Taula de continguts:
- Què és la prevenció de l'autenticació sense contrasenya?
- Les federacions arriben a colpejar
- Com arribar a la mateixa pàgina
- Quan finalitzaran les contrasenyes?
Vídeo: Mai més víctima (De novembre 2024)
El 2012, Wired 's Matt Honan va escriure sobre les desastroses conseqüències de lligar tota la vostra vida digital a una cadena de lletres, dígits i símbols. Honan és només una de les incomptables persones que els seus comptes en línia van ser segrestats després que els pirates informàtics descobrissin les seves contrasenyes; la llista de víctimes també conté executius d'alta tecnologia, inclòs Mark Zuckerberg.
Tot i així, les contrasenyes segueixen sent el principal mètode de protecció dels comptes en línia.
No hi ha hagut una petita quantitat d’innovació a l’espai d’autenticació. El 2016 vaig escriure sobre tecnologies d’autenticació que proporcionaven alternatives segures i fàcils d’utilitzar a les contrasenyes, però fins fa poc, cap no havia aconseguit l’adopció massiva.
Ara bé, hi ha la esperança que finalment puguem escriure contrasenyes llargues i complexes gràcies a una sèrie de normes i estàndards oberts que faciliten i fomenten la implementació de mètodes d’autenticació sense contrasenya en aplicacions en línia.
Què és la prevenció de l'autenticació sense contrasenya?
"El gran nombre de contrasenyes necessàries en la nostra vida diària s'han convertit en una càrrega, per la qual cosa veiem tantes credencials estàtiques o reutilitzades dèbils", afirma Stina Ehrensvard, CEO i fundadora de Yubico, que fabrica claus de seguretat física com la Yubikey 5 NFC.. "Hem de pensar en com solucionar aquest problema de manera que simplifiqui el procés d'inici de sessió afegint el més alt nivell de seguretat. Fins ara, no hi ha hagut una manera de fer aquestes dues coses amb èxit".
Les vulnerabilitats de les contrasenyes no es perden en les organitzacions que les continuen utilitzant. Però abans de considerar alternatives, han de tenir en compte la seguretat, la usabilitat, la disponibilitat i els costos de la tecnologia.
"El motiu pel qual no havíem substituït les contrasenyes per alguna cosa més fiable és que totes les alternatives que potser han estat millors per a la seguretat o la usabilitat no han estat disponibles de manera omnipresent per a totes les formes i mides dels dispositius connectats a Internet, ni han estat costades. "efectiu", afirma Brett McDowell, director executiu de la FIDO Alliance, un consorci que desenvolupa estàndards d'autenticació.
A més, l’entrada de contrasenya és la tecnologia d’autenticació menys costosa i fàcil d’implementar en nous llocs web i aplicacions mòbils. I mentre que alternatives com la tecnologia d’autenticació biomètrica s’han fet més àmpliament disponibles en dispositius mòbils, l’entrada de contrasenya continua sent la característica omnipresent que tots els dispositius admeten. Eliminar-lo evitaria que molts usuaris accedeixin a aquests serveis.
La manca d’estàndards també dificulta l’allunyament de les contrasenyes. La despesa general per afegir suport per a desenes de tecnologies d'autenticació diferents en aplicacions de clients i servidors de backend és quelcom que la majoria de les organitzacions no podrien suportar.
I, per descomptat, sempre hi ha el factor humà. "Algunes empreses i individus continuen creient que no seran afectats pels atacs cibernètics i que no són d'interès per als ciberdelinqüents. La manca de desig i recursos per canviar les solucions existents està obstaculitzant l'adopció de noves solucions d'autenticació sense contrasenya", afirma Alex. Momot, CEO de REMME, una startup que desenvolupa un sistema d’autenticació descentralitzada.
Les federacions arriben a colpejar
En els darrers anys, hi ha hagut un augment de la consciència sobre la seguretat en línia i la privacitat dels usuaris, especialment entre les agències governamentals i els reguladors. Si bé anteriorment, les organitzacions podrien haver disminuït incompliments de dades i incidents de seguretat amb poques conseqüències legals i financeres, ja no és així.
"Els reguladors estan cansats dels titulars d'incompliment de dades que qualsevol altra persona, i comencen a prendre mesures, amb la qual cosa més empreses incorporen una autenticació forta a les seves pràctiques de protecció de dades", afirma McDowell.
