Las soluciones de Atlassian se utilizan ampliamente en la industria del desarrollo de software. Muchos equipos que practican el desarrollo de software ágil confían en estas aplicaciones para administrar sus proyectos.
La aplicación de seguimiento de problemas Jira, el repositorio de Git BitBucket, el servidor de implementación e integración continua Bamboo y la plataforma de colaboración en equipo Confluence se consideran herramientas ágiles comprobadas.
Teniendo en cuenta lo popular que se ha vuelto ágil, no es de extrañar que Atlassian ahora sirva al 83 por ciento de las empresas Fortune 500 y tenga más de 10 millones de usuarios activos en todo el mundo.
Para ayudar a crear una mejor experiencia para estos usuarios, Alpha Serve ha desarrollado complementos de WebAuthn para llevar la autenticación sin contraseña a varios productos de Atlassian. Tener una forma más conveniente y segura de iniciar sesión en sus instancias de Atlassian debería ser un avance bienvenido para los equipos de desarrollo.
Resumen
Cómo funciona WebAuthn
WebAuthn es un estándar de seguridad basado en navegador recomendado por World Wide Web Consortium (W3C) que permite que las aplicaciones web simplifiquen y protejan la autenticación del usuario utilizando dispositivos registrados como factores.
Se basa en la criptografía de clave pública para evitar ataques de phishing sofisticados. WebAuthn es parte del marco FIDO2: varias tecnologías que permiten la autenticación sin contraseña entre navegadores web, servidores y autenticadores.
Este estándar de seguridad es compatible con las plataformas y navegadores Windows 10 y Android, como Chrome, Edge, Safari y Firefox.
La especificación WebAuthn hace posible que los servidores se integren con los potentes autenticadores integrados en varios dispositivos. En lugar de una contraseña, se genera un par de claves públicas y privadas para un sitio. La clave privada se almacena de forma segura en el dispositivo del usuario, mientras que una clave pública y una identificación de credencial creada espontáneamente se envían al servidor para su custodia. Luego, el servidor utiliza esa clave pública para verificar la identificación del usuario.
Los complementos de Alpha Serve actualmente permiten la autenticación sin contraseña para Jira, Bamboo, Bitbucket y Confluence con:
La clave de seguridad de hardware y la huella digital pueden permitir que los usuarios inicien sesión en lugar de las combinaciones convencionales de nombre de usuario y contraseña. Los usuarios pueden incluso asociar varios dispositivos y datos biométricos a sus cuentas, lo que les brinda más flexibilidad para iniciar sesión en sus cuentas.
Beneficios de ir sin contraseña
Aunque la autenticación sin contraseña no es completamente nueva, no está disponible de forma predeterminada para los productos de Atlassian y no había forma de habilitarla hasta hace poco. Al implementar los complementos de Alpha Serve, los usuarios pueden disfrutar de los siguientes beneficios:
Sin complicaciones. Los usuarios se ahorran tener que inventar y recordar contraseñas o frases de contraseña complejas. Los usuarios tampoco necesitan hacer un seguimiento de sus muchas contraseñas para sus diferentes cuentas en línea. En última instancia, hace que el proceso de inicio de sesión sea rápido y sencillo.
Eficiencia. La autenticación sin contraseña también reduce el tiempo necesario para que los usuarios ingresen contraseñas largas y complejas. Esto les permite concentrarse rápidamente en sus tareas. Además, del 30 al 50 por ciento de las llamadas a la mesa de servicio de TI son solicitudes de restablecimiento de contraseña. Al eliminar las contraseñas, los equipos de TI pueden liberar su tiempo para un trabajo más significativo.
Mejor seguridad. Con la autenticación sin contraseña, los ciberdelincuentes enfrentan un desafío más importante para obtener acceso a la autenticación de los usuarios. Los hackeos que utilizan credenciales comprometidas se pueden realizar de forma remota. La piratería de sistemas sin contraseña requiere que los atacantes tengan acceso físico a los dispositivos y tengan información biométrica, lo cual es un desafío.
Por qué importa
Los proyectos y los datos alojados y almacenados en las soluciones de Atlassian suelen ser de misión crítica e involucran información confidencial y patentada. Los repositorios de Bitbucket, por ejemplo, contienen los códigos fuente en evolución de los proyectos. Los datos de Jira y Confluence también implican intercambios sensibles y confidenciales entre los miembros del personal.
Como tal, es crucial mejorar la seguridad de estos servicios. Las contraseñas pueden ser el eslabón débil de la mayoría de las defensas cibernéticas. A pesar de los llamados a los usuarios para que adopten contraseñas seguras, es probable que muchos todavía usen contraseñas débiles y fáciles de recordar. Algunos incluso usan las mismas contraseñas débiles que usan con sus aplicaciones y servicios personales.
Desafortunadamente, los piratas informáticos ahora están en posesión de volcados de credenciales: combinaciones de nombre de usuario y contraseña robadas de ataques anteriores, que ahora usan para violar otros sistemas. Solo un desarrollador que reutiliza credenciales previamente comprometidas en un servicio de Atlassian pone a todo el sistema en riesgo de una violación de datos.
Las infracciones no solo son costosas de resolver, sino que estos ciberataques pueden ser devastadores para los proyectos de software. El código propietario puede ser robado y filtrado, inutilizando todo el producto.
Pensamientos finales
A medida que los ciberataques se vuelven más sofisticados cada día, los equipos de desarrollo de software corren un mayor riesgo de daños y pérdidas.
La autenticación sin contraseña de WebAuthn es una solución más dependiente para proteger la información confidencial. Afortunadamente para los usuarios de Atlassian, ahora pueden implementar WebAuthn rápidamente a través de estos nuevos complementos.
