La experiencia Passwordless al detalle
El concepto passwordless ha venido para quedarse. En este blog ya hemos hablado acerca del acceso sin contraseñas, y cómo esto ayuda a las empresas a implementar el teletrabajo de forma segura. Ahora, vamos a conocer la experiencia Passwordless al detalle.
La tendencia es clara: avanzar hacia una experiencia Passwordless. Las grandes multinacionales como Microsoft están preparando sus plataformas para acceder sin contraseña. Y según un informe de MobileIron, el 84% de las organizaciones están planificando adoptar nuevos métodos de autenticación en los próximos 2 años.
¿Qué significa Passwordless?
Passwordless nace para resolver un problema: Las contraseñas estáticas no son seguras.
Es muy frecuente que los usuarios utilicen contraseñas débiles. Según un estudio realizado por el Centro de ciberseguridad de Reino Unido, millones de usuarios utilizan contraseñas débiles que un hacker podría descifrar en tan solo un segundo.
Y aunque las contraseñas robustas son más fiables, siguen siendo vulnerables a ataques de ingeniería social o phishing. Además, dado que son más difíciles de recordar, con frecuencia son anotadas a la vista de otras personas, e incluso reutilizadas en múltiples cuentas.
Los gestores de contraseñas nos facilitan el almacenamiento de contraseñas seguras. Pero, ¿cómo se protege un gestor de contraseñas? Con una contraseña maestra, de la que depende la seguridad del resto de contraseñas. Como ya hemos explicado que hasta las contraseñas robustas son vulnerables. ¿Qué sucede si un usuario malicioso consigue descifrar la contraseña maestra? El resultado es que tendría el control sobre todas las cuentas del usuario con solo descifrar una contraseña.
Passwordless tiene un objetivo: reemplazar el uso de contraseñas por métodos seguros y sencillos para el usuario.
Autenticación de múltiples factores para aumentar la seguridad
La FIDO Alliance™ es una alianza formada por grandes multinacionales y fabricantes de llaves de seguridad como Yubico. Su objetivo es reemplazar los inicios de sesión con contraseña por una experiencia de acceso rápida y segura en páginas web y aplicaciones.
Según la FIDO Alliance™, un método Passwordless debe utilizar un sistema de criptografía asimétrica. Esto significa que se crean una clave privada, que se almacena en un dispositivo de forma segura, y una clave pública. Con estas dos claves podemos autenticarnos de forma segura en los sitios web y aplicaciones.
Experiencia Passwordless con llaves de seguridad Yubico
Para entender la experiencia Passwordless al detalle hay que conocer la empresa Yubico. Yubico es una compañía fundada en Suecia, cuya sede actualmente se encuentra en Sillicon Valley, y es miembro de la FIDO Alliance. Fue el creador, junto con Google, del estándar U2F (Universal 2nd Factor), y uno de los principales impulsores del más reciente FIDO2.
Las llaves de seguridad de Yubico almacenan la clave privada de forma segura. Para evitar que un usuario malicioso tenga acceso a ella, este se encripta con una clave maestra, única para cada llave, que no se puede extraer. Además, cada vez que un usuario utilice una llave de seguridad para autenticarse, debe dar un toque a la llave. No es necesaria una verificación biométrica. Este toque simplemente demuestra que es una persona quien quiere autenticarse. Por lo tanto, un atacante remoto nunca podrá autenticarse ni acceder a la clave privada.
Además, para evitar que una llave pueda ser sustraída para iniciar sesión, el usuario puede proteger su llave con un PIN numérico, mucho más fácil de recordar que una contraseña.
Yubico dispone de dos modelos para configurar el acceso Passwordless: La Security Key Series y la YubiKey 5 series. De una forma simplificada podemos decir que la Security Key es un modelo diseñado para uso personal, mientras que la YubiKey 5 es la solución para empresas y administraciones públicas. Mientras ambos modelos son compatibles con los protocolos U2F y FIDO2, la YubiKey 5 también es compatible con contraseñas de único uso, como Yubico OTP y OATH, y puede funcionar como una SmartCard. Si deseas saber cuál es el modelo más adecuado para ti o para tu organización, contacta con DotForce.
Ventajas de utilizar llaves de seguridad de Yubico
Para finalizar este artículo en el que hablamos de la experiencia Passwordless al detalle, vamos a ver las principales ventajas de utilizar una llave de seguridad de Yubico.
– Para que un atacante pueda acceder a una cuenta de usuario necesita disponer de la llave de seguridad y conocer su PIN. Es altamente improbable que un atacante pueda conseguir la llave y el PIN no puede ser extraído de la llave.
– La gran mayoría de los ataques a cuentas de usuario se realizan de forma remota. Es ahí cuando la llave física y la necesidad de dar un toque hacen que nuestras cuentas de usuario sean invulnerables a ataques remotos.
– Acceso más rápido. Un usuario ya no tendrá que escribir largas contraseñas. No necesitará utilizar gestores de contraseñas. Y recurrir a una libreta de papel para recordar la contraseña será cosa del pasado. Introducir un PIN corto y fácil de recordar y un toque a la llave es todo lo que necesita para autenticarse.
Llámanos hoy mismo al 914 230 991 o escríbenos a info@dotforce.es. Para más información sobre la empresa y sus productos visita https://www.dotforce.es.
