16 June, 2014
category: Banca, Identificación laboral, Seguridad en Internet
Las compañías apuntan hacia este autenticador impopular y difícil de eliminar
El público estadounidense puede no estar de acuerdo en muchas cosas en el 2014 pero hay algo en lo que sí concuerdan: en su rechazo a las contraseñas. O son demasiadas, o demasiado difíciles de recordar, o son fácilmente robadas. En general, son fastidiosas.
Existe un gran debate en cuanto a la eliminación de las contraseñas. Una cosa está clara: no es muy probable que desaparezcan del todo. Las contraseñas son las cucarachas del mundo de la identidad y la autenticación: molestas y omnipresentes.
Las contraseñas seguirán siendo un factor en la autenticación, pero seguramente se reducirá la dependencia respecto a esta modalidad a medida que pase el tiempo y surjan otros métodos que brinden más seguridad a los dispositivos y sistemas. Así, en lugar de una contraseña de 10 caracteres -con letras mayúsculas y minúsculas, dígitos y símbolos especiales- se podría convertir en norma una contraseña más sencilla pero combinada con otros tipos de autenticación.
Pero hay trabajo por hacer antes que las compañías realicen ese movimiento. Hace falta crear sistemas, aceptar estándares y educar a los consumidores para que puedan tener éxito mejores sistemas de identidad y autenticación.
El problema con las contraseñas
Hace veinte años las contraseñas eran una buena herramienta de autenticación, señala Kenneth Weiss, desarrollador de la tecnología de autenticación basada en token que pasó a ser SecurID de RSA, y que ahora es fundador y director general de Universal Secure Registry. “Solamente se utilizaban para conectarse a uno o dos sistemas”, añade.
Weiss incluso admite tener un documento protegido con contraseña donde tiene el registro de sus diversos nombres de usuario y contraseñas, una lista con más de 30. “Nadie es capaz de memorizar todas esas contraseñas, es absurdo”, apunta Weiss.
Al igual que pasa con las cucarachas, aunque no lo parezca, sirven para algún fin. Las contraseñas, pese a ser engorrosas, cumplen una función. “Cuando se trata de organizaciones que no tienen buenas infraestructuras de gestión de identidad y acceso, los nombres de usuario y las contraseñas pueden resultar funcionales porque lo que protegen posiblemente no es algo de tanto valor”, dice John Zurawski, vicepresidente de marketing en Authentify.
Los nombres de usuario y las contraseñas son además omnipresentes. “Con cualquier dispositivo que uno entra a una página web, para ganar acceso se usa un nombre de usuario y una contraseña”, añade Zurawski.
“Las contraseñas seguirán siendo fundamentales en los sistemas basados en navegador porque tienen sentido, son fáciles y rápidas”, afirma Dimitri Sirota, vicepresidente senior para estrategia de unidades de negocios en CA Technologies.
El problema con las contraseñas es que las compañías no las protegen adecuadamente, señala Jamie Cowper, director senior de desarrollo de negocios y marketing global de Nok Nok Labs. Eso no es simplemente un problema de las contraseñas. Cuando se dejan sin protección las semillas de encriptación en las bases de datos, esto puede provocar la corrupción de los sistemas de autenticación de doble factor, como ocurrió en el caso de hackeo en RSA en 2011. “El problema principal está en las bases de datos de esas contraseñas -una concentración de numerosos recursos en un punto de riesgo- y la incapacidad para protegerlas adecuadamente”, añade.
Basta con violar una sola base de datos, porque los consumidores tienden a reciclar los mismos nombres de usuario y contraseñas para múltiples cuentas. “Todos juegan con el sistema y todos pierden cuando se trata de gestión de identidad y acceso”, afirma Eve Maler, analista principal en Security & Risk Professionals de Forrester Consulting.
La amplia mayoría de los consumidores tienen múltiples cuentas en múltiples sitios web, y es una lucha poder mantener control de todas esas credenciales, según se refleja en un informe de Forrester Consulting titulado “Para incrementar la seguridad y la confianza del usuario, adopte un modelo federado de identidad de consumidor”. Cuando se escogen contraseñas en el momento de configurar la cuenta, por lo menos un 54% de los encuestados respondieron a Forrester que ellos seleccionan algo que puedan recordar, además de cumplir con los requisitos de la política de contraseñas del sitio.
