Ciberseguridad
Contraseñas

Las claves de paso están cambiando la autenticación

Bien implementadas, pueden mejorar la experiencia de los usuarios y dificultar la tarea de los ciberdelincuentes.

llave, teclado

Las contraseñas son un aspecto central de la infraestructura y la práctica de la seguridad, pero también suponen una gran debilidad relacionada directamente con el 81% de todas las infracciones. Los problemas de usabilidad dificultan que los usuarios las administren de la manera correcta. Estas deficiencias han impulsado la búsqueda de enfoques alternativos, como la autenticación sin clave.

De hecho, las denominadas claves de paso están teniendo una adopción cada vez mayor y están destinadas a convertirse en un elemento esencial en los próximos años. Representan una base más segura para las empresas. Aunque no son infalibles, son mucho más seguras que las contraseñas para clientes, socios y empleados.

El problema de las contraseñas tradicionales es que son solo cadenas de caracteres que desbloquean recursos sin tener en cuenta a quién pertenecen. Son como la llave metálica de un coche, que lo abre y arranca sin tener en cuenta ningún otro factor. Por el contrario, las claves de paso tienen un enfoque multifactorial, haciéndose eco del dispositivo, al que une con más factores y yendo más allá de ‘lo que sabes’, sino que identifican también ‘lo que posees’. “A medida que se reemplacen las contraseñas, el teléfono representará una primera puerta más fuerte”, dice Matias Woloski, CTO y cofundador de Auth0. “Esto no solo mejorará la experiencia de usuario, sino también la protección”.

Compañías como Apple, Google y Microsoft permiten las claves de paso, lo que indica la fuerza de su adopción. Las más nuevas incluyen una parte de almacenamiento en la nube para la sincronización entre dispositivos y pueden cambiar sin problema entre ellos dentro del mismo ecosistema.

 

Cómo funcionan las claves de paso

La fuerza del factor dispositivo es simple: es una entidad física. Un hacker en Rusia no puede robar el teléfono de un empleado en California. Por supuesto, un teléfono puede ser robado o extraviado, pero (casi con certeza) ya está bloqueado y las claves de paso usan el teléfono junto con un segundo factor. El teléfono (u otro dispositivo) ya es una entidad con la que los empleados interactúan habitualmente, están acostumbrados a tratar de forma segura y tener a mano. También está asociado con otra información verificable.

Aunque el dispositivo físico es el ancla de la seguridad de la clave de acceso, no es un componente de hardware real el que asocia la clave de acceso con el dispositivo. En cambio, es un puente entre el dispositivo y las aplicaciones del usuario mediado por el sistema operativo o el navegador. Se ha trabajado mucho (y se sigue trabajando) en orquestar esto de forma segura.

 

Tipos de claves de paso

Las características del dispositivo físico hacen que la seguridad básica sea más sólida. Además de este factor, hay varios factores secundarios que se utilizan para verificar que el usuario es el propietario válido del dispositivo. Los tipos de claves de acceso más destacados son biométricos.

 

Cómo las claves de acceso utilizan la criptografía de clave pública

Estos factores (dispositivo y factor secundario) son utilizados por el servicio de clave de acceso en su dispositivo para crear un par de claves criptográficas asimétricas para cada sitio web, aplicación o servicio (la aplicación de autenticación) en el que utiliza la autenticación de clave de acceso. La clave privada se almacena en el dispositivo en un almacén de claves y la aplicación de autenticación conserva la clave pública. Este arreglo tiene muchas fortalezas de seguridad sistémica sobre las contraseñas. Dado que solo se expone la clave pública, por ejemplo, no hay un objetivo útil para los piratas informáticos en el cable o en las bases de datos. La clave pública es inútil para los atacantes.

 

 

Claves de acceso multidispositivo

Lo último en especificaciones de claves de acceso FIDO son multidispositivo. Una vez que se establece una clave de paso para un servicio determinado, el mismo dispositivo se puede usar para compartirlo de forma segura con otro dispositivo. Los dispositivos deben estar muy cerca, dentro del alcance de la conexión inalámbrica, y el usuario tiene un papel activo en la verificación de la sincronización del dispositivo. El servicio de nube remota para el dispositivo dado también juega un papel.

Eso significa que un iPhone usa la nube de Apple, un dispositivo Android usa Google Cloud Platform (GCP) y Windows usa Microsoft Azure. Se están realizando esfuerzos para simplificar el intercambio de claves de acceso entre proveedores. Es un proceso bastante manual para compartir entre proveedores, por ejemplo, para pasar de un dispositivo Android a un ordenador portátil MacOS.

 

Beneficios y desventajas de esta llave maestra

Las claves de acceso son claves criptográficas, por lo que se ha ido la posibilidad de contraseñas débiles. No comparten información vulnerable, por lo que se eliminan muchos vectores de ataque de contraseñas. Las claves de acceso son resistentes al phishing y otros ataques de ingeniería social: la propia infraestructura de claves de acceso negocia el proceso de verificación y no se deja engañar por un buen sitio web falso; ya no es necesario escribir accidentalmente una contraseña de forma incorrecta.

Existen algunas preocupaciones de seguridad empresarial, en particular, garantizar que los empleados y otras personas sigan la política de seguridad de los dispositivos que se utilizan con claves de acceso. Más allá de eso, hay un trabajo en curso en torno a la recuperación de claves de acceso. Sería bueno poder recuperar todas sus claves de acceso del proveedor de la nube que las respalde de una sola vez en caso de pérdida, robo o destrucción de un dispositivo. El proceso requiere volver a solicitar una clave de acceso de cada servicio. En el lado positivo, un dispositivo robado no es una vulnerabilidad de seguridad ya que el dispositivo en sí debe desbloquearse para obtener acceso a la clave de paso.



TE PUEDE INTERESAR...

Revistas Digitales

DealerWorld Digital

IDG Research

Registro:

Eventos:

 

Partnerzones