Ante los avances sin contraseña, ¿la contraseña tradicional se convertirá en un dinosaurio?
Hoy es el Día Mundial de la Contraseña, y en una entrevista reciente con TechRepublic (sitio en inglés), el Director de Operaciones del proveedor de administración de contraseñas 1Password estimó que actualmente tenemos alrededor de 100 mil millones de contraseñas que protegen nuestras puertas de enlace digitales.
Esas son muchas contraseñas pirateables. Y sí, esa es la horrible verdad sobre las contraseñas: TODAS son pirateables. Si puedes escribirlo con un teclado estándar, entonces cualquier otra persona también puede hacerlo. Tendrían que adivinarlo primero, por supuesto, pero eso se está volviendo cada vez más fácil con la inteligencia artificial, que puede chocar contra una puerta digital, probar miles de contraseñas diferentes cada minuto, todo sin que detecte nada.
En la mayoría de los casos, a los descifradores de contraseñas les gusta implementar dos métodos simples: credenciales filtradas y fuerza bruta. El uso de credenciales filtradas es obvio, ya que los piratas informáticos simplemente agregan los cientos de millones de nombres de usuario y contraseñas filtrados en violaciones de datos a lo largo de los años y los aplican como llaves maestras a puertas cerradas. Estos piratas informáticos saben que la mayoría de la población reutiliza las contraseñas en diferentes servicios, y su objetivo es aprovecharlas.
Los ataques de fuerza bruta son suposiciones educadas de fuego rápido. Un programa de descifrado de contraseñas crea combinaciones alfanuméricas hasta encontrar una que se ajuste, utilizando el Teorema del mono infinito, que propone que si tienes un mono pulsando al azar las teclas de la máquina de escribir durante una cantidad de tiempo infinita, eventualmente ella logrará los trabajos de William Shakespeare. O tu contraseña.
Lo que se ha convertido en un estándar de la industria para nosotros es una antigua tradición que se remonta hasta el comienzo de la civilización. Desde los primeros enunciados de "sésamo abierto" hace siglos, la gente ha estado usando palabras y códigos secretos para demostrar su identidad y ganar admisión. Pero una nueva ola de tecnología está preparada para reducir el riesgo de seguridad de las contraseñas pirateables al eliminarlas por completo. Algunas organizaciones ya están utilizando estas medidas, pero ninguna ha sido ampliamente adoptada todavía.
Gartner (sitio en inglés) predice que para 2022, el 60% de las empresas más grandes del mundo y el 90% de las medianas empresas implementarán métodos de seguridad sin contraseña en más del 50% de los casos de uso. Estos son algunos de los principales contendientes en autenticación sin contraseña.
- Biometría: la mayoría de las personas están familiarizadas con este concepto, gracias a Apple Touch ID. La autenticación biométrica utiliza características de identificación únicas para el cuerpo, como la cara o huella digital. En este modelo, te conviertes en tu propia contraseña. Sin embargo, podría surgir un problema si otra persona replicara tus datos biométricos. A diferencia de las contraseñas, no hay forma de regresar y "restablecer" tu huella digital.
- Inicio de sesión único (SSO): esta práctica todavía utiliza una contraseña, pero solo una. Es un protocolo de autenticación que permite a los usuarios ingresar un nombre de usuario y una contraseña que luego abre múltiples aplicaciones y programas. Si bien técnicamente todavía se podría ser atacado por fuerza bruta, reduce el área de superficie de ataque al tener solo un punto de entrada.
- Autenticación basada en el riesgo: en este caso, AI mide el riesgo de la transacción mediante el análisis del solicitante y lo que solicita el solicitante. Si se considera de bajo riesgo, la IA permite que la transacción continúe. Si se considera de riesgo medio, el sistema solicitará otro factor de identificación. Y si se considera de alto riesgo, el sistema bloqueará la transacción.
- Huella digital del dispositivo: aquí el programa de seguridad toma una "huella digital" del dispositivo, registrando su marca, memoria, ubicación y dirección IP. Posteriormente, cuando ese dispositivo inicia sesión, el programa de seguridad lo reconoce y luego utiliza un análisis basado en el riesgo para proceder con la transacción. La empresa Beyond Identity (sitio en inglés) está profundizando en esta idea, utilizando un sistema similar a las certificaciones de sitios web, donde las URL se comunican y se "aprueban" entre sí mediante el uso de certificados. Beyond Identity incluso registró el término "Cadena de confianza", que utiliza para describir su red imaginada de dispositivos reconocidos.
Pero el hecho es que aún no vivimos en un mundo sin contraseña, por lo que depende de cada uno de nosotros individualmente proteger nuestros datos y dispositivos con la mejor seguridad posible. Por lo tanto, utiliza el hecho de que hoy es el Día Mundial de la Contraseña para evaluar las contraseñas que estás utilizando actualmente y asegúrate de que te estén protegiendo.
Como siempre, recuerda estos consejos de contraseña.
- Nunca reutilices la misma contraseña para más de una cuenta. Ese es el mayor riesgo de seguridad de contraseñas n. ° 1.
- Habilita la autenticación multifactor donde esté disponible. Los autenticadores abarcan tres cosas: algo que sabes (como una contraseña), algo que tienes (como un llavero) y algo que eres (como una huella digital). El uso de al menos dos de estos para cada una de tus cuentas reducirá drásticamente el riesgo.
- Sigue las mejores prácticas para el uso de contraseñas entendiendo las amenazas y sabiendo cómo crear contraseñas seguras e indescifrables.
Hasta el próximo capítulo digital, cuando la autenticación biométrica podría darnos la tecnología para usar nuestros propios latidos o ondas cerebrales para demostrar nuestra identidad, continuaremos usando estas teclas del teclado. Sé creativo e inteligente. No hay "qwerty". Que todos tengan un Día Mundial de la Contraseña seguro.