La desaparición de las contraseñas se ha exagerado mucho
04 August, 2016
category: Biometría, Identificación digital
Dean Wiech, director general, Tools4ever
Las contraseñas no han muerto, por lo que hay que hacer más para asegurar un acceso adecuado
En los últimos meses se ha escrito mucho sobre contraseñas, y numerosos estudios han mostrado tendencias muy perturbadoras, especialmente en lo relacionado con contraseñas en el entorno corporativo.
Un estudio señalaba que el 12% de los empleados dejan que sus colegas de trabajo utilicen una contraseña para varias aplicaciones comerciales; un 20% admite que comparte las contraseñas de correo electrónico de la compañía; y un 10% permite que otros utilicen un dispositivo que puede acceder a la red de la empresa. Aunque estas estadísticas ciertamente son relevadoras, el resultado más inquietante de la encuesta es el que muestra que más de uno de cada cuatro empleados en EEUU le vendería su contraseña a una persona externa, y cerca de la mitad lo haría por menos de $1,000.
¿Qué puede hacer entonces una compañía? Pueden adoptarse políticas sobre las contraseñas y publicarlas, y requerir a los empleados que tomen conocimiento de estas políticas y las firmen, pero esto no garantiza el cumplimiento. Muchas empresas ya han implemenado complejas políticas sobre las contraseñas, además de exigir que sean cambiadas sobre una base regular. Aunque esto puede reducir el riesgo asociado con partes externas que traten de hackear en la red, no da resultado alguno si el empleado está compartiendo o vendiendo sus contraseñas.
La autenticación de dos factores ha sido la adición más común para tratar de asegurar el empleo de contraseñas.
El problema es que muchas de las soluciones de doble factor no impiden que se comparta. Es verdad que es difícil poder prestar una huella digital a alguien para que haga login es un equipo, pero los códigos entregados por vía SMS pueden fácilmente textearse a un colega o alguien fuera de la organización. Adicionalmente, reportes recientes indican que un dispositivo puede robarse o un envío de SMS puede suplantarse, lo cual niega la seguridad del código PIN SMS.
Casi todas las metodologías de doble factor, con excepción de la biometría, se basan en que el usuario mantenga seguro el segundo factor. Aunque las tecnologías biométricas están disponibles y son fáciles de implementar, no necesariamente son baratas. El costo por equipar cada computadora de una organización grande, e implementar el software para accionar los lectores, puede ser una tarea cara y consumidora de tiempo. Además, es un elemento extra de hardware para los que usan laptop que tienen que acarrear si su máquina no tiene un lector incorporado.
Por eso es que varias compañías están tratando de aprovechar las ventajas de la cámara incorporada en muchos dispositivos para el reconocimiento facial “vivo” – que requiere múltiples fotos con variadas expresiones faciales – para fortalecer el nombre de usuario y contraseña, o reemplazar ambos. Al igual que ocurre con la biometría, los gastos por añadir una cámara a cada escritorio pueden ser abrumadores.
Una de las tecnologías más interesantes es un algoritmo que evalúa la forma en que una persona teclea y mueve el mouse. Denominada comúnmente dinámica de tecleo, el programa crea un perfil de los patrones de entrada de los usuarios. Si se produce un cambio repentino respecto a la norma, el programa puede cerrar automáticamente la sesión y pedirle al usuario revalidar nuevamente con una contraseña y un PIN. Las ventajas de esta técnica es que es relativamente fácil de implementar, no requiere hardware adicional y puede proteger frente a amenazas internas, así como contra intentos de violación.
Se pueden aplicar también otras técnicas conductuales para asegurar las autorizaciones. Por ejemplo, si un empleado normalmente se conecta a la red desde la oficina entre 8 a.m. y 5 p.m., pero de repente aparece tratando de iniciar sesión desde Zambia a media noche, puede darse por seguro de que es un hacker. Limitar las direcciones IP, el tiempo de acceso y la geodefensa son acciones efectivas, las herramientas no invasivas para asegurar la red y el acceso a las aplicaciones sin molestar a la inmensa mayoría de los usuarios.
Aunque muchas organizaciones están anunciando “la muerte de la contraseña”, la probabilidad de ello en el corto plazo no es probable; al menos no hasta que esté disponible una solución fácil de usar, económica y fácil de implementar. También es necesario que la tecnología pueda ser utilizada por múltiples plataformas de hardware, sistemas operativos y navegadores. Las razones por las que las contraseñas son difíciles de eliminar como método de autenticación es que son virtualmente independientes de las tecnologías y pueden emplearse en cualquier dispositivo.
Hay una enorme cantidad de tecnologías disponibles para adicionar una capa de seguridad para el uso de contraseñas. Con más de 750 millones de cuentas comprometidas el año pasado, es imperativo que las organizaciones comiencen a tomar medidas para asegurar mejor sus redes y aplicaciones con algo adicional a la contraseña. Y ese “algo” tiene que tomar en cuenta el hecho de que todo el mal uso de la red, aplicaciones y datos de la compañía – sea o no intencional – se produce desde fuentes tanto internas como externas.