Los sistemas de autenticación basados en contraseñas son vulnerables a los ataques, como por ejemplo los de fuerza bruta que intentan constantemente probar diferentes contraseñas. Para prevenir estos problemas, los usuarios a menudo deben cambiar sus contraseñas y usar contraseñas robustas. Muchos usuarios pueden encontrar esto un inconveniente, ya que no es fácil crear contraseñas seguras y al mismo tiempo recordarla.
Según NIST, ya no se recomienda cambiar las contraseñas con frecuencia. Las contraseñas que eligen los usuarios suelen relacionarse con sus contraseñas anteriores y aquellas que son fáciles de recordar, por lo que son principalmente débiles y menos seguras.
Como desarrollador debes proporcionar una arquitectura de verificación de cuenta segura para evitar inconvenientes y riesgos de seguridad. Ahí es donde entra en juego la autenticación sin contraseña.
La autenticación sin contraseña es cualquier método de verificación de identidad que no utiliza una contraseña. Veamos cuál es el enfoque de la autenticación sin contraseña.
¿Qué es la autenticación sin contraseña?
La autenticación sin contraseña “Passwordless” es una forma más conveniente de iniciar sesión. Es un método de verificación que permite a los usuarios acceder a aplicaciones, sistemas y redes sin contraseña. Las empresas y las personas que cambian a la autenticación sin contraseña es una transformación digital. Gracias a la autenticación sin contraseña, las contraseñas ya no son prescindibles.
La autenticación sin contraseña no requiere ninguna tecnología o procedimiento en particular para verificar la identidad de un usuario. Es más un objetivo alcanzado mediante el empleo de diversas estrategias o soluciones. La autenticación sin contraseña se usa con frecuencia con biometría, aplicaciones de autenticación, códigos de acceso de un solo uso (OTP) transmitidos por correo electrónico o SMS, etc. Las soluciones de autenticación sin contraseña garantizan una experiencia de usuario perfecta, mejoran la seguridad de los datos y reducen los costos y la complejidad de las operaciones de IT.
Seguridad sin contraseña
La autenticación sin contraseña es más segura que la autenticación basada en contraseña. Seguro, en este caso, significa que el método de autenticación es menos propenso a los ataques. Aún así, los métodos de autenticación sin contraseña pueden ser vulnerables de una forma u otra y, por lo tanto, no son 100% seguros. Puede que no haya una forma obvia de atacarlos, pero hay la posibilidad en el futuro de encontrar una manera de pasar las medidas de seguridad, con suficiente tiempo y esfuerzo.
El empleo de métodos de autenticación sin contraseña evitará ataques como el phishing y los ataques de fuerza bruta. La autenticación biométrica, por ejemplo, ofrece el más alto nivel de seguridad de cualquier forma de autenticación. El uso de datos biométricos para verificar la identidad de un usuario es mucho más seguro que las contraseñas. Esto hace que la autenticación sin contraseña sea difícil de superar en términos de seguridad.
Los ataques normalmente utilizan técnicas de ingeniería social y phishing para robar nombres de usuario y contraseñas. Como resultado, las contraseñas son el objetivo más común de los ataques. Deshacerse de ellos deja a los atacantes sin nada que robar o manipular.
Para mantener la autenticación sin contraseña más segura, se puede utilizar la autenticación multifactor (MFA). MFA proporciona una forma más segura de mantener las aplicaciones, los sistemas y la red.
Métodos de autenticación sin contraseña
La autenticación sin contraseña es una forma mucho más segura y eficaz de proteger tus cuentas y la de tus usuarios. Revisemos cada método de autenticación para comprender cómo pueden ayudar a mantener los datos seguros.
Inicio de sesión único (SSO)
Single-sign-on SSO es el método más común de autenticación sin contraseña. Permite a los usuarios iniciar sesión de forma segura en aplicaciones de terceros utilizando un único conjunto de credenciales. Casi todos hemos iniciado sesión con servicios de Google, Microsoft, Facebook, Slack, entre otros como SSO.
SSO evita que los usuarios tengan que autenticarse repetidamente. Los usuarios encuentran esto muy conveniente ya que pueden retener una sesión válida en todas las aplicaciones habilitadas para SSO identificándose una vez.
Biometría
La autenticación biométrica verifica la identidad de un usuario utilizando características físicas o de comportamiento. Los factores biológicos incluyen:
- Reconocimiento de huellas dactilares
- Reconocimiento facial
- Reconocimiento de voz
- Escaneo del iris
Para configurar una cuenta, el usuario debe elegir una o más de las características físicas anteriores, que luego se almacenan en una base de datos. Para acceder a la cuenta, se comparan las características del usuario con los datos almacenados en la base de datos. La verificación se produce cuando la coincidencia tiene éxito y el usuario inicia sesión en la cuenta.
La identificación biométrica se utiliza para simplificar la experiencia del usuario con los sistemas. El método es más seguro porque la probabilidad de huellas dactilares, rostro o iris idénticos es muy baja. Varios tipos de aplicaciones y dispositivos que son conscientes de la seguridad, como los relacionados con la banca, las escuelas, el sector salud, los teléfonos móviles y más, utilizan métodos de autenticación biométrica para autenticarse.
