Controlar el acceso es la base de toda la seguridad. Se debe permitir el ingreso de las personas correctas y evitar el ingreso de las personas equivocadas. Esto se hace confirmando, o autenticando, la identidad de la persona que busca acceso, y luego verificando que la persona esté autorizada para ingresar.

La autenticación normalmente se logra mediante la presentación de una identificación de usuario (generalmente la dirección de correo electrónico del usuario) para identificar a la persona y una contraseña secreta conocida solo por esa persona para confirmar la identidad.

Pero hay grandes problemas con este proceso. Fundamentalmente, no autentica a la persona; Si un delincuente adquiere y utiliza la identificación de usuario y la contraseña de la persona, se autoriza automáticamente al delincuente a obtener acceso. Entonces, estrictamente hablando, una contraseña no autentica al usuario, simplemente autoriza un dispositivo independientemente de quién lo esté usando.

Esta debilidad básica en la autenticación basada en contraseña se ha convertido en un desastre continuo causado por el gran volumen de identificaciones y contraseñas robadas disponibles para los delincuentes. Ahora está en marcha una carrera para encontrar o desarrollar una forma más segura y eficiente de autenticación de usuario. Analizaremos algunas de las opciones, pero comenzaremos con un examen de cómo y por qué las contraseñas nos han fallado.

Contraseñas

Muy, muy débiles.

Un análisis de LastPass, publicado en noviembre de 2017, “encontró que el empleado promedio que usa LastPass está administrando 191 contraseñas. No 10, no 50, un promedio de 191. " No es realista esperar que los usuarios recuerden tantas contraseñas o mantengan seguros sus recordatorios; entonces, usan y reutilizan contraseñas simples. Las contraseñas simples que se recuerdan más fácilmente son las más comunes y las más pirateadas. Compare la lista de Avast de las 10 peores contraseñas con la lista de NCSC de las contraseñas más utilizadas entre las víctimas de violaciones de datos en 2019, así como una lista de las contraseñas más utilizadas en 2019 de SplashData.

Avast ofrece consejos sobre cómo crear una contraseña (sitio en inglés) segura y también proporciona un generador aleatorio de contraseñas seguras (ejemplo: ScuXaiZpdJkjFAb). Incluso si no usa el generador, vale la pena verificarlo solo para ver cómo se ve una contraseña segura, pero ahora imagine tener que recordar más de 100 de estas.

Reutilizando contraseñas

Los usuarios usan con frecuencia la misma contraseña en varias cuentas en línea diferentes para reducir la cantidad que necesitan recordar. Esto se conoce como reutilización de contraseña. Esto significa que si los piratas informáticos obtienen una contraseña, tienen acceso a todas las otras cuentas que usan la misma contraseña. Una encuesta de 2018 realizada por LastPass encontró que el 59% de los usuarios admiten reutilizar contraseñas por temor a olvidarlas.

Robo de contraseñas y uso por delincuentes

Una contraseña es solo un problema si se usa para autenticar a una persona no autorizada; es decir, un criminal. Esto plantea la pregunta, ¿cómo obtienen los delincuentes las contraseñas? y la respuesta es "muy fácilmente". Cada semana se roban millones de proveedores y servicios en línea, y ahora hay miles de millones de contraseñas a la venta o gratuitas en la web oscura. ( Clic aquí para ver si se sabe que el suyo está entre ellos).

Estas contraseñas deben, y generalmente son almacenadas por los proveedores en una forma de encriptación conocida como 'hashing'. El hash produce una salida única ilegible de longitud estándar que no se puede revertir al original. Sin embargo, los delincuentes tienen vastas tablas de valores hash precalculados y las fuentes (contraseñas) que los producen. Al comparar el valor hash robado con estas tablas, pueden encontrar inmediatamente la contraseña de origen; y, por supuesto, las contraseñas comunes y simples se verifican primero. ¡Agrietado! A la melodía de cientos por segundo.

El segundo método común para recopilar contraseñas es a través del phishing . Aquí el usuario está diseñado socialmente para entregar nombres de usuario y contraseñas (o detalles bancarios completos) al delincuente a través de un sitio web falso. No es necesario descifrar estas contraseñas porque el usuario las entrega sin cifrar.

De cualquier manera, el criminal tiene acceso a grandes cantidades de combinaciones de nombre de usuario / contraseña. En muchos casos, con suerte, el usuario ha sido informado de que la contraseña fue robada de XYZ.com y ha cambiado o se ha visto obligada a cambiarla en la cuenta XYZ. Sin embargo, numerosos estudios muestran que los usuarios a menudo no cambian esa contraseña para cualquier otra cuenta dónde se haya reutilizado.

