¿Cuándo podemos deshacernos de las contraseñas para siempre?

O tal vez debería haber pedido, “¿Podemos alguna vez deshacernos de contraseñas para el bien?”

El mundo de la seguridad sabe que las contraseñas son un problema. Los productos se envían con contraseñas predeterminadas que nunca se cambian. Las personas reutilizan contraseñas antiguas o adoptan contraseñas fáciles de adivinar que los hackers pueden derrotar fácilmente mediante la fuerza bruta. O los usuarios simplemente no pueden seguir teniendo que recordar 27 contraseñas diferentes para varias cuentas en línea.

Muchas veces antes, hemos discutido formas de hacer que las contraseñas sean más seguras. Use frases más largas y complejas que no incluyan información de identificación personal. Considere un servicio de administración de contraseña o inicio de sesión único. Utilice la autenticación de dos o múltiples factores (MFA) porque las credenciales de inicio de sesión simples no son lo suficientemente seguras.

Sin embargo, estos enfoques no hacen nada para eliminar nuestra dependencia de las contraseñas como línea de defensa entre la información pública y privada. Y, en última instancia, las contraseñas siempre serán susceptibles a errores humanos.

Para combatir el problema de la contraseña, los desarrolladores de dispositivos móviles y aplicaciones han comenzado a adoptar medidas biométricas para reemplazar las contraseñas numéricas, incluido el uso de huellas digitales, gráficos y reconocimiento facial. Estoy bastante seguro de que muchas empresas están trabajando en una solución para solucionar este problema, o tal vez incluso sienten que ya lo han encontrado. Pero hasta ahora ninguno de ellos ha resultado ser ni remotamente tan popular como la contraseña.

Antes de considerar un futuro sin contraseña, echemos un vistazo a algunas de las medidas de seguridad y alternativas existentes para las contraseñas. Porque una cosa es segura: nadie está contento de tener que recordar diferentes contraseñas para cada sitio, aplicación y dispositivo.

Pero si los usuarios continúan escribiendo sus contraseñas en cuadernos o notas post-it, reutilizando contraseñas en plataformas, o pegándose en combos fáciles de recordar como 1-2-3-4-5 , entonces los ciberdelincuentes seguirán teniendo un campo día con sus datos.

Administradores de contraseñas

Los administradores de contraseñas son un salvavidas para aquellos de nosotros que nos preocupamos lo suficiente como para usar una contraseña diferente para cada sitio. ¿Pero son realmente una alternativa a las contraseñas? Todavía necesitas las contraseñas originales, ¿verdad? En realidad, necesita una contraseña adicional porque los administradores de contraseñas requieren que desarrolle una contraseña maestra para gobernarlas a todas. Sin embargo, el beneficio es que, después de ingresar todas las credenciales de su cuenta al administrador de contraseñas una vez, solo necesita recordar la contraseña maestra en el futuro.

Podría argumentar que si pierde el acceso a su administrador de contraseñas o si se ve comprometido de alguna manera, esto solo empeora las cosas mucho, mucho más. De hecho, hay algún riesgo. Sin embargo, los administradores de contraseñas a menudo cifran o codifican las contraseñas originales para las cuentas, y las que usan autenticación 2FA o de múltiples factores tienen medidas de seguridad adicionales para evitar una violación.

Los administradores de contraseñas no son perfectos, pero generalmente son mucho más seguros que la alternativa estándar actual. Continuamos recomendando a los consumidores que usen administradores de contraseñas con MFA como la mejor práctica de ciberseguridad.

Inicio de sesión único (SSO)

El software SSO es popular en los lugares de trabajo para administrar la variedad de aplicaciones de terceros adoptadas por las organizaciones, así como para proteger mejor el acceso de los trabajadores remotos a los recursos de la empresa. Al iniciar sesión en un sitio central cuando comienza su jornada laboral, se le otorga acceso a un panel de aplicaciones y servidores de la compañía aprobados para su punto final, generalmente por el resto del día. La ventaja para la organización es que el acceso otorgado se puede ajustar en función de las necesidades y la autorización del usuario individual.

El uso del software SSO hace que sea muy importante bloquear su computadora cuando abandona su escritorio, o nunca dejar su computadora portátil desatendida en una cafetería. Esto se debe a que las credenciales de inicio de sesión que administra se otorgan a la máquina, como si usted fuera el único usuario. Entonces, John the Prankster podría echar un vistazo a tu último recibo de pago si dejas tu estación de trabajo desbloqueada. O, lo que es peor, si le roban su computadora y todavía está conectado, el criminal puede ver todos los datos del lugar de trabajo a los que tiene acceso.

Recuperación de contraseña

Desafortunadamente, muchos usuarios han recurrido a la recuperación de contraseña como un modo de acceder a sus cuentas. Si no pueden escribir la contraseña, pero deben recordar contraseñas complejas y diferentes para cada cuenta (y aún no han adoptado la administración de contraseñas, ya sea porque desconocen el servicio, no están dispuestos a pagarlo o desconfían de su privacidad y beneficios de seguridad), entonces, ¿qué otra opción tienen sino reiniciar constantemente?