“Por supuesto, el objetivo principal de las políticas sobre contraseñas es forzar al usuario a escoger contraseñas que no se puedan adivinar fácilmente o deducirse de las versiones robadas por los atacantes”, señala el informe.
El efecto secundario que ello provoca es que las contraseñas no pueden recordarse y por ello un 61% de los consumidores las reutilizan. Es como un inicio de sesión único creado por el propio usuario, que le hace más fácil recordar su inicio de sesión empleando el mismo en muchos sitios a los que accede con frecuencia. Pero lo que hace es que todos los sitios son vulnerables porque un hacker puede comprometer toda la serie de cuentas.
También hay problemas con las contraseñas olvidadas. Las preguntas de seguridad no proporcionan una adecuada protección y muy a menudo los consumidores no recuerdan las respuestas.
La identidad federada es una posible solución, pero suelen ocurrir problemas con la privacidad y seguridad, ya que aunque se basan en nombres de usuario y contraseñas, en muchas ocasiones le piden al consumidor información sensible, direcciones de email, listados de amigos y otros datos personales. “La identidad federada es efectiva cuando se refuerza la privacidad y seguridad”, añade. “La federación y una fuerte autenticación acoplan bien y los usuarios indican que están listos para adoptarlas”.
En la situación actual las compañías no están dispuestas a aceptar credenciales de sitios sociales para el acceso, dice Maler. “Las instituciones financieras no confían en nadie más”, señala.
Aún así, hay muchas empresas que están sentando las bases para esos modelos federados, mediante la implementación de sistemas de inicio único de sesión que permiten el acceso a los dispositivos, así como a redes tradicionales y redes basadas en nube, dice Garret Grajek, director de tecnología en SecureAuth.
Pero esos sistemas de identidad convenientes, más seguros y que refuerzan la privacidad no existen para las masas.
Una mirada al futuro
Se discute sobre compañías que se convierten en proveedores de identidad, a las que los consumidores pagan una tarifa, se verifica su identidad y reciben una credencial de alta seguridad, en cuyo caso sería aceptada por los bancos, minoristas y sitios de gobierno. Esta es una visión del ecosistema de identidad en un futuro.
Hay muchos obstáculos para ese modelo y el mayor es sobre quién asume la responsabilidad si una credencial es utilizada de forma fraudulenta o si se le entrega a la persona incorrecta. Maler sugiere tomar como modelo el mercado de tarjeta de pago. “Las compañías externalizan la responsabilidad por los datos de pago, de modo que también es viable para los datos de identidad”, explica.
Otro tipo de modelo de autenticación
Los consumidores y empleados están acostumbrados a realizar ciertas acciones para ganar acceso a dispositivos móviles, computadoras, redes o recursos en nube. A veces puede ser algo tan simple como un nombre de usuario y una contraseña, pero en otras ocasiones puede implicar una contraseña de un solo uso desde un token o una aplicación de teléfono inteligente. En otros casos incluso podría ser una tarjeta inteligente o biometría.
El crecimiento de los móviles apunta en una nueva dirección, ya que los enfoques anteriores han demostrado ser menos apropiados para teléfonos y tabletas. Se exploran tecnologías de autenticación adaptables y basadas en los riesgos. “La autenticación no debe estar atada a una sola modalidad”, opina Grajek. “Debe ser extraída y entonces uno determinar lo que quiere hacer”.
Ese modelo adaptable de autenticación es lo que está proporcionando SecureAuth, ofreciendo 21 diferentes métodos de autenticación. Los consumidores o empleados se incorporan a un sistema y escogen el tipo de autenticación que desean. Cuando vuelven a conectarse al sistema y en dependencia de la transacción, la parte confiante pide algún tipo de autenticación basada en el riesgo. “Si usted determina que alguien que usted conoce en EEUU está tratando de acceder a información desde un dispositivo en China, entonces usted va a requerir niveles más altos de autenticación”, explica Grajek.
