El concepto de autenticación «sin contraseña» ha ganado una gran atención en la industria y los medios. Y por una buena razón. Nuestras vidas digitales exigen un número cada vez mayor de cuentas y servicios en línea, con mejores prácticas de seguridad que dictan que cada uno requiere una contraseña segura y única para garantizar que los datos permanezcan seguros. ¿Quién no querría una manera más fácil?
Esa es la premisa detrás de las contraseñas de un solo uso (OTP), la biometría, los códigos PIN y otros métodos de autenticación presentados como seguridad sin contraseña. En lugar de recordar contraseñas engorrosas, los usuarios pueden autenticarse usando algo que poseen, conocen o son. Algunos ejemplos incluyen un teléfono inteligente, OTP, token de hardware o marcador biométrico como una huella digital. Si bien esto suena atractivo en la superficie, el problema es que, cuando profundiza, estas soluciones sin contraseña aún dependen de las contraseñas.
Esto sucede de dos maneras principales:
Las soluciones sin contraseña confían en las contraseñas como respaldo
Si tiene un dispositivo Apple, es probable que haya encontrado un problema con Touch ID en algún momento. Existen numerosas razones por las que la autenticación Touch ID puede fallar: residuos en el botón, posicionamiento de los dedos de los usuarios o problemas con la configuración del sistema, por nombrar solo algunos. Cuando surgen estos y otros problemas, ¿qué se le pide que haga? Ingresa tu contraseña.
Esto significa que, incluso si tiene habilitado Touch ID para todas las aplicaciones y servicios posibles, la seguridad de estas cuentas es realmente tan buena como su contraseña. Los piratas informáticos pueden ignorar el Touch ID e ir directamente a un ataque de contraseña.
Dado el problema desenfrenado de la reutilización de contraseñas, es muy probable que las credenciales que muchas personas usan para sus dispositivos Apple ya hayan sido expuestas. Y si se ha expuesto una contraseña, tenga la seguridad de que está disponible para que todos los piratas informáticos la obtengan a través de la Dark Web.
Por supuesto, este no es un desafío exclusivo de Apple. Dado que estas soluciones de autenticación emergentes son relativamente nuevas, se requerirá un medio alternativo de autenticación en el futuro previsible. Y cuando considera que esta forma secundaria de inicio de sesión es generalmente una contraseña, la promesa de no tener contraseña sigue siendo difícil de alcanzar.
Las credenciales se utilizan para autenticar el sistema en el backend
El segundo factor que contribuye al espejismo sin contraseña es que, por lo general, aún se requieren credenciales para autenticar el sistema en algún punto de la cadena de seguridad.
Por ejemplo, tal vez obtenga acceso a su oficina a través de un token de hardware que por defecto es su código de acceso único si/cuando el token está dañado, o simplemente lo olvida. Pero, ¿qué pasa con el administrador de TI que inicia sesión en el sistema para analizar los datos? Si utilizan una contraseña sin una solución complementaria para garantizar la integridad de sus credenciales, la seguridad del sistema aún depende de la seguridad de la contraseña.
Por qué las contraseñas no desaparecerán pronto
Los dos ejemplos descritos anteriormente subrayan que el concepto sin contraseña es en gran medida humo y espejos, al menos en esta etapa del juego. Estas estrategias de seguridad invisibles emergentes tienen algunas preocupaciones de autenticación adicionales que requerirán que las contraseñas sigan siendo parte de la seguridad de autenticación en el futuro previsible.
Por el contrario, las contraseñas siguen teniendo mucho atractivo para las organizaciones. Son la opción de autenticación más asequible y escalable, lo que los hace difíciles de reemplazar. No hay problemas de compatibilidad con las contraseñas que funcionan en todos los dispositivos, versiones y sistemas operativos.
Este no es el caso con muchas de las soluciones emergentes sin contraseña, que requerirán que las organizaciones asignen más presupuesto si quieren aumentar la compatibilidad. Otro beneficio de confiar en una contraseña es que es correcta o no. Por el contrario, algunas de las opciones sin contraseña se basan en la toma de decisiones probabilística, donde existe un margen de error incorporado.
El papel de las capas variadas y múltiples de autenticación
Según Eric Haller, vicepresidente ejecutivo y gerente general de Identidad, Fraude y DataLabs de Experian, «los consumidores quieren ser reconocidos digitalmente sin pasos adicionales para identificarse… están abiertos a soluciones más prácticas en la era digital actual». La voluntad puede estar ahí por parte de los consumidores, pero la verdad es que no existe una solución única y efectiva para la autenticación segura. Estas estrategias de seguridad invisibles tienen su lugar, pero solo como parte de un enfoque de ciberseguridad más amplio en el que se implementan múltiples capas de autenticación. Esto nos lleva de vuelta a las contraseñas.
Protección de la capa de contraseña
Como se mencionó anteriormente, es increíblemente común que las personas creen contraseñas simples y fáciles de recordar que luego reutilizan en múltiples cuentas y servicios. El noventa y uno por ciento de los encuestados en una encuesta reconocen que esto presenta numerosos problemas de seguridad, pero el 59% admite hacerlo de todos modos. No es realista esperar que cambie el comportamiento humano, particularmente en el mundo posterior a la pandemia, donde tenemos más interacciones digitales en nuestra vida personal y profesional que nunca. Entonces, ¿qué pueden hacer las organizaciones para garantizar la seguridad de las contraseñas?
Importancia de la detección de credenciales comprometidas
Dado que las violaciones de datos ocurren en tiempo real, el único enfoque es comparar las contraseñas con una base de datos activa de credenciales comprometidas en cada inicio de sesión. Ya sea que las contraseñas se utilicen como medio principal de autenticación o como respaldo para cuando falla una estrategia de seguridad invisible, es fundamental que las empresas controlen continuamente el uso de credenciales expuestas. La solución dinámica de detección de credenciales comprometidas de Enzoic permite a las organizaciones automatizar este proceso, liberando recursos para enfocarse en otras áreas de ciberseguridad mientras garantiza la protección en la capa de contraseña.
No crea en el bombo sin contraseña
Por ahora, la promesa de un mundo sin contraseña sigue siendo un espejismo. Si bien nuestra confianza puede disminuir, la eliminación completa de las contraseñas parece poco probable. Por lo tanto, con las contraseñas como parte de nuestras vidas en el futuro previsible, es fundamental que las organizaciones protejan la capa de contraseñas.