Algunas personas abusan de la función de recuperación de contraseña para cada sitio web en el que necesitan iniciar sesión. Probablemente conoces el ejercicio:

Haga clic en «Olvidé mi contraseña».
Reciba un correo electrónico con una URL en la que debe hacer clic antes de que pierda validez, o peor aún, le envían una nueva contraseña temporal en texto sin formato.
Inicie sesión y cambie la nueva contraseña, y estará feliz.
Repita cuando quiera visitar de nuevo.

Recientemente me di cuenta de una posible desventaja de este método cuando perdí el acceso a una de mis cuentas de correo electrónico. ¡Ay! ¿Qué sucede cuando no tiene una contraseña y no puede recuperar su reemplazo porque está bloqueado de su cuenta de correo electrónico, lo apaga o tampoco puede recordar la contraseña de su dirección de correo electrónico?

Por suerte, no tuve que averiguarlo. Pude iniciar sesión y cambiar mi cuenta de correo electrónico cuando fue necesario. Pero para aquellos que dependen de la recuperación de la contraseña, eso implica mucho recordar las contraseñas de las cuentas de correo electrónico y confiar en que las credenciales del correo electrónico nunca serán comprometidas o robadas. Porque, ¿qué sucede cuando se piratea tu correo electrónico? Ahora todos sus enlaces de restablecimiento de contraseña se envían directamente a un cibercriminal. Hable sobre el despido.

Biometría

La biometría se refiere al uso de características físicas para identificar a los usuarios y permitirles acceder y controlar sus computadoras. En lugar de letras, números y símbolos escritos en un teclado, los dispositivos que usan autenticación biométrica miden y calculan los atributos físicos del cuerpo, desde la presión hasta las pequeñas huellas hechas por las huellas digitales, hasta el reconocimiento facial y la cadencia vocal.

Si bien la biometría definitivamente está ganando terreno, especialmente como uno de los factores de autenticación en MFA, hay un problema importante que acecha en el horizonte. ¿Qué pasa si alguien logra «robar» su autenticación biométrica levantando una huella digital? ¿O si «pierde» el acceso a él por algún tipo de accidente o cirugía reconstructiva? ¿Qué se supone que debes hacer? ¿Crecer un par de ojos nuevos? Incluso su número de dedos podría cambiar en algún momento.

La biometría conductual es algo de lo que cada vez más instituciones financieras comienzan a darse cuenta. Esta es una forma dinámica de autenticación que analiza los patrones de comportamiento de una persona, la forma en que interactúan con los sistemas y las tecnologías, para identificar a los usuarios.

Si bien su precisión es alta, la biometría del comportamiento aún no coincide al 100 por ciento, por lo que por ahora la tecnología se está utilizando para monitorear sesiones en lugar de durante la autenticación de inicio de sesión. Esto significa que un banco u otra organización puede usar la biometría del comportamiento para verificar si todavía está usando el sitio, o si alguien más se hizo cargo de la sesión y cerró la sesión en consecuencia.

Llaves físicas

Este es un tipo de autenticación que a menudo es parte de una autenticación de dos factores (2FA). Primero inicia sesión y luego demuestra que dice quién es presionando un botón en la tecla física. Este puede ser un dispositivo conectado a su computadora como una memoria USB o por Bluetooth o cualquier otro contacto de corto alcance. En febrero de 2019, Google anunció que los dispositivos Android con 7.0 y superior podrían usarse para registrar a las personas en sitios web y aplicaciones. Con FIDO2 , un estándar abierto desarrollado por FIDO Alliance, los usuarios de Android pueden iniciar sesión automáticamente en sus sitios mediante el inicio de sesión biométrico o de contraseña para su dispositivo en lugar de contraseñas individuales.

La desventaja de usar una clave de seguridad física es que requiere hardware adicional que puede perderse o romperse o, en el caso de los dispositivos Android, bastante costoso. Sin embargo, sería una buena alternativa si pudiera usarse en todas partes, lo que por el momento ni siquiera está cerca de la verdad.

Los dispositivos iOS actualmente no usan el estándar FIDO2, y alrededor del 42 por ciento de los usuarios de Android todavía están ejecutando el software de la versión 6.0 y anteriores. Además, aunque muchos navegadores adoptan el estándar FIDO, los desarrolladores de software y aplicaciones aún deben incorporar su API para poder utilizar la función para iniciar sesión en sus programas.

Aplicaciones de autenticación

Las aplicaciones de autenticación le permiten usar su teléfono para iniciar sesión en sitios específicos, generalmente escaneando un código QR en el sitio web y luego autenticándose a través de su teléfono utilizando datos biométricos o un código de acceso. Su teléfono enviará una confirmación al sitio web y, en consecuencia, se le permitirá continuar.

Estas aplicaciones de autenticación a menudo son utilizadas por bancos y otras organizaciones públicas. Sin embargo, los códigos QR , o códigos de barras bidimensionales, tienen defectos conocidos que han sido explotados por ciberdelincuentes y utilizados con frecuencia en estafas.

