+34 914 230 991 info@dotforce.es

Zero Trust necesita Zero Passwords

4 junio 2021

Zero Trust necesita Zero Passwords

Artículo íntegramente publicado en la Revista SIC.

Casi todos los fabricantes de ciberseguridad promueven la denominada Confianza Cero (Zero Trust) pero no podemos conseguir Zero Trust con contraseñas estáticas, el eterno eslabón débil de la ciberprotección. De hecho las contraseñas son una vulnerabilidad. Las hemos hecho más complejas, las vamos cambiando periódicamente y hasta las hemos protegido bajo una bóveda para paliar sus debilidades, pero con tantos agujeros, el barco de las contraseñas siempre acaba hundiéndose. Bajémonos de ese barco condenado a naufragar y dejemos que descanse en paz. Echemos un vistazo a las herramientas que nos trae HYPR para que Zero Trust signifique un 100% de fiabilidad.

¿Por qué seguimos sufriendo los problemas que generan las contraseñas? Me refiero a las contraseñas estáticas, esas que hay que recordar para poder acceder a dispositivos, redes y aplicaciones y que son inseguras y con frecuencia sustraídas y descifradas. Aunque hay quien dice que son la opción más sencilla, sus debilidades nos obligan a usar contraseñas complejas, no reutilizarlas y cambiarlas periódicamente. Por eso las olvidamos con facilidad y tenemos que restablecerlas con frecuencia, lo que conlleva pérdidas de tiempo y frustración en los usuarios.

La solución es deshacerse de las contraseñas. Esto simplifica la autenticación y reduce los gastos. Según Microsoft, el coste ocasionado por las incidencias con las contraseñas supone hasta el 30% del presupuesto de IT. Con razón Gartner predice que en 2022 el 60% de las grandes empresas globales y el 90% de las medianas empresas implementarán métodos Passwordless en más del 50% de los casos de uso.

Las limitaciones de las contraseñas de un solo uso

Las soluciones de dos factores de autenticación (2FA) han hecho que el proceso de autenticación sea más complejo y requiera más pasos extra. En consecuencia, este cambio genera rechazo por parte de los usuarios. Además, aunque añaden seguridad a la autenticación, las soluciones de 2FA basadas en One-Time Passwords (OTP) no son suficientemente robustas, ya que dependen de un secreto compartido entre el dispositivo y el backend del sistema de autenticación. Desafortunadamente, los ciberdelincuentes roban continuamente esos secretos para obtener acceso a nuestros sistemas críticos.

Passwordless, la solución

La solución es dejar de usar contraseñas estáticas. Ya lo estamos haciendo, por ejemplo, usando datos biométricos para desbloquear nuestros teléfonos y algunas aplicaciones. Nuestras tarjetas de pago son Smart Cards con claves asimétricas, sin secretos compartidos. La clave privada nunca sale de la tarjeta, así que es imposible interceptarla.

El camino hacia Passwordless comenzó en 2013 con la fundación de la FIDO Alliance. En marzo de 2019, WebAuthn fue designado estándar web oficial, clave para lograr la eliminación de las contraseñas estáticas. Cualquier aplicación, software o sistema operativo compatible con WebAuthn puede utilizar autenticación sin contraseñas desde cualquier dispositivo de usuario o software que lo admita.

¿Qué se necesita para implementar WebAuthn? Con apenas unas líneas de código se puede habilitar WebAuthn en el lado de la aplicación o del servidor de autenticación. Por otro lado, el usuario debe disponer de un dispositivo con chip criptográfico integrado. Actualmente, estos chips ya están incluidos de fábrica en nuestros ordenadores, teléfonos móviles, tabletas y llaves de seguridad hardware externas. Además, los principales navegadores web ya son compatibles con WebAuthn.

