La guía del comprador para la autenticación sin contraseña
Publicado: 2020-09-09Es probable que haya pasado mucho tiempo desde que evaluó sus soluciones de autenticación de usuarios.
Después de todo, no todos los días las empresas buscan en el mercado una nueva solución de autenticación de usuarios. Algunos nunca han usado nada más que una simple contraseña para autenticar a sus usuarios. Otros pueden haber implementado una solución de autenticación multifactor tradicional para abordar problemas de seguridad específicos relacionados con la autenticación de conexiones de acceso remoto o en respuesta a un requisito reglamentario para una autenticación más sólida. Esta breve guía proporciona una revisión actual de los enfoques modernos de autenticación de usuarios.
El Informe de investigación de violación de datos (DBIR) de Verizon publicado en 2017 ha sido un momento decisivo para las percepciones sobre la autenticación de usuarios. El informe fue noticia en todo el mundo de TI cuando reveló que el 81 por ciento de las violaciones de datos fueron el resultado de contraseñas comprometidas.
Fue entonces cuando muchas empresas se dieron cuenta de que las contraseñas no resolvían sus problemas de seguridad y, en cambio, causaban muchos de ellos, y comenzaron a buscar opciones de autenticación alternativas. Este es el momento en que la autenticación sin contraseña pasó de ser una alternativa de nicho perseguida por empresas con visión de futuro a algo de lo que todo el mundo estaba hablando.
¿Qué es la autenticación sin contraseña?
La autenticación sin contraseña define una clase de soluciones de autenticación que verifican la identidad de un usuario sin utilizar una contraseña. La prueba de identidad se basa en otros factores que identifican de forma única al usuario, como la posesión de algo asociado de forma única con el usuario (p. ej., un generador de contraseñas de un solo uso, un dispositivo móvil registrado o un token de hardware) o la firma biométrica del usuario (p. ej., huella dactilar, huella facial, escáner de retina, etc.). La autenticación basada en algo que el usuario sabe (es decir, la autenticación basada en el conocimiento) también es posible, siempre que ese algo no sea una contraseña.
4 tipos de métodos de autenticación sin contraseña
Aquí hay algunos métodos de autenticación sin contraseña de uso común entre los que las personas suelen elegir:
Códigos de una sola vez
Código de un solo uso enviado a un dispositivo móvil registrado o dirección de correo electrónico. Por lo general, esto lo implementan las empresas para autenticar a sus clientes (B2C). Se utiliza con menos frecuencia para la autenticación empresarial, es decir, para la autenticación de empleados.
Biometría
Este método de autenticación sin contraseña se ha convertido en la norma para autenticar a los usuarios en sus dispositivos móviles, con implementaciones populares de la tecnología en Apple Face ID y autenticación de huellas dactilares disponible en todas partes incluso en los dispositivos móviles más baratos. La biometría se utiliza principalmente para autenticar al usuario en el propio dispositivo y, con menor frecuencia, en los recursos a los que se accede desde el dispositivo.
Tokens de seguridad de hardware dedicados
Tokens de seguridad de hardware dedicados, que normalmente almacenan una credencial de infraestructura de clave pública (PKI). En los últimos años, los dispositivos compatibles con FIDO, como YubiKeys, están ganando popularidad como una alternativa de autenticación de usuario de alta seguridad a las contraseñas. Estos dispositivos ofrecen un buen nivel de seguridad, ya que son difíciles de falsificar y requieren posesión física, pero también son bastante caros y engorrosos para que los usuarios los transporten y utilicen.
Credenciales de autenticación adjuntas a un dispositivo host
Esta credencial (es decir, un certificado de autenticación de cliente PKI anclado a una computadora personal) se usa principalmente para autenticar las estaciones de trabajo de los empleados en las redes y recursos comerciales. Una vez más, las soluciones compatibles con FIDO están ganando popularidad, siendo el ejemplo más notable Microsoft Windows Hello for Business. Windows Hello está disponible en las versiones más recientes de Windows y combina una credencial compatible con FIDO junto con un PIN de usuario o una impresión biométrica para desbloquear el acceso a la credencial.
