Autenticación sin contraseña: ¿el botón fácil hacia un mundo sin contraseñas?

Parte 1/2 del artículo

Suscríbase a continuación para recibir nuestro boletín semanal:

La autenticación sin contraseña es un objetivo del Santo Grial que aún parece inalcanzable. ¿Por qué sin contraseña? Bueno, el elemento humano es la causa principal de la mayoría de las filtraciones de datos, ya que el 82% procede de contraseñas robadas, suplantación de identidad, uso indebido y errores. No olvidemos que los usuarios odian las contraseñas. Nos ralentizan, sobre todo en los dispositivos pequeños, donde es fácil teclear mal las contraseñas. Si eliminamos las contraseñas, el número de infracciones se reduce considerablemente y los usuarios están más contentos.

¿Cuál es el problema? Bueno, varias comunidades han tenido distintos grados de éxito, pero para ser eficaz, la autenticación sin contraseña tiene que ser omnipresente. Completamente de extremo a extremo.

Siga leyendo para saber más sobre cómo funciona la autenticación sin contraseña, la experiencia del usuario, las ventajas de la seguridad digital y consideraciones importantes para que las empresas creen un futuro seguro sin contraseña .

¿Qué es la autenticación sin contraseña?

La autenticación sin contraseña, a veces denominada simplemente "sin contraseña", es la autenticación de la identidad del usuario sin contraseña, presentando una identidad de usuario sin necesidad de introducir ninguna credencial. Un toque y ya estás dentro.

En lugar de una contraseña, utilizamos factores de posesión como contraseñas de un solo uso, dispositivos móviles y tokens de hardware combinados con factores biométricos únicos para validar la autenticidad de una persona. Una vez validada, el usuario puede desbloquear y activar el uso de los factores de posesión, protegiendo la confidencialidad de los datos biométricos. Con estándares y protocolos como passkey y FIDO2 (más información sobre ellos más adelante).

La contraseña puede presentarse como un barniz, enmascarando el uso continuado de contraseñas encubiertas.

Por ejemplo, si yo fuera desarrollador de software y mi aplicación no estuviera configurada para el acceso sin contraseña, no querría incurrir en el coste de recodificar la aplicación. En su lugar, podría superponer un mecanismo sin contraseña que pida al usuario que introduzca su ID y un segundo factor, como una huella dactilar. La contraseña se inyecta entre bastidores. Con la contraseña todavía en juego, se engaña al usuario haciéndole creer que el proceso es sin contraseña.

Compárese con el proceso tradicional de inicio de sesión, en el que un usuario debe presentar un identificador (normalmente un nombre de usuario) y un verificador (como una contraseña, frase de contraseña, PIN, credenciales, clave, certificado u otro tipo de secreto). El identificador confirma la identidad del usuario y determina qué verificador es necesario para autenticar y proporcionar el nivel de autorizaciones de acceso. 

Con la autenticación sin contraseña, siempre se intercambian secretos para verificar la autorización y el nivel de acceso del usuario: simplemente se intercambian entre bastidores. Los secretos pueden ser permanentes o temporales, según el nivel de riesgo y los objetivos de seguridad.  

Autenticación sin contraseña: introducción de claves de acceso

Como ya se ha mencionado, existen credenciales que mejoran la experiencia del usuario y ofrecen una mayor garantía para los usuarios de alto riesgo y los servicios críticos.

Las credenciales FIDO son el ejemplo más notable. Pueden utilizarse en software (por ejemplo, un módulo de plataforma de confianza en un ordenador portátil) o con un token de hardware itinerante (por ejemplo, una YubiKey). Mejoran la seguridad al representar otro factor -algo que se tiene- y al resistir la suplantación de identidad.

Inicialmente, los tokens FIDO aumentaban el uso de una contraseña con factores adicionales. Más recientemente, la alianza FIDO ha unido fuerzas con las grandes tecnológicas (Apple, Google y Microsoft) para desarrollar un nuevo estándar de clave de seguridad. estándar de claves de seguridad. Como se describe en la web passkeys.io se trata de una nueva forma de iniciar sesión que funciona completamente sin contraseña. En lugar de aumentar una contraseña, la sustituye por completo. Passkeys se basa en los estándares FIDO existentes, añadiendo ventajas para la experiencia del usuario y la seguridad digital.

Los usuarios pueden acceder a su clave de acceso desde todos sus dispositivos utilizando un método que usan a diario: la verificación de su huella dactilar, su rostro o el código PIN de su dispositivo. No es necesario registrar un nuevo identificador FIDO en cada nuevo dispositivo. Los proveedores de servicios pueden admitir la autenticación de clave privada sin necesidad de contraseñas, como método alternativo de inicio de sesión o recuperación de cuenta. La gestión de claves privadas puede ser específica de cada ecosistema; por ejemplo, Apple utilizando su iCloud y Keychain para replicar.