Autenticación de puntaje de confianza

Esto está estrechamente relacionado con la biometría del comportamiento. Google , y tal vez otros, están trabajando en esto. Una puntuación de confianza se calcula en función de varios factores, como la ubicación, el reconocimiento facial y el patrón de escritura. Si la puntuación es lo suficientemente alta, se le otorgará acceso.

Suena genial, pero ¿te imaginas lo frustrante que puede ser cuando se te niega el acceso y no tienes idea de por qué? Y si dicho software de autenticación le dijera qué está haciendo diferente de lo habitual, esto abre la posibilidad de que un atacante se haga pasar por usted mediante prueba y error.

Certificados

Un certificado de autenticación de cliente es un certificado de seguridad utilizado para autenticar clientes durante un protocolo de enlace SSL. Autentica a los usuarios que acceden a un servidor intercambiando el certificado de autenticación del cliente. En pocas palabras, esto significa que tiene un certificado válido en su sistema que no ha expirado y fue emitido por una autoridad de certificación de confianza.

Parte de la información cifrada se envía de un lado a otro para garantizar que tenga la clave pública y privada que acompaña a ese certificado. Cuando ese intercambio tiene éxito, el servidor puede proporcionarle acceso a los recursos a los que tiene derecho. Sin embargo, los ciberdelincuentes han descubierto formas de abusar del sistema de certificados a través de malware, por lo que este método no es 100% infalible.

SQRL

Algo similar a los certificados de autenticación es el método de autenticación de GRC, que se denominó SQRL. Para obtener una descripción completa de cómo funciona SQRL, recomendamos leer Bienvenido a SQRL (PDF) . Es un concepto interesante que combina los puntos fuertes de algunos de los otros métodos, como el cifrado , en un método de autenticación de un solo factor.

Comprobación de credenciales robadas

Nos gustaría señalar algunos servicios que puede utilizar para verificar si sus credenciales de contraseña han sido robadas o comprometidas. La mayoría de nuestros lectores estarán familiarizados con ¿He sido pwned , donde se puede comprobar en base a la dirección de correo electrónico.

En el sitio de VeriCloud, puede buscar según la dirección de correo electrónico y el dominio (para organizaciones), y puede hacer que VeriCloud le envíe por correo electrónico las contraseñas filtradas. No se sienta culpable cuando su (s) dirección (es) de correo electrónico aparezcan en estos sitios. Le pasa a los mejores de nosotros! Pero compruebe dónde se encontraron y asegúrese de cambiar la contraseña que usó allí y no la reutilizó en otro lugar.

Datos matemáticos sobre contraseñas

En caso de que necesite crear nuevas contraseñas, esto es algo a tener en cuenta. ¿Sabías cuánta diferencia hacen esos pocos personajes extra?

Básicamente, la fuerza de la contraseña está determinada por dos factores diferentes y el número de posibilidades se puede calcular con la fórmula a a la potencia de b , donde a = el número de caracteres permitidos yb es la longitud de la contraseña.

Por ejemplo, una contraseña básica que puede contener seis letras minúsculas tendrá varias posibilidades 26 ^ 6, lo que equivale a 308,915,776. Puede parecer mucho, pero en un ataque de fuerza bruta, dicha contraseña durará menos de un segundo.

Agregar dos letras nos da aproximadamente 209 mil millones de opciones y dicha contraseña duraría contra un ataque de fuerza bruta durante unas horas. Si también puede usar letras mayúsculas, números y caracteres especiales, la base de la ecuación es 77, y podemos llegar a 208 mil millones con solo seis caracteres.

Aún así, estamos buscando una contraseña que tomaría solo unas horas para descifrar un ataque. Para construir una contraseña que dure toda la vida en el estado actual de las velocidades de cómputo requeriría una contraseña de 12 letras (95,428,956,661,682,176 opciones) o nueve caracteres si podemos usar el conjunto completo (95,151,694,449,171,437 opciones).

Tenga en cuenta que las velocidades de la computadora continúan aumentando y que aún existe la posibilidad de que su contraseña se filtre, por lo que no hay garantía de que dicha contraseña dure. Pero en este momento, la contraseña larga y de múltiples caracteres sigue siendo el rey. Mientras que otros métodos como la biometría, las claves físicas y la autenticación web están en proceso, ya se han identificado fallas de seguridad.

En cuanto al futuro, las ideas sobre microchips implantados, contraseñas cerebrales e identificación basada en ADN ya han circulado, pero las preocupaciones éticas cobran gran importancia. ¿Alguna vez habrá un sistema verdaderamente 100 por ciento seguro para reemplazar las contraseñas?

Nuestra suposición es no. De hecho, no existe una protección del 100 por ciento. Pero con la adopción generalizada de mejores prácticas y una tecnología más fácil e innovadora, el problema de la contraseña debería, como mínimo, porque es mucho menos molesto para los consumidores, lo que lo hará mucho más seguro para el mundo.

¿Cuándo podemos deshacernos de las contraseñas para siempre?