Zero Trust necesita Zero Passwords

4 junio 2021

Zero Trust necesita Zero Passwords

Artículo íntegramente publicado en la Revista SIC.

Casi todos los fabricantes de ciberseguridad promueven la denomianda Confianza Cero (Zero Trust) pero no podemos conseguir Zero Trust con contraseñas estáticas, el eterno eslabón débil de la ciberprotección. De hecho las contraseñas son una vulnerabilidad. Las hemos hecho más complejas, cambiado periódicamente y hasta protegido bajo una bóveda para paliar sus debilidades, pero con tantos agujeros, el barco de las contraseñas siempre acaba hundiéndose. Bajémonos de ese barco condenado a naufragar y dejemos que descanse en paz. Echemos un vistazo a las herramientas que nos trae HYPR para que Zero Trust signifique un 100% de fiabilidad.

¿Por qué seguimos sufriendo los problemas que generan las contraseñas? Me refiero a las contraseñas estáticas, esas que hay que recordar para poder acceder a dispositivos, redes y aplicaciones
y que son inseguras y con frecuencia sustraídas y descifradas. Aunque hay quien dice que son la opción más sencilla, sus debilidades nos obligan a usar contraseñas complejas, no reutilizarlas y cambiarlas periódicamente. Por eso las olvidamos con facilidad y tenemos que restablecerlas con frecuencia, lo que conlleva pérdidas de tiempo y frustración en los usuarios.

La solución es deshacerse de las contraseñas. Esto simplifica la autenticación y reduce los gastos. Según Microsoft, el coste ocasionado por las incidencias con las contraseñas supone hasta el 30% del presupuesto de IT. Con  razón Gartner predice que en 2022 el 60% de las grandes empresas globales y el 90% de las medianas empresas implementarán métodos Passwordless en más del 50% de los casos de uso.

Las limitaciones de las contraseñas de un solo uso

Las soluciones de dos factores de autenticación (2FA) han hecho que el proceso de autenticación sea más complejo y requiera más pasos extra. En consecuencia, este cambio genera rechazo por parte de los usuarios. Además, aunque añaden seguridad a la autenticación, las soluciones de 2FA basadas en One-Time Passwords (OTP) no son suficientemente robustas, ya que dependen de un secreto compartido entre el dispositivo y el backend del sistema de autenticación. Desafortunadamente, los ciberdelincuentes roban continuamente esos secretos para obtener acceso a nuestros sistemas críticos.

Passwordless, la solución

La solución es dejar de usar contraseñas estáticas. Ya lo estamos haciendo, por ejemplo, usando datos biométricos para desbloquear nuestros teléfonos y algunas aplicaciones. Nuestras tarjetas de pago son Smart Cards con claves asimétricas, sin secretos compartidos. La clave privada nunca sale de la tarjeta, así que es imposible interceptarla.

El camino hacia Passwordless comenzó en 2013 con la fundación de la FIDO Alliance. En marzo de 2019, WebAuthn fue designado estándar web oficial, clave para lograr la eliminación de las contraseñas estáticas. Cualquier aplicación, software o sistema operativo compatible con WebAuthn puede utilizar autenticación sin contyraseñas desde cualquier dispositivo de usuario o software que lo admita.

¿Qué se necesita para implementar WebAuthn? Con apenas unas líneas de código se puede habilitar WebAuthn en el lado de la aplicación o del servidor de autenticación. Por otro lado, el usuario debe disponer de un dispositivo con chip criptográfico integrado. Actualmente, estos chips ya están incluidos de fábrica en nuestros ordenadores, teléfonos móviles, tabletas y llaves de seguridad hardware externas. Además, los principales navegadores web ya son compatibles con WebAuthn.

