El equilibrio entre la usabilidad y una fuerte autenticación
02 March, 2015
category: Seguridad física, Seguridad lógica
John Zurawski, vicepresidente de Marketing, Authentify
Hay una dicotomía entre las prácticas de autenticación de un empleado con respecto a las del consumidor o usuario en un hogar. Sobre el empleado pesa la influencia de un cheque de pago y del departamento informático corporativo, y mientras le paguen es el departamento informático quien determina y dirige qué tipo de fortaleza tiene la autenticación que el empleado debe usar.
Aunque los militares estadounidenses no deben estar muy contentos teniendo que cargar con tokens de seguridad y tarjetas de acceso común Common Access, están obligados a hacerlo, y lo hacen. El Departamento de Defensa sabe que son un blanco de alto perfil. Las compañías de cualquier dimensión que sean, así como los consumidores, tienen que concientizar que también son blancos potenciales y que debe ampliarse la adopción de prácticas más sólidas para la autenticación de usuario.
Los ataques informáticos amplios y generales iniciados por un individuo, con frecuencia son altamente automatizados. Las computadoras no se cansan ni toman vacaciones. Una computadora puede ser configurada para husmear por las redes y estar funcionando potencialmente 24×7, y no discrimina en cuanto a las dimensiones de la compañía en la que encuentra un punto débil. El descubrimiento y consecuencias de la vulnerabilidad Heartbleed SSL da evidencia sobre este aspecto. Una vez que fue configurado un parche y se hizo pública la vulnerabilidad, los hackers apuntaron hacia esa vulnerabilidad. Las compañías que no actuaron con suficiente agilidad en aplicar el parche, resultaron víctimas. La búsqueda y explotación fue iniciada por humanos, pero la ejecución fue hecha por computadora.
Cuando todas las compañías acepten que son blancos, y también potenciales puentes de acceso hacia otros blancos, entenderán la autenticación más fuerte de usuario como una necesidad en el comercio totalmente conectado.
Para algunos negocios de tamaño pequeño a mediano, el costo puede ser un obstáculo para usar prácticas de fuerte autenticación, o también la falta de experiencia. Las compañías deben reconocer que la usabilidad y efectividad de los servicios de autenticación en nube o la seguridad como servicio, son asequibles, especialmente cuando se miden con respecto a las alternativas de ser afectadas por una costosa violación. La seguridad como servicio es gestionada y protegida por profesionales de la seguridad, que de otro modo una empresa pequeña no estaría en condiciones de asumir. Son más resistentes a los hackers que el promedio.
Las deficientes prácticas con las contraseñas y de los empleados en el acceso a Internet son, entre otros, los problemas de seguridad que más influyen en que las técnicas de autenticación fuerte sean muy atractivas. Algunas firmas han descubierto que inhabilitar el privilegio de administrador en una forma efectiva de lograr que no se introduzca malware en los dispositivos de la compañía.
Esta restricción puede evitar que un .exe se instale o que se haga un cambio de registro en la computadora de un usuario final. Aunque esta es una protección fuerte, también es una práctica muy impopular entre los principales usuarios finales. La alternativa de utilizar una autenticación más fuerte a cambio de algún nivel de privilegio de usabilidad, puede ser una motivación para que el empleado acepte una autenticación más fuerte.
La asimilación por los consumidores de una autenticación mejor o más fuerte ya es otra historia. El riesgo de daño financiero a veces está limitado por estatuto. Sin un incentivo financiero, es difícil forzar al consumidor a adoptar autenticación fuerte a menos que esa sea la ÚNICA forma de que logre acceso a lo que quiere.
Otra consideración en el mundo del comercio electrónico de frente al consumidor y con la ejecución de transacciones, es que la principal prioridad sigue siendo la experiencia del usuario. Las prácticas de seguridad que contribuyen a hacer más lenta o molesta la experiencia del usuario deben evitarse, y en su lugar favorecer la analítica conductual y la elaboración de perfiles de riesgo.
La mayor disponibilidad de dispositivos con sensores biométricos compatibles, o el mayor uso de autenticadores basados en aplicaciones que utilizan biometría, también pueden estimular el incremento en su utilización. Lamentablemente, todavía existen conceptos equivocados respecto a la biometría o al peligro de una violación de los sistemas biométricos, los cuales niegan el valor que tiene la biometría.
Una forma de lograr una mayor adopción de la autenticación más fuerte sería dar pasos adicionales para la autenticación a través de la sesión de usuario. Tener que vencer múltiples obstáculos solo para lograr el acceso a una cuenta en línea, es algo incómodo. Un nombre de usuario y una contraseña en un dispositivo con un certificado digital adecuado, sería excelente para el login. Una vez que el usuario ha invertido tiempo en una sesión en línea, uno o varios pasos adicionales de autenticación serían más aceptables. Por ejemplo, si está trabajando en una laptop o una PC, puede escanear con un dispositivo móvil secundario un código QR que aparece en pantalla. Si está trabajando con un dispositivo móvil, se puede añadir al flujo de operación una frase de confirmación en forma verbal, o hacer un gesto deslizando el dedo. Esto no tendría un impacto adverso en la experiencia del usuario.
Otra forma potencial para acelerar la adopción entre los consumidores es creando programas de lealtad en línea, en los cuales los consumidores sean recompensados por realizar una autenticación más fuerte. Digamos que al usar autenticación multifactor y crear un perfil de confianza, obtendría un 10% de descuento u otros puntos de bonificación. Durante varios años eBay ha ofrecido un ranking de estrellas a los compradores y vendedores a cambio de la autenticación fuera de banda de un teléfono asociado con la cuenta.
En el mejor de los casos, en cualquier segmento, negocio o consumidor, la autenticación avanzada se utilizaría con más frecuencia si fuera automática, rápida y sin complicaciones, para cumplimentar la tarea. Últimamente, con los avances de Internet de los Objetos, puede resultar más evidente para los consumidores la necesidad de una mejor autenticación con el fin de conectarse a útiles del hogar, abrir puertas, y controlar sistemas de calefacción y climatización. Una cosa es descubrir a un intruso que ha violado la cuenta de email, y otra completamente distinta es encontrar al intruso dentro de la casa.
Sobre el Panel de Expertos de AVISIAN Publishing
Al cierre de cada año, el equipo editorial de AVISIAN Publishing selecciona un grupo de líderes importantes de varios sectores del mercado para actuar como panelistas expertos. Se les pide compartir su visión única de diversos aspectos del mercado de tarjetas. Durante los meses de diciembre, enero y febrero las predicciones de esos panelistas se publican en SecureIDNews.