Además, las claves de acceso se han combinado con tecnologías de autollenado para simplificar el proceso de inicio de sesión de los usuarios, de modo que la identidad del usuario se rellena automáticamente al acceder a una aplicación web que se ha registrado previamente para un inicio de sesión basado en claves de acceso. De este modo, el usuario no tiene que entrar en la aplicación una vez que ha completado la verificación biométrica.

Empresas como eBay, PayPal, BestBuy y Kayak han prometido ofrecer una clave de acceso alternativa para iniciar sesión, y todos los miembros fundadores de Big Tech han actualizado sus sistemas y aplicaciones para admitirla. Este nivel de apoyo nos acercará a un verdadero mundo sin contraseñas de extremo a extremo.

No hay contraseña para la empresa

¿Se convertirán de facto las claves de seguridad o algo similar?

Hacer que las claves de contraseña sean la norma exigirá que todos los proveedores de servicios actualicen su autenticación actual basada en contraseñas. Podemos esperar que la adopción sin contraseña se traslade de la nube a las aplicaciones y sistemas heredados. Muchas aplicaciones SaaS ya soportan estándares y protocolos modernos como OpenID Connect, SAML y OAuth2 para la autenticación federada desde un proveedor de identidades de confianza, así como la autenticación multifactor (MFA), por lo que el ascenso debería ser más sencillo.

Cualquier aplicación web que actualmente soporte FIDO2 debería ser capaz de aprovechar la tecnología de clave de contraseña debido a la interoperabilidad. Por ejemplo, los servicios de identidad dentro de la plataforma Delinea soportan la autenticación de usuario sin contraseña y basada en contraseña de FIDO2. Sin embargo, los sitios web que aún no han añadido soporte FIDO2 necesitarán ser modificados para soportar claves de seguridad.

Según Forrester Research, cada vez más empresas están adoptando la autenticación sin contraseña. Según una encuesta reciente, alrededor de la mitad están experimentando con el inicio de sesión sin contraseña. La mayoría son programas piloto, pruebas de concepto y pequeñas implantaciones con grupos de usuarios específicos. Las encuestas realizadas por proveedores como Ping Identity y Yubico muestran un enorme deseo por parte de los informáticos de adoptar la autenticación sin contraseña. Así que las fichas de dominó están cayendo.

Las claves de acceso son ideales para el inicio de sesión sin contraseña en portátiles y aplicaciones web, pero las organizaciones deben pensar en cómo ampliar la ausencia de contraseña a los servidores y aplicaciones empresariales. Las empresas tienen necesidades de seguridad avanzadas y requieren un nivel más estricto de gestión de la autenticación.

Las organizaciones también requerirán un mayor nivel de garantía de que el usuario que se autentifica con la contraseña es el usuario para el que se creó. Una solución moderna de gestión de acceso privilegiado (PAM) para la protección de servidores, como Delinea Cloud Suite, admite el inicio de sesión sin contraseña y MFA.

La ausencia de contraseñas combinada con credenciales sólidas puede satisfacer casi cualquier escenario, facilitando la vida al usuario (reconocimiento biométrico táctil o facial para el acceso) y mejorando la seguridad digital de las empresas.

Varios usos del desbloqueo biométrico :

Desbloqueo biométrico para una autenticación mutua fuerte basada en la criptografía con recursos para una mayor ubicuidad y facilidad de uso (por ejemplo, FIDO2 o claves de paso más protocolos de conexión federados como SAML, OAuth y OpenID Connect).
Desbloqueo biométrico para la autenticación basada en criptografía en recursos en los que no es posible una autenticación mutua fuerte (por ejemplo, certificados SSH).
Desbloqueo biométrico para acceder a un secreto compartido como solución alternativa. Es decir, una contraseña o clave SSH encubierta donde una caja fuerte secreta subyacente o cartera de contraseñas inyecta automáticamente la contraseña, aplica una alta calidad de servicio y rota automáticamente la contraseña.

Fuente : Delinea

Suscríbase a continuación para recibir nuestro boletín semanal:

Autenticación sin contraseña: ¿el botón fácil hacia un mundo sin contraseñas?

Autenticación sin contraseña: ¿el botón fácil hacia un mundo sin contraseñas?

Autenticación sin contraseña: ¿el botón fácil hacia un mundo sin contraseñas?

¿Qué es la autenticación sin contraseña?

Autenticación sin contraseña: introducción de claves de acceso

No hay contraseña para la empresa

¿Se convertirán de facto las claves de seguridad o algo similar?

Fuente : Delinea

Entradas recientes

Comentarios recientes

Categorías

Última publicación

La estrategia de confianza cero: creciente popularidad en el ámbito de la ciberseguridad

6 bonnes pratiques en matière de gouvernance de l’information

12Port Horizon : Microsegmentation Simplifiée et Sécurité Renforcée

MFA para portales internos: proteja sus aplicaciones con un proxy inverso

Etiquetas

Enlaces

Póngase en contacto con

Boletín