticación más estricto.
Las organizaciones también exigirán un mayor nivel de garantía de que el usuario que se autentica con la contraseña es realmente la persona para la que se creó. Una solución moderna de gestión de accesos privilegiados (PAM) para la protección de servidores, como Delinea Cloud Suite, admite el inicio de sesión sin contraseña y la autenticación multifactorial (MFA).
La ausencia de contraseña, combinada con unas credenciales sólidas, puede adaptarse a casi cualquier situación, lo que facilita la vida del usuario (acceso mediante reconocimiento biométrico táctil o facial) y mejora la seguridad digital de las empresas.
Varios usos del desbloqueo biométrico:
- Desbloqueo biométrico para una autenticación mutua sólida basada en la criptografía de recursos, con el fin de lograr una mayor ubicuidad y facilidad de uso (por ejemplo, FIDO2 o claves de acceso, además de protocolos de inicio de sesión federados como SAML, OAuth y OpenID Connect).
- Desbloqueo biométrico para la autenticación basada en criptografía en recursos en los que no es posible una autenticación mutua sólida (por ejemplo, certificados SSH).
- Desbloqueo biométrico para acceder a una clave compartida como solución de emergencia. Es decir, una contraseña o una clave SSH subyacente, en la que una caja fuerte secreta o un gestor de contraseñas subyacente introduce automáticamente la contraseña, garantiza un alto nivel de servicio y cambia automáticamente la contraseña.
Fuente: Delinea
Suscríbase a continuación para recibir nuestro boletín semanal:
