Zero Trust necesita Zero Passwords
Artículo íntegramente publicado en la Revista SIC.
Casi todos los fabricantes de ciberseguridad promueven la denominada Confianza Cero (Zero Trust) pero no podemos conseguir Zero Trust con contraseñas estáticas, el eterno eslabón débil de la ciberprotección. De hecho las contraseñas son una vulnerabilidad. Las hemos hecho más complejas, las vamos cambiando periódicamente y hasta las hemos protegido bajo una bóveda para paliar sus debilidades, pero con tantos agujeros, el barco de las contraseñas siempre acaba hundiéndose. Bajémonos de ese barco condenado a naufragar y dejemos que descanse en paz. Echemos un vistazo a las herramientas que nos trae HYPR para que Zero Trust signifique un 100% de fiabilidad.
¿Por qué seguimos sufriendo los problemas que generan las contraseñas? Me refiero a las contraseñas estáticas, esas que hay que recordar para poder acceder a dispositivos, redes y aplicaciones y que son inseguras y con frecuencia sustraídas y descifradas. Aunque hay quien dice que son la opción más sencilla, sus debilidades nos obligan a usar contraseñas complejas, no reutilizarlas y cambiarlas periódicamente. Por eso las olvidamos con facilidad y tenemos que restablecerlas con frecuencia, lo que conlleva pérdidas de tiempo y frustración en los usuarios.
La solución es deshacerse de las contraseñas. Esto simplifica la autenticación y reduce los gastos. Según Microsoft, el coste ocasionado por las incidencias con las contraseñas supone hasta el 30% del presupuesto de IT. Con razón Gartner predice que en 2022 el 60% de las grandes empresas globales y el 90% de las medianas empresas implementarán métodos Passwordless en más del 50% de los casos de uso.
Las limitaciones de las contraseñas de un solo uso
Las soluciones de dos factores de autenticación (2FA) han hecho que el proceso de autenticación sea más complejo y requiera más pasos extra. En consecuencia, este cambio genera rechazo por parte de los usuarios. Además, aunque añaden seguridad a la autenticación, las soluciones de 2FA basadas en One-Time Passwords (OTP) no son suficientemente robustas, ya que dependen de un secreto compartido entre el dispositivo y el backend del sistema de autenticación. Desafortunadamente, los ciberdelincuentes roban continuamente esos secretos para obtener acceso a nuestros sistemas críticos.
Passwordless, la solución
La solución es dejar de usar contraseñas estáticas. Ya lo estamos haciendo, por ejemplo, usando datos biométricos para desbloquear nuestros teléfonos y algunas aplicaciones. Nuestras tarjetas de pago son Smart Cards con claves asimétricas, sin secretos compartidos. La clave privada nunca sale de la tarjeta, así que es imposible interceptarla.
El camino hacia Passwordless comenzó en 2013 con la fundación de la FIDO Alliance. En marzo de 2019, WebAuthn fue designado estándar web oficial, clave para lograr la eliminación de las contraseñas estáticas. Cualquier aplicación, software o sistema operativo compatible con WebAuthn puede utilizar autenticación sin contraseñas desde cualquier dispositivo de usuario o software que lo admita.
¿Qué se necesita para implementar WebAuthn? Con apenas unas líneas de código se puede habilitar WebAuthn en el lado de la aplicación o del servidor de autenticación. Por otro lado, el usuario debe disponer de un dispositivo con chip criptográfico integrado. Actualmente, estos chips ya están incluidos de fábrica en nuestros ordenadores, teléfonos móviles, tabletas y llaves de seguridad hardware externas. Además, los principales navegadores web ya son compatibles con WebAuthn.
Un futuro más seguro
HYPR fue creada en 2014 con la meta de eliminar las contraseñas. Hay más de 100 millones de usuarios de HYPR en todo el mundo que dejaron de utilizar las contraseñas estáticas y los métodos MFA obsoletos como las contraseñas de un solo uso (OTP). HYPR elimina las contraseñas estáticas, proporciona a los usuarios inicios de sesión ultra-rápidos y elimina el riesgo de sufrir phishing y fraude. Además, permite obtener un alto retorno de la inversión, inferior a cinco meses.
HYPR facilita el incio de sesión sin contraseñas en Windows 10, Azure y Microsoft 365 y cualquiera de las centernares de aplicaciones compatibles con FIDO2/WebAuthn y otras muchas que lo serán pronto. Puede verse la lista en www.fidoalliance.org.
Passwordless no se limita al ámbito corporativo, también puede proteger los inicios de sesión de clientes de comercios electrónicos o bancos para reducir la apropiación de cuentas y el fraude.
HYPR permite utilizar el estándar WebAuthn para que los bancos y los proveedores de pagos logren el cumplimiento de la normativa PSD2. De hecho, Mastercard fue uno de los primeros inversores principales en HYPR, quien está impulsando el cambio a Passwordless para los medios de pago. HYPR es una solución software que posibilita la migración a Passwordless, utilizando los chips criptográficos incorporados en nuestros móviles, tabletas y ordenadores para la autenticación de doble factor sin contraseñas estáticas. Con HYPR, un usuario puede autenticarse con su smartphone o una llave de seguridad en AD, en los servicios cloud compatibles o en las aplicaciones propias de la compañía. Una de las ventajas es que el usuario dispone de varios métodos de inicio de sesión en caso de pérdida de uno de ellos.
Con HYPR se puede comenzar a implementar la autenticación sin contraseña para todos sus usuarios y todas las aplicaciones a las que tengan que acceder y reemplazar los sistemas fragmentados de autenticación. Cuanto antes se inicie el cambio, antes se podrá alcanzar la utopía Passwordless, y más satisfechos y seguros se sentirán los empleados, contratistas y clientes.
Para más información puede visitar nuestra página de HYPR, o ver el video en castellano sobre autenticación Passwordless con HYPR en nuestro canal de YouTube.
Consulte el portafolio de soluciones de ciberseguridad ofrecidas por DotForce aquí.