Un futuro más seguro

HYPR fue creada en 2014 con la meta de eliminar las contraserñas. Hay más de 100 millones de usuarios de HYPR en todo el mundo que dejaron de utilizar las contraseñas estáticas y los métodos MFA obsoletos como las contraseñas de un solo uso (OTP). HYPR elimina las contraseñas estáticas, proporciona a los usuarios inicios de sesión ultra-rápidos y elimina el riesgo de sufrir phishing y fraude. Además, permite obtener un alto retorno de la inversión, inferior a cinco meses.

HYPR facilita el incio de sesión sin contraseñas en Windows 10, Azure y Microsoft 365 y cualquiera de las centernares de aplicaciones compatibles con FIDO2/WebAuthn y otras muchas que lo serán pronto. Puede verse la lista en www.fidoalliance.org.

Passwordless no se limita al ámbito corporativo, también puede proteger los inicios de sesión de clientes de comercios electrónicos o bancos para reducir la apropiación de cuentas y el fraude.

HYPR permite utilizar el estándar WebAuthn para que los bancos y los proveedores de pagos logren el cumplimiento de la normativa PSD2. De hecho, Mastercard fue uno de los primeros inversores principales en HYPR, quien está impulsando el cambio a Passwordless para los medios de pago. HYPR es una solución software que posibilita la migración a Passwordless, utilizando los chips  criptográficos incorporados en nuestros móviles, tabletas y ordenadores para la autenticación de doble factor sin contraseñas estáticas. Con HYPR, un usuario puede autenticarse con su smartphone o una llave de seguridad en AD, en los servicios cloud compatibles o en las aplicaciones propias de la compañía. Una de las ventajas es que el usuario dispone de varios métodos de inicio de sesión en caso de pérdida de uno de ellos.

Con HYPR se puede comenzar a implementar la autenticación sin contraseña para todos sus usuarios y todas las aplicaciones a las que tengan que acceder y reemplaza los sistemas fragmentados de autenticación. Cuanto antes se inicie el cambio, antes se podrá alcanzar la utopía Passwordless, y más satisfechos y seguros se sentirán los empleados, contratistas y clientes.

Para más información puede visitar dotforce.es/productos/hypr-passwordless-multi-factorauthentication o hypr.com, o visionar el video en español sobre Passwordless authentication en el canal de YouTube de DotForce.

Consulte el portafolio de soluciones de ciber seguridad ofrecidas por DotForce aquí.

PUBLICADO POR:<br>Zane Ryan
PUBLICADO POR:
Zane Ryan

Artículos relacionados

Cómo remediar la falta de inversión en ciberseguridad

Cómo remediar la falta de inversión en ciberseguridad

Al resignarse a que no exista una seguridad al 100%, las organizaciones terminan invirtiendo menos de lo que deberían en ciberseguridad, o crean una ciberdefensa abocada al fracaso. Si no se puede garantizar el 100%, ¿cuánta seguridad se puede garantizar, 10%, 50%, 80%, 90%? ¿sabemos cómo medirla? ¿Lo ha hecho alguna vez?
Existen diferentes metodologías para calcular el nivel de seguridad.

Hackeo Solarwinds: Sunburst es solo la punta del iceberg

Hackeo Solarwinds: Sunburst es solo la punta del iceberg

El Ejército norteamericano, el Departamento de Estado, la Oficina Presidencial, el Pentágono o el Departamento del Tesoro norteamericano son sólo algunos de los organismos que han podido verse afectados por el ciberataque realizado por el malware Sunburst a la compañía Solarwinds, un proveedor de software que desarrolla soluciones de administración de redes, sistemas e infraestructuras.

Este sitio web utiliza cookies. Si continuas utilizando este sitio aceptas su uso. Más información

Los ajustes de cookies de este sitio web están configurados para "permitir cookies" y así ofrecerte la mejor experiencia de navegación posible. Si sigues utilizando este sitio web sin cambiar tus ajustes de cookies o haces clic en "Aceptar" estás dando tu consentimiento expreso a la utilización de cookies.

Cerrar aviso