Autenticar o no autenticar con contraseñas ¿Es la autenticación passwordless la solución?


PCMag. (2021, July 21). [Password login]. Got a Password Manager? Good, But You’re Using It Wrong. https://www.pcmag.com/how-to/password-managers-youre-doing-it-wrong


Hoy en día las contraseñas son ampliamente usadas, ya sea para acceder a nuestra banca móvil, acceder a nuestras redes sociales, usar nuestros dispositivos electrónicos personales e inclusive hay algunas chapas electrónicas que nos permiten usar contraseñas para acceder a nuestro hogar.


Las contraseñas están en todas partes, usualmente (idóneamente) están compuestas por una serie de letras, números y símbolos, esta cadena de caracteres tiene la tarea de proteger nuestros datos sensibles de aquellos con malas intenciones.


Las contraseñas son nuestra primera línea de defensa, y con esto surge la pregunta ¿Qué tan seguras son? Es un hecho que el 81% de las intrusiones relacionadas con hackers han sido gracias a contraseñas poco seguras, esto es consternaste si tenemos en cuenta el 60% de la población mundial utiliza internet, y este número parece solo ir aumentando mes con mes. No es de extrañarse que haya todo un movimiento que busca alternativas más convenientes para proteger nuestra información.


Hablemos de Autenticacion Passwordless


Se estima que un usuario utiliza alrededor de 200 plataformas las cuales requieren verificación, este numero puede duplicarse para el año 2023. Tomando en cuenta la cantidad de información que se ven obligados a memorizar, no es de extrañarse que los usuarios recurran a tomar notas (muchas veces en lugares poco seguros) para mantener el control de sus cuentas y contraseñas. Otra practica popular es el uso de algún tipo de gestor, el cual conglomera la información de cuentas y contraseñas, de esta forma solo memorizamos una contraseña maestra, al mismo tiempo que dejamos al atacante a una contraseña de acceder a todas las demás.


El movimiento Passwordless Authentication nace justamente para proporcionar maneras alternativas de verificar nuestra identidad, a la vez que obtenemos mayor seguridad y comodidad tanto para el usuario como para los administradores de IT. Este tipo de autenticación plantea no depender de memorizar contraseñas o ingresarlas de manera manual mientras nos proporciona autenticaciones más seguras, rápidas y que requieren menor mantenimiento.


Para lograr estos objetivos se utilizan una serie de tecnologías que incluyen (pero no se limitan) el uso de tokens y factores biométricos. El uso de tokens en primera instancia se asemeja a las soluciones MFA (Multi-Factor Authentication), sin embargo, El MFA propone una capa extra de seguridad para las contraseñas compuestas por cadenas de caracteres, mientras que el objetivo del Passwordless Authentication es el de remplazar estas contraseñas ¨tradicionales¨ y depender de un solo método seguro para autenticarnos. Los factores biométricos son una solución bastante atractiva y cuyo uso es cada vez más común, un ejemplo de estas son los lectores de huellas digitales y el reconocimiento facial incluidos en los teléfonos celulares inteligentes.


¿Qué opciones tenemos?

Debido a sus beneficios económicos, administrativos y de seguridad, la solución Passwordless Authentication resulta atractiva para los usuarios y el mundo empresarial, pero hay que tomar en cuenta que esta solución es más un concepto o un resultado deseado, que conserva el trabajo en conjunto de las nuevas tecnologías y los agentes que la utilizan/administran, para llevar a cabo implementaciones exitosas.


A continuación, se presentan algunos ejemplos de soluciones orientadas al modelo Passwordless Authentication para pintar mejor el panorama actual de esta tecnología.



MagicLinks: Consisten en enviar por correo electrónico un enlace al que el usuario ingresa como parte de su autenticación.


Mensajes SMS: Para esta solución es necesario contar con un celular, el usuario debe ingresar su número de teléfono, y este recibirá un mensaje con un código único cada vez que quiera iniciar sesión.


Otros modelos se basan en métodos más directos pero ofrecen soluciones igualmente seguras, como las siguientes:


Factores biométricos: utiliza las características únicas de los usuarios, como: huellas dactilares, retinas, reconocimiento facial e incluso el comportamiento como método de autenticación.


