top of page
Buscar
  • Foto del escritorStreetflow
    • 1 jun 2020
    • 11 Min. de lectura

¿Por qué las compañías tecnológicas quieren matar las contraseñas?

Actualizado: 8 jun 2022



El problema con las contraseñas

Las contraseñas son como las cucarachas de Internet, realmente a pesar de todos nuestros mejores esfuerzos, son muy difíciles de eliminar y las empresas han estado tratando de hacerlo durante años. El empleado de oficina promedio en los Estados Unidos debe realizar un seguimiento de entre 20 y 40 combinaciones diferentes de nombre de usuario y contraseña, que son tantas contraseñas para recordar, que no es de extrañar por qué muchos de nosotros usamos las mismas una y otra vez, o tenemos una lista actualizada de contraseñas guardado en algún lugar en nuestras computadoras, teléfonos o computadoras portátiles. Las contraseñas son un riesgo de seguridad muy serio y costoso, es por eso que compañías como Microsoft, Apple y Google están tratando de reducir nuestra dependencia de ellas. Pero la pregunta es si estas compañías pueden romper nuestros malos hábitos.

Las contraseñas, por sí solas, no son tan seguras, en una entrevista de 2015 con John Oliver, Edward Snowden explica cuán fácil es descifrar una contraseña típica, “las contraseñas malas son una de las formas más fáciles de comprometer un sistema, para alguien que tiene contraseña de 8 caracteres muy común, realmente toma menos de un segundo para que una computadora revise las posibilidades y saque esa contraseña ”.


"Creo que vamos a tener un futuro sin contraseñas, ya que simplemente elimina muchos problemas, nunca se sabe cuándo el los chicos malos tienen su contraseña al final del día". Dice Kevin Mitnick, quien es bastante conocido en la comunidad de hackers. "Comencé hace muchos, muchos años como un hacker de sombrero negro. No estaba pirateando para causar daño o para ganar dinero, todo se trataba del desafío intelectual, la curiosidad y la seducción de la aventura, y luego empujé el sobre y lo empujé tanto que me convertí en el hacker más buscado del mundo. Me persiguieron las agencias federales. Y finalmente me alcanzaron... terminé cumpliendo cinco años en una prisión federal." Hoy en día, Mitnick dice que es un hacker ético, que ayuda y ayuda a las empresas a identificar sus vulnerabilidades de seguridad y a solucionarlas. "Encontrar sus nombres de usuario y contraseñas es mucho más fácil de lo que piensa. Hay un sitio que llama weleakinfo.com, es un sitio que ha agregado un montón de datos violados. Entonces, lo que sucede es que los datos, es decir, su nombre de usuario y contraseñas que se encuentran en estas infracciones de datos, se agregan porque están disponibles públicamente y hay sitios como weleakinfo, que lo hacen como un Google, donde simplemente lo ponen en una dirección de correo electrónico de usted mismo, o de un amigo, y todos los datos violados anteriormente que contenían su nombre de usuario o dirección de correo electrónico revelarán su contraseña. Todo lo que se necesita para encontrar el sitio es una búsqueda rápida en Google".

Y los usuarios pueden obtener acceso a más de 10,000 violaciones de datos por tan solo $ 2, y ni siquiera es el único sitio web que ofrece estos servicios. En pocas palabras, las contraseñas no son adecuadas para la economía de red actual. Presentan desafíos a los consumidores en el sentido de que recuerdan en parte o son demasiado fáciles de recordar, qué en algunos casos son más fáciles de imitar y robar. Para las empresas representa una gran responsabilidad, en el sentido de que la gran mayoría de las violaciones de datos son causadas por contraseñas.

O la contraseña que se le escapa a un empleado y expone una base de datos o permite que otros actores malos entren en sus sistemas.

