+34 914 230 991 info@dotforce.es

La experiencia Passwordless al detalle

25 marzo 2020

La experiencia Passwordless al detalle

La experiencia Passwordless al detalle

El concepto passwordless ha venido para quedarse. En este blog ya hemos hablado acerca del acceso sin contraseñas, y cómo esto ayuda a las empresas a implementar el teletrabajo de forma segura. Ahora, vamos a conocer la experiencia Passwordless al detalle.

La tendencia es clara: avanzar hacia una experiencia Passwordless. Las grandes multinacionales como Microsoft están preparando sus plataformas para acceder sin contraseña. Y según un informe de MobileIron, el 84% de las organizaciones están planificando adoptar nuevos métodos de autenticación en los próximos 2 años.

¿Qué significa Passwordless?

Passwordless nace para resolver un problema: Las contraseñas estáticas no son seguras.

Es muy frecuente que los usuarios utilicen contraseñas débiles. Según un estudio realizado por el Centro de ciberseguridad de Reino Unido, millones de usuarios utilizan contraseñas débiles que un hacker podría descifrar en tan solo un segundo.

Llave de seguridad Security Key de YubicoY aunque las contraseñas robustas son más fiables, siguen siendo vulnerables a ataques de ingeniería social o phishing. Además, dado que son más difíciles de recordar, con frecuencia son anotadas a la vista de otras personas, e incluso reutilizadas en múltiples cuentas.

Los gestores de contraseñas nos facilitan el almacenamiento de contraseñas seguras. Pero, ¿cómo se protege un gestor de contraseñas? Con una contraseña maestra, de la que depende la seguridad del resto de contraseñas. Como ya hemos explicado que hasta las contraseñas robustas son vulnerables. ¿Qué sucede si un usuario malicioso consigue descifrar la contraseña maestra? El resultado es que tendría el control sobre todas las cuentas del usuario con solo descifrar una contraseña.

Passwordless tiene un objetivo: reemplazar el uso de contraseñas por métodos seguros y sencillos para el usuario.

Autenticación de múltiples factores para aumentar la seguridad

FIDO Alliance™, la alianza que promueve la esperiencia Passwordless

La FIDO Alliance™ es una alianza formada por grandes multinacionales y fabricantes de llaves de seguridad como Yubico. Su objetivo es reemplazar los inicios de sesión con contraseña por una experiencia de acceso rápida y segura en páginas web y aplicaciones.

Según la FIDO Alliance™, un método Passwordless debe utilizar un sistema de criptografía asimétrica. Esto significa que se crean una clave privada, que se almacena en un dispositivo de forma segura, y una clave pública. Con estas dos claves podemos autenticarnos de forma segura en los sitios web y aplicaciones.

Experiencia Passwordless con llaves de seguridad Yubico

La experiencia Passwordless al detalle

Para entender la experiencia Passwordless al detalle hay que conocer la empresa Yubico. Yubico es una compañía fundada en Suecia, cuya sede actualmente se encuentra en Sillicon Valley, y es miembro de la FIDO Alliance. Fue el creador, junto con Google, del estándar U2F (Universal 2nd Factor), y uno de los principales impulsores del más reciente FIDO2.

Las llaves de seguridad de Yubico almacenan la clave privada de forma segura. Para evitar que un usuario malicioso tenga acceso a ella, este se encripta con una clave maestra, única para cada llave, que no se puede extraer. Además, cada vez que un usuario utilice una llave de seguridad para autenticarse, debe dar un toque a la llave. No es necesaria una verificación biométrica. Este toque simplemente demuestra que es una persona quien quiere autenticarse. Por lo tanto, un atacante remoto nunca podrá autenticarse ni acceder a la clave privada.

La experiencia Passwordless al detalleAdemás, para evitar que una llave pueda ser sustraída para iniciar sesión, el usuario puede proteger su llave con un PIN numérico, mucho más fácil de recordar que una contraseña.

Yubico dispone de dos modelos para configurar el acceso Passwordless: La Security Key Series y la YubiKey 5 series. De una forma simplificada podemos decir que la Security Key es un modelo diseñado para uso personal, mientras que la YubiKey 5 es la solución para empresas y administraciones públicas. Mientras ambos modelos son compatibles con los protocolos U2F y FIDO2, la YubiKey 5 también es compatible con contraseñas de único uso, como Yubico OTP y OATH, y puede funcionar como una SmartCard. Si deseas saber cuál es el modelo más adecuado para ti o para tu organización, contacta con DotForce.

Ventajas de utilizar llaves de seguridad de Yubico

 

La experiencia Passwordless al detallePara finalizar este artículo en el que hablamos de la experiencia Passwordless al detalle, vamos a ver las principales ventajas de utilizar una llave de seguridad de Yubico.

– Para que un atacante pueda acceder a una cuenta de usuario necesita disponer de la llave de seguridad y conocer su PIN. Es altamente improbable que un atacante pueda conseguir la llave y el PIN no puede ser extraído de la llave.

– La gran mayoría de los ataques a cuentas de usuario se realizan de forma remota. Es ahí cuando la llave física y la necesidad de dar un toque hacen que nuestras cuentas de usuario sean invulnerables a ataques remotos.

Acceso más rápido. Un usuario ya no tendrá que escribir largas contraseñas. No necesitará utilizar gestores de contraseñas. Y recurrir a una libreta de papel para recordar la contraseña será cosa del pasado. Introducir un PIN corto y fácil de recordar y un toque a la llave es todo lo que necesita para autenticarse.

Llámanos hoy mismo al 914 230 991 o escríbenos a info@dotforce.es. Para más información sobre la empresa y sus productos visita https://www.dotforce.es.