Entre les accions normatives més rellevants hi ha el Reglament general de protecció de dades (GDPR), un conjunt de regles que defineixen com les empreses recopilen, gestionen i asseguren les dades dels usuaris. GDPR també defineix estàndards per a una autenticació forta dels usuaris. Les empreses que incompleixin les normes i protegeixen les dades dels seus clients seran multades greument. GDPR només s'aplica a la jurisdicció de la UE, però com que moltes empreses que no estan ubicades a la UE encara fan negocis a la regió, ara es considera un estàndard daurat per a la seguretat.
"En un moment en què cada cop són més les empreses que adopten una autenticació forta i que cada vegada són més les infraccions de dades causades per un compromís de contrasenya, cada vegada serà més difícil per a una empresa fer cas a un regulador GDPR que l'autenticació només amb contrasenya és seguretat adequada, que pot exposar la seva empresa a multes molt més cares que el preu del pas de les contrasenyes a una autentica autenticació forta ", afirma McDowell.
Altres regulacions específiques del sector són més explícites sobre l'ús de la tecnologia d'autenticació. Un exemple és la Directiva 2 de serveis de pagament (PSD2), que regula el comerç electrònic i els serveis financers en línia a Europa i fa que l’autenticació de dos factors (2FA) sigui obligatòria. PSD2 també fomenta l’ús de targetes de seguretat, dispositius mòbils i escàners biomètrics per millorar l’experiència de l’usuari sense comprometre la seguretat.
I l’Institut Nacional de Normes i Tecnologia (NIST), que defineix els criteris per a diverses indústries, estableix en les seves directrius d’identitat digital que les organitzacions haurien d’allunyar-se de les contrasenyes i de codis passals únics i adoptar una autenticació forta i moderna.
"Més concretament, NIST recomana l'autenticació en què el dispositiu modern crea i utilitza claus privades criptogràfiques com a credencials del vostre compte i les emmagatzema de manera segura al vostre dispositiu personal de la mateixa manera que la majoria dels telèfons intel·ligents ara emmagatzemen de manera segura les vostres dades d'empremtes dactilars", afirma McDowell.
Hi ha debats sobre si la regulació del govern dificultarà o fomentarà la innovació. Però, en aquest moment, podríem necessitar una empenta reguladora cap a l'adopció de mecanismes d'autenticació més segurs.
"Els governs poden tenir un paper crític en l'adopció d'estàndards oberts", afirma Ehrensvard. "Mireu, per exemple, el cinturó de seguretat. També és un estàndard obert i el seu ús estava regulat pel govern. Per això hi ha avui deu vegades més cotxes a la carretera, però un nombre total inferior d'accidents mortals. ".
Com arribar a la mateixa pàgina
La substitució àmplia de l'autenticació només amb contrasenya necessita més que la normativa. Sense un conjunt de protocols estàndard, les organitzacions i empreses lluitaran per trobar una tecnologia d’autenticació que les mantingui en línia amb les regulacions de seguretat alhora que posin a la seva disposició els usuaris a les seves aplicacions.
Aquest era el problema que FIDO havia de resoldre. L’autenticació FIDO es basa en un conjunt d’estàndards de tecnologia gratuïta i oberta, desenvolupats en col·laboració amb el World Wide Web Consortium (W3C). L’objectiu és crear una interoperabilitat entre dispositius i serveis permetent que tota la indústria electrònica de consum integri la tecnologia en els seus productes i plataformes.
FIDO substitueix les contrasenyes per una criptografia de clau pública. Això significa que en lloc de contrasenyes, els usuaris s’identifiquen amb un parell de claus públiques i privades. Qualsevol cosa xifrada amb una clau pública només es pot xifrar mitjançant la seva clau privada corresponent. Quan un usuari es registra amb un servei en línia que admet l'autenticació FIDO, el servei genera una parella de claus i emmagatzema la clau pública als seus servidors. La clau privada només s’emmagatzema al dispositiu de l’usuari. Quan inicieu la sessió, l’aplicació de client es presenta amb un repte criptogràfic generat amb la clau pública, que només es pot resoldre mitjançant la clau privada. Els usuaris han de verificar la seva identitat amb el seu dispositiu (mitjançant empremtes dactilars, cara o PIN) per desbloquejar la seva clau privada i resoldre el repte.