Entonces las contraseñas presentan desafíos en todos los ámbitos. Un informe realizado por Verizon (Data breach investigation report, 2019) que analizó las violaciones de datos confirmadas en 2013, encontró que el 28% de esas violaciones involucraba el uso de credenciales robadas. En otro estudio, los investigadores encontraron que el costo promedio de una violación de datos en los EE. UU. Fue de más de 8 millones de dólares e incluso cuando no se roban las contraseñas, las empresas pueden perder mucho dinero al restablecerlas. En palabras de Merritt Maxim, VP & Research Director Forrester Research."Nuestra investigación ha demostrado que el costo promedio total de una llamada, a la mesa de ayuda para restablecer una contraseña oscila entre $ 40 o $ 50 dólares por llamada en US. En términos generales, un empleado típico se contacta con el servicio de asistencia en algún momento entre 6 y 10 veces al año sobre problemas relacionados con la contraseña. Entonces, si solo haces la simple multiplicación de 6 a 10 veces por $ 50 USD por llamada, multiplicado por el número de empleados en tu organización. Estás hablando significativamente a cientos de miles de dólares o incluso potencialmente millones de dólares al año. Y ese es realmente el costo de las operaciones de TI, eso no está necesariamente contabilizando necesariamente el costo de productividad que se pierde por la actividad, porque los usuarios tienen que esperar unos 20 minutos a 30 minutos, o incluso más para que el problema de la contraseña se resuelva satisfactoriamente.


Grandes empresas como Microsoft, Apple y Google con más de 100,000 empleados cada una, estas llamadas pueden acumularse rápidamente. Un ejecutivo de Microsoft (Alex Simons) le dijo a CNN en 2018 que la compañía gasta más de dos millones de dólares cada mes en llamadas a la mesa de ayuda, ayudando a las personas a cambiar sus contraseñas.

Con los detalles de nuestra vida personal y profesional cada vez más en el ámbito digital, es probable que esos costos aumenten.

¿Cómo llegamos aquí?

El primer uso de la contraseña se remonta a principios de la década de 1960 en el MIT, en ese momento las computadoras eran un enorme artilugio, que solo podía administrar el trabajo de una persona a la vez. Esta limitación frustró a Fernando Corbató, quien ideó el sistema de tiempo compartido de la computadora. CTSS era un sistema operativo que distribuía la potencia de procesamiento de una computadora para que varias personas pudieran usarla a la vez, esto naturalmente condujo al problema de la privacidad. Entonces Corbató creó la contraseña. Irónicamente, la primera computadora en usar contraseñas también fue la primera en ser pirateada. Uno de los investigadores de esos laboratorios descubrió que necesitaba más tiempo para completar su trabajo, que las horas semanales que se le asignaban. así que imprimió todas las contraseñas almacenadas en el sistema y las usó para iniciar sesión como sus colegas.

Las reglas convencionales de creación de contraseñas adoptadas por empresas, agencias federales y universidades se atribuyeron a un documento publicado por el Instituto Nacional de Estándares y Tecnología (USA) en 2004. El documento sugería que el usuario debería tener un mínimo de contraseñas de ocho caracteres, y que esas contraseñas deberían incluir al menos una letra mayúscula, una letra minúscula, un número y un carácter especial, y cambiarlos regularmente. Pero en 2017 NIST reescribió las reglas de contraseña. Esta vez, la agencia sugirió usar frases largas y fáciles de recordar en lugar de caracteres locos y solo cambiar su contraseña si podría haber sido pirateada.

Tipos de autenticación


Las contraseñas han recorrido un largo camino desde la década de 1960, con la innovación, como los lectores de huellas dactilares y el uso de la cara en los teléfonos inteligentes, la verificación de su identidad ahora a menudo va más allá de simplemente ingresar una contraseña, esto viene en forma de dos factores en la autenticación de dos pasos (2FA). Hay 3 formas de autenticación:

  • Uno es lo que sabes, como una contraseña o un pin.

  • Lo segundo es lo que tienes, así que la posesión de un dispositivo en tus manos.

  • Y un tercer medio de autenticación es quién eres, como la biometría.

La contraseña por sí sola es la forma de autenticación de mayor riesgo y eso lleva a la suplantación de identidad (phishing) y a la violación de datos, y a todas las cosas nefastas que vemos hoy en la web. Cualquier forma de autenticación de dos factores es mejor que las contraseñas solas.

Sin embargo, lo que quiero señalar es que no todas las autenticaciones de dos factores se crean de la misma manera. Cosas como recibir mensajes SMS (mensajes de texto con un código PIN) no es una autentificación de dos factores.También puede ser falsificado y no es un medio infalible de autenticación de segundo factor. incluso NIST restringió el uso de contraseñas de un solo uso, que se envían por SMS como medio de autenticación de dos factores. Para que algo sea de dos factores tiene que implicar dos pasos. Los elementos de autenticación deben provenir de dos categorías separadas. Un ejemplo de autenticación de dos factores es retirar dinero de un cajero automático, primero inserta su tarjeta bancaria, algo que usted posee y luego se le pidió un pin, algo que usted sabe.