Aquí los delincuentes utilizarán un proceso conocido como "relleno de credenciales". Irán a un sitio web de destino y usarán scripts automáticos para probar el proceso de inicio de sesión con su almacén de ID / contraseñas. Lo hacen durante un período de tiempo con diversos grados de sofisticación para evitar ser detectados. La mayoría de los intentos fallarán, y el guión pasa al siguiente y repite el proceso hasta que uno tenga éxito. Tienen éxito con la frecuencia suficiente para que sea un problema grave.

Arreglando la seguridad de autenticación

Quemaduras por fricción

Lo primero que hay que entender en cualquier intento de aumentar la seguridad de autenticación es el concepto de "fricción del usuario". La 'fricción' se usa para indicar el grado de esfuerzo requerido por el usuario. En general, aumentar la seguridad requiere aumentar la fricción. Pero a los usuarios no les gusta la fricción de autenticación. Las contraseñas cortas, simples y reutilizadas tienen poca fricción; las contraseñas únicas, largas y complicadas tienen mucha fricción. Es por eso que los usuarios adoptan repetidamente la primera. 

Si un proveedor en línea tiene procesos de inicio de sesión complejos, ofrecerá alta seguridad y alta fricción. El usuario probablemente pasará a un sitio web diferente con poca fricción, independientemente de la seguridad reducida. La anomalía, entonces, es que la seguridad generalmente se obtiene a costa de los clientes; y el santo grial para todos los nuevos procesos de autenticación es la combinación de alta seguridad con baja fricción. En un mundo en línea, las empresas que triunfan aquí prosperarán; los que no lo harán fracasarán.

Inicio de sesión único

El inicio de sesión único (SSO) es un intento de reducir la fricción del usuario al reducir el número de contraseñas requeridas a una sola: la contraseña requerida para iniciar sesión en el servicio SSO. Después de iniciar sesión en el servicio, es responsabilidad del servicio SSO iniciar sesión en cualquier otro sitio web o servicio. Aunque esto reduce la fricción, es cuestionable en qué medida aumenta la seguridad. El usuario aún requiere una contraseña para acceder al servicio. El servicio en sí contiene una gran cantidad de datos del usuario, y se convierte en un único punto de falla y un objetivo para los piratas informáticos.

Hay dos tipos básicos de SSO: servicios comerciales y ofertas gratuitas. Las empresas utilizan con frecuencia los servicios comerciales: la reducción de la fricción del usuario aumenta la productividad de los empleados. Las ofertas gratuitas son más utilizadas por los consumidores sin darse cuenta siempre de que es una forma de SSO. Los botones 'iniciar sesión con Google' (o Facebook o Twitter) que se encuentran y utilizan con tanta frecuencia como conveniencia son los servicios de SSO. La fricción se reduce; la seguridad tradicional es tan fuerte como la de Google o Facebook; Pero el costo es la privacidad. Cuando 'inicia sesión en Facebook', en realidad le está diciendo a Facebook (una empresa cuyo modelo de negocio se basa en la venta de información personal) a dónde va y, potencialmente, qué está haciendo en Internet.

Aumentar el número de factores de autenticación.

Una contraseña es una forma de autenticación de factor único. Los "factores" son diferentes tipos de secretos que deben presentarse antes de aceptar la autenticación. Una contraseña pertenece al factor conocido como 'algo que sabes'. Otros factores pueden ser "algo que posee" (como una tarjeta de crédito o de identificación); 'algo que eres' (como una o más características biométricas únicas, como una huella digital); y 'algo que haces' (la biometría del comportamiento que incluye identificadores como ubicación geográfica, patrones de escritura, tiempo de acceso y muchos más).

Cada vez que se incrementa el requisito de autenticación con factores adicionales requeridos (es decir, pasar de la autenticación de un solo factor a la de múltiples factores, MFA), la seguridad de la autenticación se mejora dramáticamente. Es por eso que los expertos en ciberseguridad siempre elogian y recomiendan MFA. Desafortunadamente, a medida que aumenta la seguridad, también aumenta la fricción del usuario, y es por eso que los usuarios son reacios a adoptar MFA.

El problema de autenticación sigue siendo el mismo: ¿cómo puede aumentar la seguridad de las contraseñas de un solo factor sin aumentar (e idealmente, reducir) la fricción del usuario?

Fichas de una sola vez

Los tokens únicos, tan apreciados por las instituciones financieras y casi universalmente odiados por los usuarios, son la forma más común y básica de AMF. Estrictamente hablando, son solo dos del mismo factor: algo que sabes. En su forma más básica, cuando el usuario inicia sesión en un sitio web, la acción activa una segunda forma de contraseña adicional de un solo uso (el token) que se enviará al teléfono móvil del usuario. Esto también debe ingresarse en el sitio web antes de que se otorgue el acceso.

