La buena noticia que Facebook y Twitter han integrado claves de seguridad físicas en Android e iOS nos ayuda a acercarnos a una era de autenticación generalizada más sólida. Cuantas más personas comiencen a beneficiarse de la protección de seguridad cibernética mejorada en algunas de sus cuentas más utilizadas, más se preguntarán por qué otros servicios que utilizan todavía dependen únicamente de las contraseñas. Este movimiento de los gigantes de las redes sociales es parte del creciente impulso hacia prácticas de autenticación sólidas, con estándares de seguridad abiertos a la cabeza.
El problema con las contraseñas
Las contraseñas siguen siendo la forma más común de autenticación de usuarios, ya que “protegen” cuentas, dispositivos y sistemas, pero por sí solas no brindan una seguridad sólida. No solo eso, no ofrecen la mejor experiencia de usuario.
Muchas contraseñas ni siquiera cumplen los criterios mínimos de ser únicas y complejas. Las personas reutilizan las contraseñas en todas las cuentas porque simplemente no pueden realizar un seguimiento de todos los inicios de sesión que tienen. Eligen contraseñas que son fáciles de recordar para aliviar la carga, pero que también las hace fáciles de adivinar. De hecho, nuestra investigación muestra que las personas reutilizan sus contraseñas en un promedio de diez cuentas personales, mientras que ‘123456’ sigue encabezando la lista de las contraseñas más comunes en 2020.
Incluso cuando han elegido bien, su contraseña única y compleja aún puede ser víctima de un ataque de phishing moderno. Después de todo, incluso una contraseña ejemplar no puede proteger una cuenta si el titular ha sido engañado para que proporcione la información.
Desde la perspectiva de la experiencia del usuario, tiene el estrés y la tensión de elegir una contraseña única y compleja cada vez que también cumple con los criterios exigidos por la plataforma o el proveedor de servicios. Entonces, tiene el inconveniente y la demora de tener que restablecer la contraseña (y elegir de nuevo) cuando se olvida.
Ese ‘inconveniente’ viene, por supuesto, con una etiqueta de precio para las empresas. Deben implementar procesos de restablecimiento de contraseña, capacitar al personal del servicio de asistencia e incurrir en el alto costo de atender las llamadas cuando los clientes tienen problemas.
¿Qué sigue para los inicios de sesión?
Las estrategias modernas de seguridad cibernética deben garantizar que una contraseña no sea la última línea de defensa contra el phishing u otros intentos maliciosos de comprometer la información privada.
Aquí es donde entra en juego la autenticación multifactor ( MFA ). Requiere algo más que una combinación de nombre de usuario / contraseña para otorgar acceso a una cuenta, dispositivo o sistema protegido. MFA combina las credenciales de inicio de sesión estándar con algo que el usuario tiene (como un teléfono móvil o una clave de seguridad), algo que son, en forma de un atributo único (como una huella digital), o algo que saben (como un PIN o un código memorable). palabra).
Las palabras memorables y las contraseñas de un solo uso (OTP), a menudo enviadas por mensaje de texto a un teléfono móvil registrado, son formas comunes de satisfacer la necesidad de seguridad adicional en los procesos de autenticación. Están un paso por delante de una contraseña, pero no son completamente resistentes a las amenazas de seguridad. Los códigos de un solo uso basados en dispositivos móviles pueden ser vulnerables al intercambio de SIM y a los ataques modernos de phishing y man-in-the-middle ( MitM ). Esto último ocurre cuando un usuario cree que se está comunicando con una organización legítima mientras su información está siendo interceptada y transmitida por un tercero malintencionado. Las rutas para el ciberdelincuente pueden incluir Wi-Fi desprotegido y URL manipuladas.
Desde el punto de vista de la usabilidad, las palabras memorables tienen inconvenientes similares a los que se ven con las contraseñas. Mientras tanto, las OTP crean fricciones en el proceso y pueden detenerlo por completo si la batería del teléfono móvil del cliente necesita cargarse, están en una ubicación restringida para dispositivos móviles o simplemente no tienen señal.
Elevando los estándares
Las grandes empresas de tecnología como Facebook y Twitter están reconociendo que la integración de claves de seguridad físicas mejora sus estrategias cibernéticas. Google, por ejemplo, ya utiliza claves de seguridad para proteger a más de 85.000 de su personal, lo que ha dado lugar a cero adquisiciones de cuentas confirmadas. Una clave de seguridad es algo que tiene un usuario, por lo que incluso si se ha comprometido una contraseña, sin la clave, el atacante cibernético no podrá obtener acceso a una cuenta objetivo.
Las claves de seguridad físicas reducen la fricción y la complejidad en el proceso de inicio de sesión. Al cumplir con los estándares de autenticación globales de WebAuthn y FIDO2 , pueden promover la causa de MFA a través de una integración accesible. Este ecosistema de estándares abiertos ayuda a lograr los objetivos duales de seguridad y usabilidad para la autenticación con una sólida protección en todos los dispositivos, aplicaciones y servicios, sin la necesidad de software propietario.
A través de los estándares globales y la integración de una autenticación sólida en los navegadores y las plataformas en línea populares, existe un impulso positivo que se aleja de la verificación del usuario solo con contraseña. Las estrategias de seguridad cibernética deben mitigar el riesgo de piratería de contraseñas y violaciones de datos y eso solo se puede lograr a través de una autenticación sólida. Una comprensión y aceptación más amplia de una autenticación más sólida significa que todos damos un paso más hacia un nivel más alto de seguridad cibernética y una protección en línea mejorada para consumidores y empresas.
Fuente:
Editor’s Choice. (2021c, abril 12). Could social media networks pave the way towards stronger authentication? Recuperado 12 de abril de 2021, de https://www.information-age.com/could-social-media-networks-pave-the-way-stronger-authentication-123494691/