Los biométricos son la forma más nueva de autenticación y han aumentado su popularidad gracias a los teléfonos inteligentes que incluyen lectores de huellas digitales y cámaras de escaneo facial. mientras tanto, los asistentes digitales como Siri Alexa y el asistente de Google tienen tecnologías avanzadas de reconocimiento de voz. De hecho, varios bancos, incluido Chase y Barclays, ahora permiten a sus clientes verificar su identidad utilizando la biometría de voz. Cuando los clientes que llaman, su voz coincide automáticamente con una impresión de voz previamente grabada, que se compone de más de un centenar de características, como el acento de tono y la forma de su boca.

La Alianza FIDO

Una organización que ha estado a la vanguardia de llevar los estándares de autenticación de dos factores a las masas, es la Fido Alliance, que está por la identidad rápida en línea, es un consorcio de más de 250 compañías que trabajan juntas para reducir la dependencia de la industria en las contraseñas, al estandarizar la autenticación de dos factores (A2F). El año pasado, hemos visto a FIDO convertirse en la parte central del sistema operativo Android y Windows, lo que significa que cualquier teléfono Android 7 o posterior para cualquier máquina con Windows 10, puede aprovechar la biometría incorporada real para ese dispositivo. Entonces se puede usar, el lector de huellas digitales, un escáner facial, sea lo que sea para iniciar sesión en lugar de usar contraseñas.


Otras compañías que trabajan con la alianza FIDO incluyen eBay, Facebook, Twitter PayPal y Bank of America, incluso el gobierno de los Estados Unidos ha adoptado el estándar. La gran ventaja de Fidos sobre otros estándares, se reduce a dónde almacena la información personal de los usuarios. El problema central con las contraseñas es que residen en un servidor. El problema es que cuando se encuentra en un servidor, pueden ser robadas o pirateadas. Además, alguien puede hacerse pasar por usted con bastante facilidad, ya sea mediante el phishing de sus credenciales o comprando sus credenciales de la web oscura (Dark net) y luego tratando de ingresarlas en la cuenta.

Todo lo que FIDO hace es local en el dispositivo, que hace un par de cosas. Uno, es más fácil, pero dos, pero quizás lo más importante es que protege su privacidad.

Por lo tanto, siempre puede cambiar su contraseña si está pirateada, pero realmente no puede cambiar su rostro. No puede recuperar su huella digital. Por lo tanto, es muy importante que las empresas que utilizan la biometría utilicen la biometría de coincidencia en forma local, lo que significa coincidencia en el dispositivo que es compatible con FIDO, para proteger la privacidad de los usuarios y mejorar la experiencia del usuario.

Un futuro sin contraseña

Microsoft registra 6.5 billones de incidentes de piratería por año, por eso el 90% de sus empleados ahora pueden iniciar sesión en la red corporativa sin una contraseña.

“Estamos en una misión para tener menos contraseñas. Construimos tecnología sin contraseña en el sistema operativo. Y les decimos a los clientes, por supuesto, que es mucho más seguro que las contraseñas reales, porque alrededor del 70% de los ataques de phishing en la actualidad, todavía son causados ​​por contraseñas robadas en el pasado. Por lo que lo que recomendamos, es que los clientes usen datos biométricos. En Microsoft, utilizamos Windows Hello for business. Miro mi computadora para iniciar sesión en la mañana, así es como me autentico. Si estoy en mi teléfono, estoy usando mi huella digital. Ya no usamos nuestras contraseñas porque son los usuarios y la contraseña es el enlace más débil en su sistema de seguridad". Dice Ann Johnson, Corporate Vice President Cybersecurity Solutions Group Microsoft.


Microsoft presentó Windows Hello a los clientes en 2015, con sus dispositivos con Windows 10. Windows Hello permitió a los usuarios deshacerse de la contraseña e iniciar sesión en sus dispositivos con solo su huella dactilar o pin. Al igual que FIDO, Microsoft ha dicho que su usuario almacena los datos biométricos en el dispositivo, en lugar de hacerlo en una nube. En 2018, Microsoft anunció que admitiría iniciar sesión en Windows 10 con dispositivos compatibles con fido2, como las llaves de hardware fabricadas por Yubico.