PUBLICADO POR:<br>José Luis Pozo Valverde
PUBLICADO POR:
José Luis Pozo Valverde
PUBLICADO POR:<br>José Luis Pozo Valverde
PUBLICADO POR:
José Luis Pozo Valverde

Artículos relacionados

Active Directory, ese extraño desconocido para el XDR

Active Directory, ese extraño desconocido para el XDR

En este artículo quiero hablar de cómo proteger uno de los recursos más críticos en la infraestructura IT de cualquier organización: Microsoft Active Directory (AD). Este es el primer lugar al que atacan los cibercriminales una vez que consiguen acceder a tu red para tomar el control de una cuenta privilegiada o de una cuenta de usuario estándar existente y elevar los privilegios. Este comportamiento malicioso puede parecer normal a la vista de los sistemas de seguridad habituales y por ello en muchas ocasiones pasa desapercibido. Pero incluso en los casos en los que sí se detecta un ataque a AD, esta detección suele llegar demasiado tarde.

El metaverso: Guía para torpes

El metaverso: Guía para torpes

Cuando Mark Zuckerberg cambió el nombre de Facebook a Meta, a muchos les pilló por sorpresa y ahora muy pocos saben qué es Meta y la revolución que el metaverso está causando. Por si fuera poca la euforia, ahora las grandes marcas, como Adidas, también se están...

Deepfakes: Todo lo que necesitas saber sobre ellos

Deepfakes: Todo lo que necesitas saber sobre ellos

Deepfakes: un poco de contexto actual Desde hace un par de semanas está circulando por internet un vídeo falso del presidente Zelensky en donde pide a sus tropas que depongan las armas y se rindan a las fuerzas rusas. Este vídeo (deepfake) circuló en las redes...

Utilizamos cookies propias y de terceros para obtener datos estadísticos de la navegación de nuestros usuarios y mejorar nuestros servicios. Si acepta o continúa navegando, consideramos que acepta su uso. Puede obtener más información en el siguiente enlace. Más información

POLITICA DE COOKIES Dot Force S.L. utiliza cookies en sus sitios web para atender a nuestros visitantes de acuerdo con este aviso de cookies. Puede obtener más información sobre esto a continuación. Si no acepta el uso de estas cookies, desactívelas siguiendo las instrucciones más abajo en esta página o cambie la configuración de su navegador para que las cookies de este sitio web no puedan enviarse ni almacenarse en su dispositivo. Acerca de las cookies Una cookie de Internet es un pequeño archivo que se envía desde un sitio web y se almacena en la computadora, tableta o dispositivo móvil de un usuario cuando visita un sitio web. Suelen ser anónimos y se utilizan con fines de mantenimiento de registros, pero pueden contener información sobre su visita a un sitio web en particular, como el estado de inicio de sesión, la personalización y las preferencias publicitarias, etc. Las cookies tienen un tiempo de vida predefinido, después del cual no se podrán utilizar y se eliminarán automáticamente. Las cookies pueden ser cookies "persistentes" o de "sesión". El navegador almacenará una cookie persistente y seguirá siendo válida hasta la fecha de caducidad establecida, a menos que el usuario la elimine antes de la fecha de caducidad. Una cookie de sesión, por otro lado, caducará al final de la sesión del usuario cuando se cierre el navegador web. Algunas cookies extremadamente persistentes que pueden persistir después de la eliminación se denominan "Evercookies". Uso de cookies DotForce no utiliza Evercookies. Todas nuestras cookies caducan automáticamente, después de lo cual se eliminarán de su dispositivo. Nuestras cookies no contienen ninguna información que lo identifique personalmente, pero la información personal que almacenamos sobre usted puede ser vinculada, por nosotros, a la información almacenada y obtenida de las cookies. Podemos utilizar la información que obtenemos de su uso de nuestras cookies para los siguientes propósitos. - Para reconocer su computadora cuando visita nuestro sitio web; - Para mejorar la usabilidad del sitio web; - Para analizar el uso de nuestro sitio web; - En la administración de este sitio web; - Cookies de terceros Cuando utiliza nuestro sitio web, también puede recibir cookies de terceros. Nuestros proveedores de servicios pueden enviarle cookies. Pueden usar la información que obtienen de su uso de sus cookies: - Para rastrear su navegador a través de múltiples sitios web; - Para construir un perfil de su navegación web; - Para dirigir anuncios que puedan ser de su interés particular.   Desactivación y/o eliminación de cookies Los navegadores web permiten a los usuarios controlar o eliminar cualquiera o todas las cookies almacenadas en el navegador, esta funcionalidad es común en la mayoría de los navegadores. La mayoría de los navegadores le permiten negarse a aceptar cookies. Por ejemplo: en Internet Explorer puede rechazar todas las cookies haciendo clic en "Herramientas", "Opciones de Internet", "Privacidad" y seleccionando "Bloquear todas las cookies" con el selector deslizante en Firefox puede bloquear todas las cookies haciendo clic en "Herramientas", "Opciones" y desmarcando "Aceptar cookies de sitios" en el cuadro "Privacidad". Sin embargo, bloquear todas las cookies tendrá un impacto negativo en la usabilidad de muchos sitios web. Lista de Cookies Nuestros sitios web y servicios pueden utilizar cualquiera o todas las siguientes cookies: Nombre: _gid Propósito: Esta cookie es utilizada para Google Analytics Tipo: Persistente Duración: 3 Meses  Cookies pasadas y activas Si ha deshabilitado una o más cookies analíticas o de contenido, es posible que aún tengamos información recopilada de cookies que no hayan expirado antes de que se establezca su preferencia deshabilitada. Sin embargo, dejaremos de usar las cookies deshabilitadas para recopilar más información. Una vez que las cookies no caducadas hayan caducado, se eliminarán de su sistema.

Cerrar aviso