OpiniónSeguridad

No estamos preparados para los sistemas sin contraseña

Por Rajesh Ganesan, Vicepresidente de ManageEngine.

Rajesh Ganesan.
Rajesh Ganesan.

Viendo que los coches sin conductor están cerca de convertirse en una realidad, la integración hombre-máquina y la robótica innovadora, puede sorprender que con semejantes avances todavía dependamos de las contraseñas. Aunque las opciones de autenticación sin contraseña están ganando terreno, hay una razón por la que seguimos usando contraseñas 60 años después de su creación: siguen siendo efectivas.

A diferencia del reconocimiento facial y otras soluciones biométricas, las contraseñas son completamente correctas o completamente incorrectas. Actualmente, la biometría requiere un margen de error; por ejemplo, se ha demostrado que las personas pueden acceder los teléfonos de sus familiares a través de aplicaciones de reconocimiento facial. Aún más importante, si los datos biométricos de una persona se ven comprometidos, nunca podrán ser reemplazados.

Desafortunadamente, ya hemos visto una gran brecha en los datos biométricos. El pasado agosto, la compañía de privacidad web vpnMentor descubrió una brecha en la plataforma de seguridad de Suprema, Biostar2, que expuso los datos de reconocimiento facial y los registros de huellas dactilares de 1 millón de personas. Según vpnMentor, Suprema guardó copias exactas de las huellas dactilares de los usuarios, comprometiendo potencialmente la información biométrica de estos individuos para siempre. Para las empresas que almacenan los datos biométricos de los usuarios, es prudente utilizar la tecnología de hashing o cadena de bloqueo para proteger estos datos. Sin embargo y como se dijo antes, a diferencia de las contraseñas, los datos biométricos - ya sea iris, rostros o huellas dactilares - no pueden ser reemplazados.

Por el momento, las contraseñas están aquí para quedarse; sin embargo, hay algunas cosas importantes que hay que considerar tener la mejor seguridad.

La autenticación multifactorial es clave

Tanto si utiliza la autenticación basada en contraseñas como si no, su organización debería exigir la autenticación de múltiples factores (MFA). No hay excusa para no emplear la MFA, especialmente con la actual proliferación de aplicaciones que ofrecen esos servicios. No se lo ponga fácil a los cibercriminales.

No exigir el restablecimiento obligatorio de la contraseña

Si su organización tiene el MFA en su lugar, definitivamente no debería requerir el reinicio obligatorio de la contraseña. De hecho, estos requisitos podrían hacer que su red sea menos segura, ya que los empleados tienden a escribir sus contraseñas en notas Post-It en sus estaciones de trabajo, y recurren a utilizar contraseñas similares, así como contraseñas que son fáciles de adivinar por los hackers. Como advertencia, si los empleados cambian de rol dentro de su organización, puede tener sentido exigir un restablecimiento de la contraseña. Lo ideal sería que esta solicitud de restablecimiento se automatizara como parte del proceso de transferencia.

Requiere contraseñas complejas

Dado que los ataques de fuerza bruta de contraseñas siguen siendo la forma más común de ataque, sigue siendo importante exigir contraseñas complejas y no permitir contraseñas débiles. El NIST recomienda contraseñas largas y complejas que los empleados no hayan usado en el pasado.

Administrar cuentas privilegiadas por separado

Es prudente considerar la utilización de un administrador de contraseñas de nivel empresarial para mantenerse al tanto de los problemas de seguridad de las contraseñas. Además, como las cuentas privilegiadas suelen ser compartidas por unas pocas personas en una organización, debería considerar la posibilidad de tener un programa separado para gestionar las contraseñas de estas cuentas privilegiadas. Para completar ciertas tareas, la administración del sistema debería poder elevar los privilegios de cualquier usuario durante un período de tiempo determinado y, si fuera necesario, el administrador del sistema debería poder desactivar la autenticación directa de todas las cuentas privilegiadas.

Examinar las opciones de autenticación sin contraseña

A pesar de la eficacia de las contraseñas, siempre que sea posible se puede tratar de eliminar o desactivar la autenticación basada en contraseñas. La autenticación sin contraseña, como las contraseñas de un solo uso (OTP) enviadas por correo electrónico y SMS, son cada vez más populares. Si decide introducir una opción de autenticación sin contraseña para determinadas cuentas comerciales, asegúrese de considerar el empleo de dos o más opciones; de esta forma podrá eliminar las contraseñas de forma efectiva sin comprometer su seguridad.

Conclusión

Hasta que las opciones de autenticación sin contraseña y las soluciones biométricas sean más avanzadas, es más prudente confiar en contraseñas largas y complejas y en la autenticación multifactorial. A diferencia de las contraseñas, las soluciones biométricas -módulos de huellas dactilares, escáneres de iris y sistemas de reconocimiento de voz- requieren un margen de error. Además, como vimos en la brecha de la base de datos biométricos de Suprema, si tal evento ocurre, los datos biométricos sensibles de los usuarios se ven comprometidos de por vida.

En pocas palabras, por el momento, las contraseñas son la ruta más segura para su organización desde el punto de vista de la seguridad.

Computing 794