Un futuro más seguro

HYPR fue creada en 2014 con la meta de eliminar las contraseñas. Hay más de 100 millones de usuarios de HYPR en todo el mundo que dejaron de utilizar las contraseñas estáticas y los métodos MFA obsoletos como las contraseñas de un solo uso (OTP). HYPR elimina las contraseñas estáticas, proporciona a los usuarios inicios de sesión ultra-rápidos y elimina el riesgo de sufrir phishing y fraude. Además, permite obtener un alto retorno de la inversión, inferior a cinco meses.

HYPR facilita el incio de sesión sin contraseñas en Windows 10, Azure y Microsoft 365 y cualquiera de las centernares de aplicaciones compatibles con FIDO2/WebAuthn y otras muchas que lo serán pronto. Puede verse la lista en www.fidoalliance.org.

Passwordless no se limita al ámbito corporativo, también puede proteger los inicios de sesión de clientes de comercios electrónicos o bancos para reducir la apropiación de cuentas y el fraude.

HYPR permite utilizar el estándar WebAuthn para que los bancos y los proveedores de pagos logren el cumplimiento de la normativa PSD2. De hecho, Mastercard fue uno de los primeros inversores principales en HYPR, quien está impulsando el cambio a Passwordless para los medios de pago. HYPR es una solución software que posibilita la migración a Passwordless, utilizando los chips  criptográficos incorporados en nuestros móviles, tabletas y ordenadores para la autenticación de doble factor sin contraseñas estáticas. Con HYPR, un usuario puede autenticarse con su smartphone o una llave de seguridad en AD, en los servicios cloud compatibles o en las aplicaciones propias de la compañía. Una de las ventajas es que el usuario dispone de varios métodos de inicio de sesión en caso de pérdida de uno de ellos.

Con HYPR se puede comenzar a implementar la autenticación sin contraseña para todos sus usuarios y todas las aplicaciones a las que tengan que acceder y reemplazar los sistemas fragmentados de autenticación. Cuanto antes se inicie el cambio, antes se podrá alcanzar la utopía Passwordless, y más satisfechos y seguros se sentirán los empleados, contratistas y clientes.

Para más información puede visitar dotforce.es/productos/hypr-passwordless-multi-factorauthentication o hypr.com, o visionar el video en español sobre Passwordless authentication en el canal de YouTube de DotForce.

Consulte el portafolio de soluciones de ciberseguridad ofrecidas por DotForce aquí.

PUBLICADO POR:<br>Zane Ryan
PUBLICADO POR:
Zane Ryan
PUBLICADO POR:<br>Zane Ryan
PUBLICADO POR:
Zane Ryan

Artículos relacionados

Active Directory, ese extraño desconocido para el XDR

Active Directory, ese extraño desconocido para el XDR

En este artículo quiero hablar de cómo proteger uno de los recursos más críticos en la infraestructura IT de cualquier organización: Microsoft Active Directory (AD). Este es el primer lugar al que atacan los cibercriminales una vez que consiguen acceder a tu red para tomar el control de una cuenta privilegiada o de una cuenta de usuario estándar existente y elevar los privilegios. Este comportamiento malicioso puede parecer normal a la vista de los sistemas de seguridad habituales y por ello en muchas ocasiones pasa desapercibido. Pero incluso en los casos en los que sí se detecta un ataque a AD, esta detección suele llegar demasiado tarde.

El metaverso: Guía para torpes

El metaverso: Guía para torpes

Cuando Mark Zuckerberg cambió el nombre de Facebook a Meta, a muchos les pilló por sorpresa y ahora muy pocos saben qué es Meta y la revolución que el metaverso está causando. Por si fuera poca la euforia, ahora las grandes marcas, como Adidas, también se están...

Deepfakes: Todo lo que necesitas saber sobre ellos

Deepfakes: Todo lo que necesitas saber sobre ellos

Deepfakes: un poco de contexto actual Desde hace un par de semanas está circulando por internet un vídeo falso del presidente Zelensky en donde pide a sus tropas que depongan las armas y se rindan a las fuerzas rusas. Este vídeo (deepfake) circuló en las redes...

