NIST estudia eventos de autenticación
01 April, 2014
La ‘fatiga de contraseñas’ es un problema creciente
El Instituto Nacional de Estándares y Tecnología encuestó 25 empleados para lograr mayor comprensión sobre los eventos de autenticación de usuario, tanto en el mundo real como el digital. El estudio se desarrolló en dos partes y primero los empleados registraron todos sus eventos de autenticación por un período de 24 horas. Los empleados también podían optar por incluir sus eventos personales de autenticación. En la segunda parte del estudio se realizaron entrevistas con los participantes acerca de la autenticación.
El estudio fue diseñado para dar respuesta a las siguientes preguntas:
-
¿En qué actividades diarias que realizan las personas es que se ajusta realizar autenticación?
-
¿Qué características de la autenticación pueden interferir con la actividad primaria que se supone que la autenticación? ¿Cuáles son los puntos de fricción?
-
¿Cómo las personas suman los costos acumulativos de autenticarse varias veces al día, y cómo los valoran cuando los comparan con la seguridad que consideran que realmente necesitan?
-
¿Cómo percibe la gente los costos por ejecutar tareas de seguridad — en particular tareas de autenticación — en comparación con los beneficios que reportan esas tareas?
Algunos participantes tienen problemas para entender lo que significa “autenticarse”. Un participante registró erróneamente el hecho de desbloquear su carro con su llavero remoto como si fuera un evento de autenticación. Por el contrario, algunos participantes no registraron el hecho de mostrarle a un guardia su credencial de identificación antes de entrar al campus de NIST, aunque la mayoría sí lo hizo.
Los participantes en el estudio registraron un promedio de 23 eventos de autenticación por persona durante el período de estudio. Como muchos participantes no registraron eventos de autenticación fuera del trabajo, muy posiblemente ese cifra es mayor. Las entrevistas revelaron que los participantes estaban frustrados por el número de autenticaciones que tienen que realizar diariamente, en especial aquellos que tienen que realizarla repetidamente, como por ejemplo desbloquear computadoras del trabajo que se autobloquean cada 15 minutos.
Los participantes concluyeron que hubo que dedicar mucho esfuerzo a gestionar contraseñas para múltiples recursos, especialmente porque esas contraseñas a menudo eran regidas por diferentes políticas.
Atenerse a las estrategias implicaba sincronizar contraseñas para múltiples recursos informáticos, emplear esquemas de creación de contraseñas, mantener las notas sobre las contraseñas en un lugar seguro, y emplear bóvedas o administradores de contraseñas. Algunos empleados reportaron que evitaron actividades “extra” — hacer trabajo adicional desde su casa — porque la autenticación era más molestia que beneficio potencial.
Los participantes de NIST no son los únicos afectados por la autenticación. La “fatiga de contraseñas” es un problema común y no es realista esperar simplemente que los usuarios se adapten a una excesiva carga de trabajo con la autenticación. La meta es lograr que la autenticación sea más utilizable, pero esto tomará tiempo. Se requiere investigación adicional sobre la forma en que la autenticación afecta a los usuarios y los hábitos que desarrollan para lidiar con esos efectos.
Hasta entonces, las organizaciones pueden dar pasos para reducir la carga de autenticación sobre sus empleados y otros usuarios de estos sistemas, mejorando tanto la seguridad como la productividad.
Durante el estudio, los usuarios expresaron algunas preferencias sobre la autenticación:
-
Los usuarios prefieren autenticación de inicio único de sesión (SSO)
-
Estandarizar las políticas de contraseñas en toda la organización, lo que hará que los elementos de autenticación sean más fáciles de manejar por los usuarios.
-
Promover mecanismos para lidiar con la autenticación, tales como el empleo de administrador de contraseñas o aplicaciones de bóveda en computadoras y dispositivos electrónicos móviles.
El reporte de 166 páginas de NIST puede descargarse aquí.