Dado que estamos llegando a la cúspide de los avances tecnológicos, la integración hombre-máquina y la robótica innovadora, como los autos autónomos, es sorprendente que sigamos confiando en las contraseñas. Aunque las opciones de autenticación sin contraseña están ganando protagonismo, hay una razón por la que 60 años después de su creación todavía estamos usando contraseñas: son efectivas.
A diferencia del reconocimiento facial y otras soluciones biométricas, las contraseñas son completamente correctas o completamente incorrectas. Actualmente, la biometría requiere un margen de error; por ejemplo, se ha demostrado que las personas pueden abrir los teléfonos de sus familiares a través de aplicaciones de reconocimiento facial. Aún más importante, si los datos biométricos de uno se ven comprometidos, nunca pueden ser reemplazados.
Desafortunadamente, ya hemos visto una violación importante de los datos biométricos. En agosto pasado, la compañía de privacidad web vpnMentor descubrió una brecha en la plataforma de seguridad de Suprema, Biostar2, que expuso datos de reconocimiento facial y registros de huellas digitales para 1 millón de personas. Según vpnMentor, Suprema guardó copias exactas de las huellas digitales de los usuarios, lo que podría comprometer la información biométrica de estas personas para siempre.
Para las empresas que almacenan los datos biométricos de los usuarios, es aconsejable utilizar tecnología de hashing o blockchain para proteger estos datos. Sin embargo, a diferencia de las contraseñas, los datos biométricos, ya sean iris, caras o huellas digitales, no se pueden reemplazar.
Por el momento, las contraseñas están aquí para quedarse; sin embargo, hay algunas cosas importantes a considerar:
- La autenticación multifactor es clave: Ya sea que use autenticación basada en contraseña o no, las organizaciones debe requerir autenticación de múltiples factores (MFA). No hay excusa para no emplear MFA, especialmente con la proliferación actual de aplicaciones que permiten tales servicios.
- No requerir restablecimiento obligatorio de contraseña: Si la empresa tiene un sistema de MFA, definitivamente no debería requerir el restablecimiento obligatorio de la contraseña. De hecho, podría decirse que dichos requisitos hacen que su red sea menos segura, ya que los empleados tienden a escribir sus contraseñas en notas Post-It en sus estaciones de trabajo y recurren al uso de contraseñas similares, así como contraseñas que los hackers puedan adivinar fácilmente. Como advertencia, si los empleados cambian los roles dentro de su organización, puede tener sentido requerir un restablecimiento de contraseña. Idealmente, esta solicitud de reinicio debería automatizarse como parte del proceso de transferencia.
- Requerir contraseñas complejas: Dado que los ataques cibernéticos de fuerza bruta de contraseña siguen siendo los más comunes, aún es importante requerir contraseñas complejas y no permitir contraseñas débiles. El Instituto Nacional de Estándares y Tecnología recomienda requerir contraseñas largas y complejas que los empleados no hayan usado en el pasado.
- Gestionar cuentas privilegiadas por separado: Es aconsejable utilizar un administrador de contraseñas de nivel empresarial para estar al tanto de los problemas de seguridad de las contraseñas. Además, como las cuentas privilegiadas generalmente son compartidas por unas pocas personas en una organización, se debe considerar tener un programa separado para administrar las contraseñas de estas cuentas privilegiadas. Para completar ciertas tareas, la administración del sistema debe poder elevar los privilegios para cualquier usuario por un período de tiempo establecido y, si es necesario, el administrador del sistema debe poder desactivar la autenticación directa para todas las cuentas privilegiadas.
- Buscar opciones de autenticación sin contraseña: A pesar de la efectividad de las contraseñas, siempre que sea posible, puede buscar eliminar o deshabilitar la autenticación basada en contraseñas.
La autenticación sin contraseña, como las contraseñas de un solo uso (OTP) enviadas por correo electrónico y SMS, se está volviendo cada vez más popular. Si decide introducir una opción de autenticación sin contraseña para cuentas comerciales seleccionadas, asegúrese de considerar emplear dos o más opciones; de esta manera, puede eliminar contraseñas de manera efectiva sin comprometer su seguridad.
En conclusión, hasta que las opciones de autenticación sin contraseña y las soluciones biométricas se vuelvan más sofisticadas, es aconsejable confiar en contraseñas largas y complejas, así como en la autenticación de múltiples factores. A diferencia de las contraseñas, las soluciones biométricas (módulos de huellas digitales, escáneres de iris y sistemas de reconocimiento de voz) requieren un margen de error, además, en la violación de la base de datos biométricos de Suprema antes mencionada, los datos biométricos sensibles de los usuarios se ven comprometidos de por vida. En pocas palabras, por el momento, las contraseñas son la ruta más segura para las empresas desde una perspectiva de seguridad.