Hace algunos años, el fortalecimiento de los modelos de control de acceso basados en contraseñas se fundamentó en generar complejidad en la definición de la contraseña, esto es: establecer una longitud mínima de caracteres (al menos 8), combinar letras mayúsculas, minúsculas, número e incluso caracteres especiales, adicionalmente dar un tiempo de vida a la contraseña, es decir exigir su cambio periódicamente (mensual o trimestralmente, por ejemplo).
Este tipo de estrategias, en su momento resultaron funcionales para enfrentar ataques basados en fuerza bruta o diccionarios, sin embargo, empezaron a generar un alto nivel de fricción con el usuario, sobre cargas en la mesa de ayuda y crearon malas prácticas como la escritura de contraseñas físicamente en cuadernos, libretas, Post-it, e incluso en archivos de texto, sobra decir… en texto claro.
Otras malas prácticas evidenciadas, se asocian a la definición de patrones de contraseña, como el uso del mes y año con un carácter especial, así las cosas, por ejemplo, para el mes de Septiembre, el usuario define la contraseña Septiembre.2021, en el mes siguiente usará Octubre.2020 y así sucesivamente, contraseñas que cumplen con las características de seguridad establecidas, pero que claramente muestran un patrón que fue “descubierto” por el usuario y hoy día ampliamente utilizado por atacantes y procesos maliciosos para suplantar identidades y que representan un riesgo para el modelo de autenticación y control de acceso a sistemas de información e infraestructuras tanto personales como corporativas (redes sociales, correos personales y corporativos, ERPs, CRMs y un gran etcétera).
Comprometer las credenciales de acceso a sistemas de información se ha convertido en un objetivo de atacantes y usuarios maliciosos, se evidenció en un estudio realizado por Verizon que el 81% de los ataques relacionados con hacking y ciberataques son causados por credenciales comprometidas; por otro lado, Google identificó que el 65% de cuentas hacen doble uso de contraseñas o credenciales de acceso, lo que permite que si un atacante logra comprometer una credencial de acceso, exista la posibilidad de que pueda usar la misma credencial para acceder a otro sistema de información del mismo usuario.
“Este verano unos hackers destruyeron mi vida digital en una hora”, señaló el editor sénior de la revista Wired Mat Honan, después de que atacantes comprometieron sus cuentas de Twitter, Apple y Gmail y borraran todos sus mensajes y documentos. “Reutilizar las contraseñas es lo que te crea más problemas”, dice Diana Smetters, ingeniera de software senior en Google, mientras admite que hay toda una economía basada en el robo y la venta de contraseñas de todo tipo. Estas son solo dos experiencias que hace algunos años sonaron en el mercado, pero que seguramente hoy día siguen vigentes.
Autenticación sin contraseña – Passwordless Authentication
Los modelos de autenticación tradicionales basados en el uso de credenciales de acceso bajo la combinación de usuario contraseña, representan un único punto de falla; solo para acceso a recursos corporativos, se estima que el 62% de sistemas de información cuentan con modelos basados únicamente en este esquema, situación que genera fricción con el usuario, pues el 47% usan al menos entre 3 y 5 contraseñas diferentes para acceder a los diferentes recursos corporativos.
Es precisamente allí, donde estrategias como la generación de modelos de autenticación sin contraseña (Passwordless Authenticaton), mediante mecanismos que permitan combinar otros factores de autenticación basados en múltiples factores como: algo que el usuario es, algo que tiene y/o algo que conoce, fortalecido con tecnologías de Machine Learning e Inteligencia Artificial, que analizan y aprenden del comportamiento del usuario y permiten tomar decisiones y generar registros que pueden integrarse con sistemas de correlación de eventos de seguridad (SIEM) o sistemas para automatización y orquestación de respuesta a incidentes (SOAR).
Se han convertido en una excelente opción pues fortalece el gran medida el modelo de autenticación y acceso a recursos corporativos, permite disminuir riesgos basados en comportamientos del usuario como compartir su contraseña, almacenarla en texto claro o escribirla físicamente, así como mitigar ataques como “RAT in the Browser” – RitB, “Man in the Middle” e incluso el tradicional Phishing y disminuye la fricción con el usuario, pues le quita la responsabilidad de la definición, administración y gestión de contraseñas.
Ant Allan, Vicepresidente analista de Gartner indica que “Para 2022, Gartner predice que el 60% de las empresas grandes y globales, y el 90% de las medianas empresas, implementarán métodos sin contraseña en más del 50% de los casos de uso, frente al 5% en 2018” Por otro lado Microsoft indica: “La gente quiere una alternativa conveniente y muy segura.
La autenticación sin contraseña es una forma de autenticación multifactor (MFA) que reemplaza las contraseñas con dos o más factores de verificación asegurados y cifrados en el dispositivo de un usuario, como una huella digital, reconocimiento facial, un pin de dispositivo o una clave criptográfica. Las credenciales nunca abandonan el dispositivo, lo que elimina el riesgo de phishing. Estas alternativas se basan en nuevos estándares de la industria desarrollados por miembros como de Fast ID Online (FIDO) Alliance”.
Producto de este análisis resulta evidente que ya es hora de adoptar nuevas tecnologías que permitan combinar diversos factores de autenticación e incluyan tecnologías de inteligencia artificial y machine learning para fortalecer modelos basados en autenticación sin contraseña. Se estima que hay un 99% menos de probabilidad de verse comprometida cuando se usan este tipo de tecnologías.
Esta realidad nos enseña, que una solución robusta en las empresas sobre autenticación no basta para contrarrestar este dilema es necesario contar con la asesoría adecuada para implementarla y así proteger la información de las compañías. En Intexus no sólo nos mueven las cifras y los estudios actuales, también nos gusta charlar con nuestros clientes para comprender la necesidad de su segmento para atacar esta amenaza de forma segura.
Comentarios recientes