FIDO2: FIDO2 es un estándar de autenticación gratuito, administrado por FIDO Alliance y sujeto a los estándares W3C para autenticación Web, también utiliza el protocolo CTAP (Client to Authentication Protocol) que permite la comunicación entre diferentes plataformas y dispositivos de autenticación externos.


Quizás en este punto la autenticación sin contraseña se parece a MFA (Autenticación de múltiples factores), sin embargo, MFA propone una capa adicional de seguridad para las contraseñas, mientras que el objetivo de la autenticación sin contraseña es confiar en un único método seguro para autenticarnos.


El modelo de Autenticación sin Contraseña es una alternativa para ese “mal necesario” que incluyen las contraseñas tradicionales, sin embargo, aún quedan detalles por afinar, muchos de los métodos utilizados han demostrado tener problemas de seguridad, tal es el caso de la autenticación por Email y SMS. , que tienen registros de ataques en el pasado, afectando no solo a las soluciones Passwordless sino también al modelo MFA.


Teniendo esto en cuenta, muchos proveedores apuestan por reforzar sus métodos y maximizar la seguridad, mientras que otros apuestan por soluciones biométricas, lo que se ve afectado por el aumento de la eficiencia de las inteligencias artificiales que proporcionan ataques de Spoofing más sofisticados. Por sus beneficios, la autenticación sin contraseña es atractiva, pero la formación y sensibilización de los usuarios para adaptarse al nuevo paradigma también es un factor a tener en cuenta.


A pesar de los vectores de riesgo que tiene la autenticación sin contraseña, sigue siendo una solución más segura en comparación con las contraseñas basadas en cadenas de caracteres, aunque el camino es largo para encontrar una solución que por sí sola sea "impenetrable", es un avance significativo contar con alternativas que reduzcan los riesgos inherentes al paradigma actual.

Aunque el principal objetivo de las soluciones Passwordless es ser un único método de autenticación, es atractivo utilizar una capa extra de seguridad que nos permita mantener los beneficios, esta combinación forma un equipo fuerte para librarnos de algunos vectores de riesgo como el tipo Spoofing. ataques, un entorno empresarial es ideal para llevar a cabo esta implementación, ya que el contexto al que se verá sometido el usuario será bastante consistente, permitirá obtener mejores resultados sin sacrificar la experiencia del usuario.


Referencias:


BBC. (2013, Novembar 08). Retrieved from BBC News: https://www.bbc.com/mundo/noticias/2013/11/131108_tecnologia_contrasenas_utilidad_kv

BND. (2018, August 03 ). Retrieved from BND: https://bnd.nd.gov/81-of-company-data-breaches-due-to-poor-passwords/

Cyberark. (n.d.). Retrieved from Cyberark: https://www.cyberark.com/what-is/passwordless-authentication/

Gillis, A. S. (n.d.). Techtarget. Retrieved from Techtarget: https://www.techtarget.com/searchsecurity/definition/passwordless-authentication

Johnson, T. (2018, December 16). Techxplore. Retrieved from Techxplore: https://techxplore.com/news/2018-12-passwords-ready.html

Johnstone, M. (2019, March 05). Theconversation. Retrieved from Theconversation: https://theconversation.com/receiving-a-login-code-via-sms-and-email-isnt-secure-heres-what-to-use-instead-112767

Onelogin. (n.d.). Retrieved from Onelogin: https://www.onelogin.com/learn/passwordless-authentication

Pathak, A. (2021, October 29). Geekflare. Retrieved from Geekflare: https://geekflare.com/es/passwordless-authentication-solution/

Proofpoint. (n.d.). Retrieved from 2021 state of the Phish: An in-depth look at users awareness, vulnerability and resilience: https://www.proofpoint.com/sites/default/files/threat-reports/pfpt-us-tr-state-of-the-phish-2021.pdf

Securemetric. (n.d.). Retrieved from Securemetric: https://www.securemetric.com/password-security-assessment/

Softwareone. (2021, June 01). Retrieved from Softwareone: https://www.softwareone.com/es-sv/blog/articles/2021/05/03/el-estado-actual-de-la-seguridad-de-la-contrasena-en-2021

welvesecurity. (2017, May 04). Retrieved from welivesecurity: https://www.welivesecurity.com/la-es/2017/05/04/dia-de-la-contrasena-origen/

Yubico. (n.d.). Retrieved from Yubico: https://www.yubico.com/authentication-standards/fido2/


11 views0 comments

Recent Posts

See All