Sirota, de CA, considera que la analítica basada en riesgos y el empleo de “grandes datos” se incrementarán para los eventos de autenticación. “En segundo plano siempre estará activo un control sobre quién accede a cuál información. Mediante la analítica se determina qué requerimiento presentar al usuario y si es necesario un segundo requerimiento”, explica. Esos sistemas basados en analítica pudieran ser la solución, ya que “no colocan el valor en la contraseña como tal, sino que la validación es en base al comportamiento del usuario”, señala Cowper.
Los dispositivos móviles añaden otra capa de complejidad
Los dispositivos móviles añaden otra capa de complejidad. Los empleados utilizan cada vez más estos dispositivos, que para autenticarse han de ser registrados previamente con el fin de que sean reconocidos. Cargar certificados digitales a cada dispositivo es una solución, pero tienen que ser gestionados en forma apropiada, dice Zurawski de Authentify. “El uso de certificados digitales está aumentando, pero la emisión, gestión y protección son claves para una implementación exitosa”, explica.
El uso creciente de los teléfonos inteligentes y las tabletas es otra razón por la cual las contraseñas tienen que eliminarse o ser simplificadas, señala Pirota. “Es más difícil ingresar contraseñas en los dispositivos móviles”, afirma.
Nok Nok Labs está trabajando sobre el tema, posiblemente en una combinación de contraseña con otras técnicas de autenticación fuerte y en lugar de almacenar la información en una base de datos, todo se guardaría en un elemento seguro en el propio dispositivo, explica Cowper. Las solicitudes de autenticación pueden entonces transmitirse al servicio específico mediante un certificado digital codificado y se elimina el problema de contraseñas numerosas y complicadas.
¿Qué pasa a continuación?
Cualquier innovación en autenticación móvil posiblemente se extenderá a toda la compañía y tendrá un impacto en todos los casos de uso. Por tanto, el escenario móvil es un área clave a observar.
Adicionalmente, los esquemas de autenticación adaptable y basados en riesgo comienzan a establecerse en las empresas corporativas, afirma Grajek. Una vez que estén funcionando, las compañías compartirán los estándares y protocolos con los mercados de consumo.
Eventualmente existirá algún tipo de autenticación multifactor como elemento adicional para la conexión de los consumidores en los sitios, y para los empleados que utilizan recursos corporativos. La clave está en hacerlo de modo que sea de fácil uso. “Todos necesitamos autenticación de dos factores, pero si resulta muy oneroso le buscamos otra vuelta”, plantea Grajek.
Tal como hicimos con las contraseñas.
Un fallo de IAM: las empresas pequeñas y medianas
La gestión de identidad y acceso (IAM) se ha enfocado hacia los sistemas y compañías grandes, dejando fuera a las empresas pequeñas y medianas, plantea Francois Lasnier, vicepresidente senior de identidad y acceso de Gemalto. Esto significa que las compañías más pequeñas no han estado en capacidad de implementar sus propios sistemas.
A medida que se han incrementado los beneficios que esos sistemas proveen, los negocios pequeños y medianos se ven en la necesidad de implementar un sistema de gestión de identidad y acceso, y para ello se están orientando hacia la nube, explica Lasnier.
Los sistemas de identidad y acceso basados en nube son más escalables que sus contrapartes basadas en servidor, y permiten que las empresas integren fácilmente aplicaciones del lado del servidor, así como los cada vez más populares servicios basados en la nube.
Más empresas están pasando a utilizar aplicaciones en nube que les permiten el acceso desde cualquier lugar en que se pueda establecer una conexión a Internet. Asegurar que los empleados puedan acceder de forma fácil y segura a todas las aplicaciones necesarias puede ser un reto, pero es algo que un sistema de identidad basado en nube puede proveer, explica Lasnier.
Los administradores de sistemas informáticos pueden referir un sistema de identidad y acceso basado en nube a un directorio de identidad y comenzar entonces a proporcionar acceso y derechos. Estos sistemas proveen federación e inicio único de sesión para los usuarios, así como la capacidad para autenticación multifactor, dice Lasnier.
Puede obtener más información en inglés en el artículo original.