Con el crecimiento de ataques sofisticados contra software y sistemas de infraestructura críticos, la autenticación multifactor (MFA) ha surgido como una capa crítica de defensa contra el acceso no autorizado. Un número cada vez mayor de aplicaciones y plataformas tecnológicas orientadas a empresas y desarrolladores, desde GitHub hasta Salesforce y Amazon Web Services, están haciendo que MFA sea obligatorio para los usuarios.
Dicho esto, todos estamos acostumbrados a las contraseñas y a muchas personas les gusta el status quo. No es de extrañar que la introducción de MFA haya añadido fricción al proceso de inicio de sesión. Esto puede afectar negativamente a la experiencia del usuario.
Actualmente se está implementando más ampliamente una tecnología más nueva que puede proporcionar beneficios de seguridad aún mayores que MFA. Esa tecnología se llama claves de acceso. Basadas en estándares industriales ampliamente aceptados, las claves de acceso ofrecen la tentadora promesa de eliminar la necesidad de contraseñas y los riesgos que crean las contraseñas sin agregar fricciones a la experiencia del usuario como MFA.
En otras palabras, con las claves de acceso se puede disfrutar de una gran seguridad y una excelente experiencia de usuario, una combinación que hasta ahora parecía casi imposible de lograr.
Cómo las claves de acceso eliminan las contraseñas
Los orígenes de las claves de acceso se remontan al desarrollo de la autenticación web (WebAuthn), un estándar web creado por el World Wide Web Consortium (W3C) y la Alianza FIDO. WebAuthn es un componente central del proyecto FIDO2, que se lanzó para crear un estándar de autenticación abierto más seguro y conveniente. Estos estándares sentaron las bases para el desarrollo de claves de acceso al definir un marco para criptografía de clave pública como base para la autenticación.
Si bien lograr que todos los principales actores de la industria se pusieran de acuerdo sobre los detalles precisos de las claves de acceso llevó años, hoy Apple, Google, Microsoft y la mayoría de las otras grandes empresas de tecnología admiten claves de acceso o tienen planes de hacerlo durante el próximo año. Todos los principales navegadores admiten claves de acceso y un número creciente de aplicaciones empresariales y de consumo también las admiten.
Las claves de acceso utilizan criptografía de clave pública. Las contraseñas tradicionales se basan en una cadena secreta de caracteres conocida tanto por el usuario como por el servidor. En los contratos, las claves de acceso utilizan un par de claves criptográficas: una clave privada y una clave pública. La clave privada se almacena de forma segura en el dispositivo del usuario o en su navegador y nunca se comparte. La clave pública se almacena en el servidor de un servicio o sistema (por ejemplo, el módulo de autenticación de una aplicación SaaS).
Cuando un usuario intenta iniciar sesión, el servidor envía un desafío al dispositivo o navegador. El dispositivo o navegador del usuario firma el desafío con una clave privada y lo envía de regreso al servidor, que verifica el desafío con la clave pública. Una clave de acceso puede requerir un desafío biométrico, o simplemente puede funcionar desde un dispositivo o navegador sin requerir ninguna acción por parte del usuario. Cuando las claves de acceso se implementan bien, se pueden eliminar tanto las contraseñas como la MFA, y los inicios de sesión se vuelven completamente sencillos.
Ventajas de las claves de acceso frente a las contraseñas
Obviamente, ya nadie tiene que recordar, administrar y rotar contraseñas, lo cual es un gran beneficio en sí mismo. Pero las claves de acceso tienen otros beneficios críticos:
- Las claves de acceso son más difíciles de robar. Debido a que la clave privada nunca sale del dispositivo del usuario, es mucho más difícil para los piratas informáticos robar credenciales en comparación con las contraseñas tradicionales.
- Las claves de acceso rotan automáticamente. Debido a que es un algoritmo criptográfico, una clave de acceso genera una respuesta diferente a cada intento de inicio de sesión. Esto evita ataques de repetición y simplifica seguridad de confianza cero haciendo que la reautenticación y la autenticación continua sean fluidas e invisibles.