Autenticación multifactor (MFA) frente a autenticación sin contraseña
La combinación de múltiples formas de autenticación para la prueba de identidad da como resultado la autenticación multifactor (MFA). Históricamente, MFA se utilizó como una forma de mejorar la seguridad de la autenticación basada en contraseña. El uso de una contraseña (algo que conozca) junto con un llavero dedicado o un dispositivo móvil registrado (algo que tenga) proporcionaría múltiples factores de autenticación que son más difíciles de suplantar, descifrar o piratear y, por lo tanto, proporcionar un mayor nivel de seguridad.
Hoy en día, es posible usar múltiples factores de autenticación sin contraseñas como uno de los factores, lo que da como resultado MFA sin contraseña. Los factores de autenticación más utilizados para MFA sin contraseña son el dispositivo móvil registrado del usuario junto con un PIN de usuario o una huella digital proporcionada a través del sensor de huellas dactilares integrado en el dispositivo.
Consideraciones al evaluar una solución de autenticación sin contraseña
Entonces, ¿qué debe tener en cuenta una empresa al buscar la solución de autenticación adecuada? Hay muchas consideraciones al comprar una nueva solución de autenticación de usuarios, pero las tres más importantes son:
¿La solución de autenticación es compatible con todos los casos de uso de autenticación de los usuarios?
La consideración más fundamental es si una solución de autenticación es compatible con los casos de uso de autenticación de amplitud completa que encuentran los usuarios en el transcurso de su jornada laboral. Cuando no se admiten casos de uso específicos, hay dos opciones disponibles: dejar la solución de autenticación existente (por lo general, un nombre de usuario y una contraseña simples) o incorporar una segunda solución de autenticación.
Revertir a los nombres de usuario y las contraseñas anula el propósito de invertir en una solución de autenticación mejor y más segura porque significa que los atacantes aún pueden explotar las contraseñas vulnerables, dejando al negocio expuesto. Se asemeja a construir un muro fortificado alrededor de su casa y dejar una puerta trasera con un candado.
Adquirir una segunda solución de autenticación que pueda manejar los casos de uso no admitidos significa implementar otra solución y, lo que es más importante, requerir que los usuarios lleven consigo otra credencial/autenticador. Esta es una propuesta costosa que también ofrece una experiencia que probablemente frustrará a los usuarios.
La compatibilidad con toda la gama de casos de uso de autenticación de usuarios puede sumar bastantes escenarios para una empresa típica. Los casos de uso empresarial comunes incluyen:
- El inicio de sesión en la estación de trabajo, incluidos los hosts de Windows y Mac, y en algunas empresas, Linux también es una consideración importante. Este suele ser el caso de uso más desafiante para muchas soluciones de autenticación, ya que requiere integraciones delicadas con sistemas operativos y soluciones de administración de dominios de red.
- La VPN de acceso remoto ha sido una tecnología básica que permite a los empleados móviles y remotos mantenerse conectados con su trabajo. Hay varias tecnologías en uso y una plétora de proveedores que ofrecen soluciones. Afortunadamente, a lo largo de los años, ha surgido un conjunto de estándares para permitir una integración sencilla con los sistemas de autenticación.
- El acceso a las aplicaciones en la nube se ha generalizado incluso para las empresas más tradicionales. Si bien existen algunos estándares para facilitar la interoperabilidad entre los sistemas de autenticación empresarial y los servicios en la nube, no todos están completamente integrados. Los estándares competitivos y las revisiones frecuentes de los estándares existentes significan que respaldar el acceso a los servicios en la nube ha sido un objetivo móvil.