El autenticador de Microsoft es una aplicación que permite a los usuarios aprovechar la autenticación de dos factores en cualquier dispositivo, no solo en aquellos que ejecutan Windows 10, dijo en un tweet Alex Simmons, vicepresidente de la división de identidad de Microsoft. La compañía tiene más de 80 millones de usuarios únicos mensuales que inician sesión con el método sin contraseña.



Apple ha estado alentando el uso de la autenticación biométrica desde que salió con Touch ID en el iPhone 5S en 2013. La compañía llamó a Touch ID el estándar de oro para la protección biométrica de los dispositivos de consumo hasta que introdujo la identificación facial en el iPhone 10 en 2017.

En 2016, Apple también introdujo el desbloqueo automático, característica para Mac Os. En sus directrices para desarrolladores de aplicaciones, Apple enfatiza que las aplicaciones deberían admitir la autenticación biométrica siempre que sea posible, y que esa aplicación sólo debería solicitar un nombre de usuario y contraseña como alternativa si falla el primer método.


Google también ha estado trabajando para hacer que las contraseñas sean cosa del pasado, la compañía ha exigido a sus empleados que usen claves de seguridad física desde principios de 2017 y ha visto una gran reducción en el fishing.

En agosto de 2018, la compañía lanzó a los consumidores de Titan. Titan es una clave física que permite a los usuarios aprovechar la autenticación de dos factores en sus computadoras o teléfonos inteligentes. En 2019, Google anunció que los teléfonos con Android 7 vendrían con una clave de seguridad incorporada que usa Bluetooth, unos meses más tarde Google extendió esa función a dispositivos iOS, lo que significa que los usuarios de iPhone y iPad, ahora pueden usar sus teléfonos inteligentes secundarios de Android como soporte seguridad clave cada vez que inicie sesión en su cuenta de Google, en un dispositivo iOS llame a dispositivos con Microsoft Windows 10 en Google. Apple ha sido de las últimas en incorporar la tecnología Fido. sus últimas versiones de su sistema operativo son compatibles con Fido. Si accede a un sitio web que admite FIDO en un dispositivo Apple, también podrá aprovechar la autenticación Fido.

El Departamento de Justicia de estados unidos, también ha estado alejado de la autenticación de contraseña. La Agencia adoptó un método de inicio de sesión único en 2017.


Desafíos

En palabras de Andrew Shikiar, Executive Director & CMO FIDO Alliance: "Una de las razones por las cuales las contraseñas persisten es que son universales, que pueden ser utilizadas por cualquier persona, no hay limitaciones, no hay hardware o problemas especiales, no es necesario tener un cierto tipo de teléfono o cierto tipo de computadora portátil. Cualquiera puede usar contraseñas. Hay algunos desafíos clave para ir más allá de depender de las contraseñas. Uno de ellos es técnico, y eso es lo que FIDO ha estado tratando de abordar, y ahora hemos creado el estándar técnico que son estándares web para la autenticación que no depende de las contraseñas. Otro desafío es el comportamiento, hemos sido entrenados con esta forma arriesgada de autenticar el uso y las contraseñas. Tendremos que estar sin entrenamiento para usar mecanismos más simples, pero nuevos para iniciar sesión. Así que creo que habrá algunos cambios de comportamiento que deben llevarse a cabo, ya sabes. La buena noticia es que estos cambios son para mejor y para los más simples. Y, por lo tanto, creemos que las personas adoptarán estos cambios al mismo tiempo que las nuevas tecnologías lleguen al mercado, para permitirnos colectivamente en general, ir más allá de las contraseñas".

Los expertos dicen que deshacerse de las contraseñas será un largo viaje, especialmente cuando se trata de hacer que las personas abandonen sus malos hábitos. Los enfoques del consumidor serán muy opcionales. En otras palabras, si los usuarios realmente desean una autenticación sólida, las empresas podrán proporcionarlos. Pero el hecho de que esté disponible no significa que cada cliente vaya a hacerlo, es posible que no necesite comenzar a recopilar información sobre los usuarios como un número de teléfono móvil, que se necesita usar para comunicarse con ellos. Y tal vez los usuarios no quieren proporcionar esa información o son reacios a hacerlo. Por el lado del consumidor, creo que la contraseña será más lenta de eliminar, lo que también significa que el riesgo de violaciones de los sitios de los consumidores persistirá en el futuro previsible.

© 2020 por Recdata Spa

11 visualizaciones0 comentarios

Entradas Recientes

Ver todo
bottom of page