L’avantatge d’aquest model és que proporciona autenticació multi-factor sense necessitat d’emmagatzemar i intercanviar contrasenyes. Fins i tot si els pirates informàtics aconsegueixen incomplir els servidors del proveïdor de serveis, només podran accedir a claus públiques inútils sense que es corresponguin les claus privades corresponents emmagatzemades als dispositius dels usuaris. Si els pirates informàtics roben el dispositiu d'un usuari, haurà de deixar de banda la verificació d'identitat local per obtenir la clau privada. Des de la perspectiva de l’usuari, això obvia la necessitat de memoritzar contrasenyes llargues i complexes per a cada compte, alhora que proporciona una seguretat superior.
Però la consecució més gran de FIDO és obtenir un ampli suport de la indústria de la tecnologia. L’aliança ha reunit grans noms com Google, Microsoft, Amazon i Intel per desenvolupar estàndards fàcils d’implementar en diferents tipus de dispositius i sistemes operatius.
"Les empreses que es van unir per formar FIDO Alliance van entendre que la substitució de contrasenyes per a l'autenticació en línia només es podia fer comercialment viable a escala mitjançant una combinació d'estàndards de tecnologia gratuïta i oberta, una experiència d'usuari molt superior i un enfocament fonamentalment diferent al model de seguretat. ", Diu McDowell.
FIDO ha llançat recentment FIDO2, una extensió al seu estàndard, que afegeix suport per a l'autenticació de clau pública als navegadors i una àmplia gamma de marcs d'aplicacions. L’estàndard està compatible amb Windows 10, els serveis de Google Play a Android i els navegadors web Chrome, Firefox i Edge. WebKit, la tecnologia del navegador Safari d'Apple, també podria afegir suport per a FIDO2 aviat.
"L'estàndard FIDO2 permet substituir una feble autenticació basada en contrasenya per una forta autenticació basada en maquinari que utilitza criptografia en clau pública", diu Ehrensvard, la companyia de la qual Yubico es troba entre els membres clau de FIDO. "Aquest estàndard permet l'autenticació sense contrasenya en diverses formes, inclosa a través de USB i NFC de tocs i accessoris, que proporciona una experiència d'usuari òptima i millora dràsticament la seguretat i la productivitat."
Quan finalitzaran les contrasenyes?
Tot i que la indústria ha recorregut un llarg camí cap al desenvolupament de mètodes d'autenticació alternatius, les contrasenyes no desapareixeran durant la nit. "Hem de tenir en compte que tenim molts programes i sistemes d'informació" heretats ". Per això no sempre és possible canviar fàcilment les regles d'autenticació establertes, incloses les que es basen en contrasenya", afirma Momot, el conseller delegat de REMME.
Altres experts com Sandor Palfy, CTO de LogMeIn, creuen que les contrasenyes continuaran sent una faceta central per a la identificació dels usuaris. També creu que la indústria s’hauria de centrar en millorar l’experiència de contrasenya.
- Els millors gestors de contrasenyes per al 2019 Els millors gestors de contrasenyes per al 2019
- Què és la contrasenya? Reproduïu música i inicieu la sessió via Brainwaves Què és la contrasenya? Reprodueix música i inicia sessió mitjançant Brainwaves
- Correu electrònic de correus falsos amb contrasenyes antigues per estafar-vos de diners sense correu electrònic Missatges per correu electrònic porno falsos amb contrasenyes antigues per estafar-vos-hi sense diners
"Fins que la cobertura universal amb autenticació multi-factor (o fins i tot l'autenticació comportamental o contextual) estigui disponible, les empreses han d'invertir en l'enfortiment dels serveis protegits amb contrasenya en ús a tota l'organització", afirma Palfy.
"Recordar contrasenyes úniques i complexes per a tots els nostres treballs i comptes personals no s'alinea amb el comportament humà natural. En utilitzar eines com a gestors de contrasenyes, recordar diverses contrasenyes hauria de ser una cosa anterior, i els usuaris només haurien de recordar una contrasenya principal, ", diu Palfy, la companyia del qual és el desenvolupador del gestor de contrasenyes de LastPass.
Però per a McDowell, que està al capdavant de FIDO des del 2014, la cerca d’arrelar les contrasenyes està finalment arribant als seus últims estadis. "Avui el futur sense contrasenyes s'està convertint en una realitat, una aplicació a la vegada. D’aquí a uns anys, espero que els formularis d’entrada de contrasenyes siguin tan rars que es puguin trobar a les pàgines web com les cabines telefòniques públiques que hi ha en espais públics en aquests dies i que La mateixa raó: tenim una alternativa omnipresent i rendible que ofereix una experiència de l'usuari molt millor ", afirma.