- La autenticación sin conexión ha sido el talón de Aquiles de muchos sistemas de autenticación en general y de la autenticación multifactor (MFA) en particular. Presenta un desafío difícil porque la mayoría de las soluciones de autenticación fueron diseñadas para un mundo conectado. Por lo tanto, cuando la conexión de red está inactiva o no está disponible, y no se puede acceder al servidor de autenticación, se requieren soluciones elaboradas para garantizar que los usuarios puedan continuar autenticándose en su computadora y en los recursos alojados localmente.
- El autenticador perdido crea un gran dolor de cabeza, especialmente cuando se trata de un autenticador de hardware. El envío físico de un token de reemplazo a un empleado remoto es costoso y requiere mucho tiempo. Entonces, para evitar tiempos de inactividad prolongados, se desarrollaron soluciones de recuperación basadas en software para algunas de las soluciones MFA basadas en hardware.
En términos generales, una solución de autenticación empresarial moderna debe ser un jugador integral que pueda manejar una amplia variedad de casos de uso de autenticación. Elegir una solución puntual que aborde bien los casos de uso específicos probablemente resulte en la necesidad de implementar múltiples soluciones de autenticación, lo cual es costoso y difícil para los usuarios.
¿Funcionará la solución de autenticación con lo que ya tiene?
La realidad para la mayoría de las empresas es que han adquirido una combinación variada de sistemas y aplicaciones durante años de inversión en TI. Esos sistemas son una realidad que debe reconocerse y cualquier nueva solución de autenticación debe poder funcionar con todo lo que ya existe. Un enfoque de quitar y reemplazar es simplemente demasiado doloroso y costoso.
Por lo tanto, se debe esperar que las soluciones de autenticación modernas se diseñen para admitir sistemas y aplicaciones heredados y se integren fácilmente con las inversiones de TI existentes. La compatibilidad con los directorios de usuarios existentes (por ejemplo, Active Directory), el trabajo con sistemas heredados, el trabajo junto con las soluciones de autenticación existentes, etc., deben integrarse en la solución y no algo que requiera costosos proyectos de personalización e integración.
También debería ser necesario trabajar con soluciones de autenticación existentes, como tokens USB, tokens OTP, autenticadores FIDO, autenticadores móviles y más. Muchas empresas han invertido en soluciones de autenticación sólidas, lo que significa que apenas hay oportunidades nuevas donde no se implementa nada más. Por lo tanto, trabajar en armonía con las soluciones de autenticación existentes, simplificar las operaciones de un entorno de autenticación heterogéneo y proporcionar un medio para retirar gradualmente las soluciones más antiguas y migrar a otras más modernas se ha convertido en una consideración importante en sí misma.
¿La solución aborda los requisitos de los auditores y reguladores?
La mayoría de las empresas en estos días operan en industrias reguladas y están sujetas a estrictas demandas de protección de datos y autenticación de usuarios. El cumplimiento de las reglamentaciones y los estándares de la industria como PCI DSS, DFARS, HIPAA, SOX/GLBA, PSD2, GDPR, etc. es, por lo tanto, una consideración importante y, a menudo, el principal impulsor para invertir en una nueva solución de autenticación de usuarios.
Beneficios de la autenticación sin contraseña
La autenticación sin contraseña es uno de esos raros casos en la vida en los que la nueva solución es claramente superior en todos los aspectos. Elegirlo no requiere hacer concesiones ni sopesar los pros y los contras. La autenticación sin contraseña ofrece una mejor seguridad, una mejor experiencia de usuario y es más económica de poseer y operar en comparación con las soluciones de autenticación basadas en contraseña.
Mejora la experiencia del usuario
La autenticación sin contraseña ofrece una mejor experiencia de usuario porque los usuarios no necesitan recordar ni teclear contraseñas. Esto significa inicios de sesión más rápidos y menos intentos fallidos. Y las contraseñas nunca se olvidan ni tienen que restablecerse, lo que significa menos tiempo de inactividad debido a contraseñas perdidas u olvidadas, y menos molestias.
