¿El Enfoque «Passwordless» es realmente seguro?

El problema de las Contraseñas Tradicionales

Las contraseñas fueron durante mucho tiempo la base de la Ciberseguridad para los usuarios convencionales. Sólo los usuarios administradores utilizaban métodos más avanzados para conectarse a los sistemas.

La tendencia de las personas a elegir contraseñas débiles, la reutilización de contraseñas en múltiples cuentas y el riesgo a los ataques de fuerza bruta, debilitaron su eficacia.

Además, la gestión de contraseñas presenta desafíos significativos tanto para los usuarios como para los administradores de Ciberseguridad.

«Passwordless» como Solución

La autenticación sin contraseña soluciona las limitaciones y vulnerabilidades de las contraseñas tradicionales. En lugar de depender de una cadena de caracteres alfanuméricos, se implementan métodos alternativos que refuerzan la seguridad y simplifican la experiencia del usuario luego de un período de adaptación:

• Autenticación Biométrica: el reconocimiento facial, las huellas dactilares, el escaneo de la retina y la voz, ofrecen formas únicas de verificar la identidad de un usuario. Estos métodos son difíciles de replicar, aunque no imposible, y eliminan la necesidad de recordar contraseñas. La adopción generalizada de dispositivos con capacidades biométricas, como los teléfonos inteligentes con escáneres de huellas dactilares y cámaras avanzadas, facilita la integración de estas tecnologías a los sistemas actuales. Lo que se debe tener en cuenta es que, para su utilización masiva, se debe contar con un dispositivo, lo que siempre implica un costo.
• Tokens de Seguridad y Aplicaciones Móviles: estos dispositivos y aplicaciones generan códigos temporales únicos o implementan estándares como Time-based One-Time Password (TOTP), que cambian constantemente y son difíciles de prever o replicar. La ventaja de este método es su versatilidad y su capacidad de proporcionar una capa adicional de seguridad. Además, al utilizar dispositivos que los usuarios ya poseen, se elimina la necesidad de recordar y gestionar contraseñas. Si bien son más económicos de implementar, no son tan seguros como los biométricos.
• Autenticación Basada en Certificados Digitales: este enfoque utiliza pares de claves criptográficas asimétricas, donde la clave privada se almacena de forma segura en el dispositivo del usuario y la clave pública se registra en el servidor en el que se requiere el acceso. La autenticación se logra mediante la verificación de la firma electrónica del usuario, proporcionando un nivel adicional de seguridad.
• Autenticación por Correo Electrónico o SMS: aunque es el método menos sofisticado, el envío de códigos de verificación único a través de correo electrónico o mensajes de texto (SMS) también forma parte de la estrategia «passwordless». Estos códigos temporales ofrecen una capa de seguridad adicional al proceso de autenticación y son particularmente útiles para la verificación de tres factores, donde el primero es el nombre de usuario, el segundo la password convencional y el tercero el código de uso único. Aunque este método es menos seguro en comparación con la autenticación biométrica y la basada en certificados, sigue siendo una mejora significativa con respecto a las contraseñas tradicionales y es económico de implementar en infraestructuras existentes, ya que agrega un componente sobre lo que ya está funcionando.

¿Passwordless es realmente seguro?

A pesar de los beneficios que explicamos de los distintos métodos de autenticación sin contraseña, existen consideraciones y desafíos importantes. La usabilidad y la accesibilidad deben ser prioridades para garantizar que los usuarios adopten estas nuevas prácticas de Ciberseguridad de manera efectiva. La resistencia a su adopción por parte de las personas, es el riesgo más grande que se enfrenta y el más difícil de gestionar.

Un Futuro Passwordless

La evolución hacia la autenticación sin contraseñas marca un hito significativo en la Ciberseguridad. Soluciona las limitaciones de las contraseñas convencionales mejorando la Ciberseguridad y simplificando la experiencia del usuario luego de que se cruzó la barrera de resistencia al cambio.

La mejor estrategia actual para implementar Passwordless es combinar las tecnologías biométricas, tokens de seguridad, autenticación basada en certificados y métodos de verificación de dos factores estableciendo un estándar de identificación digital adecuado a la misión de cada usuario.

La tecnología Passwordless continuará madurando y se convertirá en el método único de autenticación en la medida que bajen los costos de implementación y se simplifiquen las tareas de administración para las áreas de Ciberseguridad y la experiencia del usuario se perciba como simple y confiable.

El problema está en el «como» implementar Cloud y Fortinet es la solución

Las empresas encuentran en la adopción de Cloud una forma aumentar su competitividad brindando mejores servicios. No hay duda de que esto se puede lograr con Tecnología de Nube, el problema es cómo hacerlo de manera segura, rápida y eficiente. Luiz Cerderia Cloud Specialist Account Manager de Fortinet, explicó cómo la empresa acompaña a sus clientes para lograr estos objetivos.