Considera el proceso. El usuario intenta acceder al sitio web. Luego debe esperar a que el sitio web genere la contraseña de un solo uso y la envíe al teléfono móvil del usuario.

(Esto plantea la pregunta, ¿qué pasa si el usuario no tiene un teléfono móvil, si está roto, perdido o robado, o si no hay señal wifi en esta ubicación, o si está bajo el control de un pirata informático que ha instalado spyware y puede robar la ficha?)

El usuario debe esperar la llamada telefónica, leer el token e ingresarlo físicamente en la página web de inicio de sesión sin ningún error. No es inusual que un solo error o un retraso demasiado largo requieran que se repita todo el proceso. Comprensiblemente, dada la opción, la mayoría de los usuarios preferirían evitar este tipo de AMF, a pesar de la probable mayor seguridad, simplemente usando un servicio alternativo que no lo requiere.

Y tenga en cuenta también que este proceso no resuelve el problema fundamental: es el dispositivo que se autoriza en lugar de la persona que se autentica.

Biometría física

La biometría física, el factor 'algo que eres', se ha promocionado durante mucho tiempo como una alternativa segura de baja fricción a las contraseñas. Ciertamente resuelven el problema fundamental, ya que se trata de la persona identificada y del dispositivo autorizado. Pero nunca han cumplido su promesa fuera de la autenticación de usuarios de teléfonos móviles. 

La biometría es muy apreciada por los gobiernos y los organismos encargados de hacer cumplir la ley, que los utilizan para autenticar (o, lo que es más probable, reconocer) a las personas mediante huellas dactilares o escaneos faciales. Esto introduce una de las mayores preocupaciones sobre el uso de la biometría: la pérdida de la privacidad del usuario. 

Cuando las agencias usan el reconocimiento biométrico, comparan la muestra escaneada con bases de datos masivas de escaneos de control. Solo puede funcionar como una forma de reconocimiento / autenticación si la imagen escaneada se incluye en las bases de datos. En términos legales, esto significa que los escaneos 'inocentes' se incluyen con escaneos criminales conocidos. Invierte el principio de larga data de que las personas son inocentes hasta que se pruebe su culpabilidad, porque supone que las personas son culpables hasta que la base de datos biométricos demuestre su inocencia. 

Esto ha llevado a una considerable desconfianza de los usuarios de la biometría, donde la preocupación se ha reducido al uso comercial de la biometría.

También se debe afirmar que cuando se requieren grandes bases de datos centrales de controles biométricos, estas bases de datos son un objetivo principal para los piratas informáticos. Sin embargo, el problema para los usuarios es que si se roba un biométrico, no se puede cambiar tan fácilmente como se puede cambiar una contraseña robada.

Hay otros problemas La biometría personal puede cambiar con el tiempo. Las huellas digitales, por ejemplo, pueden ser desgastadas por el trabajo manual, e incluso los jinetes de teclado, como los escritores, pueden tener huellas digitales pobres o irreconocibles. Además de esto, no existe una forma de biometría que no haya sido falsificada con éxito por investigadores de seguridad y / o delincuentes.

La única área donde la biometría ha sido un éxito razonable es autenticar al propietario de un teléfono móvil antes de permitir el acceso. La razón principal de esto es que el control biométrico nunca abandona el teléfono. No hay una base de datos central de escaneos de control, y no hay problema de privacidad.

La biometría no se ha convertido en el éxito esperado. En teoría, deberían aumentar la seguridad y disminuir la fricción del usuario; pero en la práctica rara vez pueden hacer esto.

Biometría conductual

La biometría conductual utiliza el factor en función de lo que haces en lugar de lo que eres o lo que sabes. En general, aún requiere el uso de una contraseña para el acceso inicial. A partir de entonces, sin embargo, el sistema monitorea cómo el usuario interactúa con la computadora y cómo la computadora interactúa con el sitio web. Los ejemplos incluyen la geolocalización de la dirección IP del usuario. Si, por ejemplo, un usuario inicia sesión en California, y luego diez minutos después inicia sesión desde China o Sudamérica, el sistema sabe que hay algo mal.

Otros datos biométricos del comportamiento pueden incluir la hora del día (si el usuario normalmente inicia sesión durante la tarde y de repente inicia sesión en las primeras horas de la mañana, podría ser una indicación de que algo está mal). La biometría del comportamiento también puede incluir los patrones de pulsación de teclas del usuario (todos son sutilmente diferentes), el uso del mouse o una combinación de ambos.

La biometría conductual ofrece muchas ventajas sobre otras formas de autenticación, pero con algunas advertencias. Fundamentalmente, ofrece autenticación continua de usuario de baja fricción en lugar de autenticación solo al iniciar sesión. Sin embargo, es más adecuado para el negocio que para el uso del consumidor. La inteligencia artificial utilizada para reconocer las características individuales del usuario toma tiempo para aprender una identidad. Esto funciona entre una organización y sus empleados, pero no es adecuado para visitas ocasionales de los consumidores a un sitio web.