- Las claves de acceso evitan el phishing y el compromiso del correo electrónico empresarial. Las respuestas de clave de acceso generadas dinámicamente también evitan ataques de phishing y de compromiso del correo electrónico empresarial (BEC), que dependen de contraseñas estáticas que coinciden con nombres de cuenta o de usuario para obtener acceso.
- Las claves de acceso eliminan las infracciones de contraseñas. Como no hay contraseñas almacenadas en el servidor, el riesgo de violaciones masivas de contraseñas prácticamente se elimina. Esto reduce en gran medida el riesgo de delitos cibernéticos relacionados con contraseñas en general y también reduce la carga operativa de los ya sobrecargados equipos de seguridad de TI.
- Las claves de acceso se integran fácilmente con los sólidos mecanismos de seguridad existentes. Las organizaciones preocupadas por la seguridad adoptaron hace mucho tiempo prácticas de seguridad estrictas, como códigos de autenticación dinámicos generados en aplicaciones de autenticación o tokens de hardware. Las claves de acceso se integran bien con estos sistemas y se pueden utilizar junto con aplicaciones de autenticación y claves de hardware, que pueden alojar claves de acceso.
Las claves de acceso aún enfrentan múltiples desafíos
A pesar de las numerosas ventajas, las claves de acceso enfrentan una serie de desafíos. Para empezar, los usuarios se sienten cómodos con las contraseñas como algo que pueden ver y cambiar fácilmente. Para muchos, la capacidad de memorizar y reutilizar contraseñas es una característica, no un error. Según nuestra experiencia, los equipos de TI empresariales solicitan con frecuencia desactivar las claves de acceso y volver a la MFA estándar después de enfrentar el rechazo de los usuarios. La educación y la comodidad del usuario siguen siendo cuestiones clave.
Pero las empresas tienen el poder de imponer comportamientos. Para los consumidores, adoptar claves de acceso podría ser una tarea más difícil. Incluso poner en funcionamiento las claves de acceso en dispositivos Android y iPhone y en diferentes navegadores sigue siendo complicado. A las complicaciones se suma la posibilidad de confusión con las claves de acceso, ya que los usuarios de billeteras de contraseñas almacenan algunas claves de acceso en sus billeteras y otras en llaveros en el dispositivo.
Los usuarios también desconfían de las complicaciones resultantes de los mecanismos de restablecimiento de la clave de acceso en caso de que pierdan el control de su dispositivo. Y a otros usuarios no les gusta el uso de datos biométricos, que pueden agregar una capa adicional de seguridad a las claves de acceso y también una forma conveniente de autenticar a los usuarios para restablecerlas.
Las claves de acceso son el futuro
Si bien estos desafíos son reales, estamos viendo una fuerte demanda de claves de acceso a medida que las organizaciones de TI buscan brindar una mejor experiencia de usuario sin comprometer la seguridad. Cuando las claves de acceso funcionan correctamente, los usuarios dejan de pensar en el inicio de sesión como una barrera y una de las mayores pérdidas de tiempo para los equipos de TI corporativos desaparece, lo que libera a los equipos con poco personal para centrarse en cuestiones más complicadas. Los usuarios también ahorran tiempo y molestias en el restablecimiento de contraseñas y en la confusa y dolorosa gestión y rotación de contraseñas (que son complementos esenciales de MFA bajo el antiguo régimen).
El resultado final: a medida que las organizaciones buscan el equilibrio entre una seguridad sólida y una experiencia de usuario positiva, las claves de acceso están emergiendo como una solución poderosa. Al adoptar claves de acceso, las organizaciones pueden fortalecer su postura de seguridad y al mismo tiempo mejorar la experiencia de inicio de sesión de sus usuarios.
Aviad Mizrachi es el CTO y cofundador de Frontegg.
—
New Tech Forum ofrece un lugar para que los líderes tecnológicos, incluidos proveedores y otros contribuyentes externos, exploren y debatan la tecnología empresarial emergente con una profundidad y amplitud sin precedentes. La selección es subjetiva y se basa en nuestra elección de las tecnologías que creemos que son importantes y de mayor interés para los lectores de InfoWorld. InfoWorld no acepta garantías de marketing para su publicación y se reserva el derecho de editar todo el contenido aportado. Envia todo consultas a doug_dineley@foundryco.com.
Copyright © 2024 IDG Communications, Inc.