Utilizamos cookies propias y de terceros para obtener datos estadísticos de la navegación de nuestros usuarios y mejorar nuestros servicios. Si acepta o continúa navegando, consideramos que acepta su uso. Puede obtener más información en el siguiente enlace. Más información

POLITICA DE COOKIES Dot Force S.L. utiliza cookies en sus sitios web para atender a nuestros visitantes de acuerdo con este aviso de cookies. Puede obtener más información sobre esto a continuación. Si no acepta el uso de estas cookies, desactívelas siguiendo las instrucciones más abajo en esta página o cambie la configuración de su navegador para que las cookies de este sitio web no puedan enviarse ni almacenarse en su dispositivo. Acerca de las cookies Una cookie de Internet es un pequeño archivo que se envía desde un sitio web y se almacena en la computadora, tableta o dispositivo móvil de un usuario cuando visita un sitio web. Suelen ser anónimos y se utilizan con fines de mantenimiento de registros, pero pueden contener información sobre su visita a un sitio web en particular, como el estado de inicio de sesión, la personalización y las preferencias publicitarias, etc. Las cookies tienen un tiempo de vida predefinido, después del cual no se podrán utilizar y se eliminarán automáticamente. Las cookies pueden ser cookies "persistentes" o de "sesión". El navegador almacenará una cookie persistente y seguirá siendo válida hasta la fecha de caducidad establecida, a menos que el usuario la elimine antes de la fecha de caducidad. Una cookie de sesión, por otro lado, caducará al final de la sesión del usuario cuando se cierre el navegador web. Algunas cookies extremadamente persistentes que pueden persistir después de la eliminación se denominan "Evercookies". Uso de cookies DotForce no utiliza Evercookies. Todas nuestras cookies caducan automáticamente, después de lo cual se eliminarán de su dispositivo. Nuestras cookies no contienen ninguna información que lo identifique personalmente, pero la información personal que almacenamos sobre usted puede ser vinculada, por nosotros, a la información almacenada y obtenida de las cookies. Podemos utilizar la información que obtenemos de su uso de nuestras cookies para los siguientes propósitos. - Para reconocer su computadora cuando visita nuestro sitio web; - Para mejorar la usabilidad del sitio web; - Para analizar el uso de nuestro sitio web; - En la administración de este sitio web; - Cookies de terceros Cuando utiliza nuestro sitio web, también puede recibir cookies de terceros. Nuestros proveedores de servicios pueden enviarle cookies. Pueden usar la información que obtienen de su uso de sus cookies: - Para rastrear su navegador a través de múltiples sitios web; - Para construir un perfil de su navegación web; - Para dirigir anuncios que puedan ser de su interés particular.   Desactivación y/o eliminación de cookies Los navegadores web permiten a los usuarios controlar o eliminar cualquiera o todas las cookies almacenadas en el navegador, esta funcionalidad es común en la mayoría de los navegadores. La mayoría de los navegadores le permiten negarse a aceptar cookies. Por ejemplo: en Internet Explorer puede rechazar todas las cookies haciendo clic en "Herramientas", "Opciones de Internet", "Privacidad" y seleccionando "Bloquear todas las cookies" con el selector deslizante en Firefox puede bloquear todas las cookies haciendo clic en "Herramientas", "Opciones" y desmarcando "Aceptar cookies de sitios" en el cuadro "Privacidad". Sin embargo, bloquear todas las cookies tendrá un impacto negativo en la usabilidad de muchos sitios web. Lista de Cookies Nuestros sitios web y servicios pueden utilizar cualquiera o todas las siguientes cookies: Nombre: _gid Propósito: Esta cookie es utilizada para Google Analytics Tipo: Persistente Duración: 3 Meses  Cookies pasadas y activas Si ha deshabilitado una o más cookies analíticas o de contenido, es posible que aún tengamos información recopilada de cookies que no hayan expirado antes de que se establezca su preferencia deshabilitada. Sin embargo, dejaremos de usar las cookies deshabilitadas para recopilar más información. Una vez que las cookies no caducadas hayan caducado, se eliminarán de su sistema.

Cerrar aviso