En resumen, la biometría del comportamiento ofrece la promesa de una autenticación segura continua de baja fricción de la persona para negocios, pero actualmente poco para los consumidores.

Teléfonos móviles

Los teléfonos móviles han sido vistos durante mucho tiempo como un vehículo potencial para la autenticación de usuarios, y el teléfono móvil moderno tiene todo lo necesario. El acceso biométrico al teléfono vincula el dispositivo al usuario / propietario, por lo que cualquier autenticación que involucre al dispositivo identificará automáticamente al usuario. Hasta ahora, esto se logra con muy baja fricción. Todo lo que queda es la necesidad de autenticar el dispositivo con el servicio en línea.

Hay dos nuevas tecnologías que buscan lograr esto: ZenKey (aún en versión beta) de un consorcio de operadores telefónicos de los Estados Unidos; y Beyond Identity (lanzado para los negocios el 14 de abril de 2020 con una versión para el consumidor que vence antes de fin de año).

ZenKey

ZenKey es una forma de SSO, con el proveedor de servicios de telefonía móvil (AT&T, Sprint, T-Mobile y Verizon) que proporciona el servicio de SSO. Existe automáticamente una relación de confianza entre el usuario y el operador, y el operador ya posee una amplia información personal sobre el usuario. 

ZenKey proporciona una conexión segura entre el teléfono móvil (que es el usuario) y el operador. El operador redirige el tráfico al destino requerido del usuario. Si es necesario iniciar sesión, el operador inicia sesión en nombre del usuario, normalmente sin requerir ninguna información adicional o esfuerzo de ese usuario.

La mayor debilidad en ZenKey es la necesidad de establecer relaciones con los proveedores de servicios (bancos, tiendas minoristas, etc.) a los que los usuarios desean acceder. Esto llevará tiempo. Sin embargo, una vez logrado, y siempre que la aplicación ZenKey se haya instalado y activado en el dispositivo, a los usuarios simplemente se les presentará otro botón. Junto a 'Iniciar sesión con Facebook' habrá un botón 'Iniciar sesión con ZenKey'.

Esto cumple todos los requisitos: muy baja fricción, mayor seguridad e identificación de la persona que usa el dispositivo.

Más allá de la identidad

Beyond Identity es una nueva firma fundada por luminarias de Internet (Jim Clark de la fama de Netscape y Tom Jermoluk de la fama de @Home Network) que utiliza tecnología bien establecida: certificados X.509 y SSL (inventados por Netscape hace unos 25 años y aún la base de comunicaciones seguras por internet).

El sistema genera un certificado para cada teléfono y lo almacena de forma segura dentro del enclave seguro del teléfono. La identidad del certificado se comunica al servicio en línea mediante el cifrado SSL. La identidad del usuario se ha establecido mediante autenticación biométrica. Como resultado, existe una sólida cadena de confianza desde el sitio web a través del dispositivo hasta el usuario real, todo sin necesidad de una sola contraseña.

El futuro

Las contraseñas están tan profundamente integradas en nuestro enfoque de seguridad que llevará algún tiempo, y una tecnología radicalmente nueva, reemplazarlas. Pero sus fallas de seguridad son tan graves que deben ser reemplazadas. Los intentos de mejorar la seguridad, por el requisito adicional de una contraseña de un solo uso, aumentan la fricción del usuario hasta el punto de que finalmente fallarán inevitablemente.

El enfoque de SSO de usar un tercero para hacer la mayor parte del trabajo es prometedor, pero aún requiere una contraseña para acceder al servicio de SSO. Esto todavía falla la prueba de identificar al usuario en lugar de autorizar el dispositivo, y si un delincuente obtiene esa contraseña, él o ella tiene acceso a todos los servicios en línea a los que accede el usuario.

Esto se puede resolver utilizando el dispositivo móvil como un puente entre la identificación del usuario y la autenticación del dispositivo.

La biometría conductual puede ser la solución para los negocios. Ofrece baja fricción (solo la contraseña inicial o quizás un dispositivo biométrico), identifica al usuario y al dispositivo, y puede usarse para la autenticación continua. Pero actualmente no es útil en el mercado de consumo. Aquí, la autenticación basada en teléfonos móviles tiene la ventaja.

Parece probable, entonces, que hasta que surja la próxima tecnología radicalmente nueva, la biometría de comportamiento crecerá en uso dentro del comercio, mientras que la autenticación de teléfonos móviles aumentará en el mercado de consumo. Ambos enfoques ofrecen una mayor seguridad con menos fricción mientras identifican a la persona detrás del dispositivo.