Factores de posesión
Los factores de posesión otorgan acceso a los usuarios a través de algo que poseen/poseen, como un dispositivo móvil. Los usuarios pueden recibir un código de acceso único (OTP) por correo electrónico o SMS. Luego, los usuarios inician sesión en el sistema automáticamente respondiendo a las notificaciones o ingresando los códigos.
Es menos probable que ocurran ataques en este caso porque los atacantes necesitan el factor de posesión para responder a las solicitudes de la aplicación.
Enlaces mágicos
Los enlaces mágicos permiten a los usuarios autenticarse sin contraseña. Se solicita al usuario que ingrese su dirección de correo electrónico. Luego, el sistema envía una URL única al correo electrónico. Una vez que se abre la URL, el usuario puede iniciar sesión en la aplicación o cuenta.
Los enlaces mágicos son intuitivos y brindan una excelente experiencia de usuario durante la autenticación. Después de todo, hacer clic en un enlace y acceder directamente a una aplicación es más sencillo que escribir un nombre de usuario y una contraseña.
Beneficios de la autenticación sin contraseña
Experiencia de usuario mejorada
Según una investigación de Nordpass, un usuario promedio tiene entre 70 y 80 contraseñas. Por lo tanto, al usuario promedio le llevaría mucho trabajo crear tantas contraseñas complicadas. Recordar diferentes contraseñas complejas también es una tarea desafiante. Además, restablecer las contraseñas es una molestia, ya que se pierde mucho tiempo. Las personas deben pasar por estos inconvenientes para iniciar sesión en varias aplicaciones y mantener sus cuentas seguras.
La autenticación sin contraseña proporciona a los usuarios una experiencia sin complicaciones. Los usuarios pueden recibir una OTP por SMS o correo electrónico, ingresar el código y acceder directamente a su cuenta. La autenticación biométrica requiere características físicas, es decir, huellas dactilares o facial, para verificar y obtener acceso a las aplicaciones. Este método es bastante seguro ya que las características físicas son únicas en casi todos los casos. La autenticación sin contraseña mejora la experiencia del usuario porque es rápida, eficiente y segura.
Costes y mantenimiento reducidos
La autenticación sin contraseña reduce los costes de seguridad. Una organización no tiene que gastar en sistemas de almacenamiento de contraseñas, administración, mantenimiento y restablecimientos. Esto ahorra mucho tiempo y esfuerzo al departamento de soporte de IT porque no tendrá que lidiar con el restablecimiento de contraseñas, la recuperación de contraseñas y el manejo de contraseñas perdidas cuando ocurre un ataque. Además, el equipo de IT no tendrá que encontrar ni prevenir violaciones de contraseñas.
La autenticación sin contraseña hace posible disminuir o eliminar por completo el coste de manejar las preocupaciones relacionadas con la seguridad basada en contraseña. Las empresas pueden ahorrar millones de dólares si eliminan la seguridad basada en contraseñas y la gestión de contraseñas asociada.
Seguridad mejorada
Las contraseñas se descifran y adivinan fácilmente. Los ataques de phishing y de fuerza bruta son los métodos más comunes utilizados para robar contraseñas. En una investigación realizada por IBM, las empresas pierden una media de 3,92 millones de dólares por filtraciones de datos. Si los ciberdelincuentes pueden obtener tus contraseñas, significa que también pueden acceder a datos confidenciales de la empresa. Una vez que tienen acceso, pueden hacer lo que quieran con los datos de una empresa.
Las contraseñas son más vulnerables a los ataques y los métodos de autenticación sin contraseña mejoran drásticamente la seguridad y reducen las filtraciones de datos.
Desafíos en la autenticación sin contraseña
Coste de implementación
La autenticación sin contraseña es segura y mejora la experiencia del usuario. El desafío surge durante el despliegue. Necesitas un plan detallado durante la implementación de la autenticación sin contraseña. La implementación de la autenticación sin contraseña en las organizaciones supone costes adicionales. Los usuarios pueden necesitar formación y nuevo software y hardware.
Aceptar el cambio
Mucha gente teme al cambio. Algunas personas pueden ser reacias a eliminar el método de autenticación basado en contraseña y probar el método de autenticación sin contraseña debido a esto. Esto requiere un esfuerzo por parte de la organización para superarlo, pero vale la pena.
Restricciones de seguridad en la autenticación sin contraseña
La autenticación sin contraseña no es 100% segura. Los ciberdelincuentes pueden usar métodos maliciosos como malware y troyanos para violar la seguridad de un sistema o aplicación. Los desarrolladores deben usar fuertes medidas de seguridad para evitar ataques. En consecuencia, las organizaciones también deben usar MFA con diferentes niveles de seguridad.
Conclusión
Los sistemas de inicio de sesión basados en contraseñas son vulnerables e inseguros. La migración a la autenticación sin contraseña mejora la experiencia del usuario, la seguridad y la productividad de la fuerza laboral de la organización.
La autenticación sin contraseña ahorra tiempo y costos. Implementar y ejecutar la autenticación sin contraseña costará menos que las pérdidas por violaciones de datos.
Referencia:
· Developer’s Guide to Passwordless Authentication