Mejora la seguridad general
Reemplazar las contraseñas vulnerables con una solución de autenticación sin contraseña bien diseñada en realidad mejora la seguridad porque la contraseña sin contraseña es resistente al phishing y ofrece una mejor protección contra otras formas de ataques de acceso a credenciales, incluidos el intermediario, el registro de teclas, el relleno de credenciales, el rociado de contraseñas y otros. .
Es más barato a largo plazo.
La autenticación sin contraseña es más barata de poseer y operar en comparación con las contraseñas. Las contraseñas requieren una administración costosa porque requieren sistemas de administración de contraseñas compatibles para permitir a los usuarios realizar actualizaciones periódicas de contraseñas y el restablecimiento ocasional de contraseñas.
Las contraseñas también crean una carga significativa en los servicios de asistencia cuando los usuarios olvidan sus contraseñas o pierden su autenticador y llaman al servicio de asistencia para obtener asistencia en la recuperación. Se pueden lograr más ahorros de costos cerrando los programas de prevención de phishing implementados para educar a los usuarios y protegerlos del phishing. La autenticación sin contraseña bien diseñada es a prueba de phishing.
Desafíos con la autenticación sin contraseña
El desafío número uno para las empresas que deciden implementar la autenticación sin contraseña suelen ser sus sistemas y aplicaciones heredados que no fueron diseñados para la autenticación sin contraseña. Entonces, si bien es fácil aceptar la visión de un lugar de trabajo sin contraseña, llegar allí puede ser desalentador cuando se trata de un entorno de TI heterogéneo que combina sistemas nuevos y obsoletos.
Un enfoque es implementar la autenticación sin contraseña solo para los sistemas y aplicaciones que la admiten. Esto generalmente se traduce en la implementación de autenticación sin contraseña para aplicaciones en la nube y, a veces, también en sistemas operativos más nuevos (es decir, las últimas versiones de Windows 10). Pero quedarse sin contraseña es realmente un esfuerzo de todo o nada: o te deshaces de las contraseñas o no.
Por lo tanto, para implementar con éxito la autenticación sin contraseña para los usuarios, generalmente no es suficiente decidir que la autenticación sin contraseña es una opción mejor, más económica y más segura. Es importante elegir la tecnología que lo ayudará a implementar sin contraseña en un entorno de TI existente y heterogéneo, y abordar todos sus casos de uso de autenticación.
Panorama de soluciones de autenticación sin contraseña
Casi todos los proveedores de soluciones de autenticación en el mercado afirman ofrecer autenticación sin contraseña. Los proveedores de autenticación establecidos han adaptado su oferta de MFA para permitir algunas formas de autenticación sin contraseña para algunos casos de uso. Los jugadores de autenticación más nuevos están apostando por la tecnología sin contraseña, apuntando a clientes con infraestructura moderna y aplicaciones que funcionarán bien sin contraseña: los sistemas y aplicaciones heredados quedan atrás.
Pero la implementación universal de la autenticación sin contraseña todavía no es posible para la mayoría de las empresas, porque todavía hay muchos sistemas y aplicaciones que no están diseñados para funcionar sin contraseña. Dejar las contraseñas en su lugar para algunos sistemas casi anula el propósito porque para beneficiarse de la ausencia de contraseña realmente necesita deshacerse de todas las contraseñas.
La migración exitosa a una solución de autenticación sin contraseña requiere una solución que pueda funcionar en todos los sistemas y aplicaciones, brindando autenticación sin contraseña donde sea posible y creando una experiencia sin contraseña donde no es posible sin contraseña. El beneficio de este enfoque es que, desde una perspectiva de UX, los usuarios no tienen que crear, recuperar o ingresar una contraseña.
Desde una perspectiva de seguridad, las contraseñas se eliminan por completo o simplemente no son conocidas por los usuarios, lo que las hace a prueba de phishing. Además, al implementar una experiencia sin contraseña, las contraseñas son administradas por máquinas, lo que significa que se benefician de rotaciones frecuentes y de alta complejidad, lo que a su vez las hace más resistentes a muchas formas de ataques a las contraseñas.