¿Cuáles son los reemplazos prometedores para nuestros sistemas actuales de contraseña y seguridad?

Como mencionó el usuario de Quora, la posibilidad de eliminar las contraseñas por completo no parece posible en el futuro cercano. Sin embargo, se pueden agregar varias capas al proceso de autenticación para hacerlo más seguro.

Permítanme explicar cómo en SmartSignin Inc. hemos creado nuestro sistema de autenticación que proporciona una experiencia muy segura y privada para el usuario. Solo para darle una idea, SmartSignin ofrece la aplicación Single Sign-On para usuarios individuales y el conjunto de Gestión de Identidad y Acceso para organizaciones. Ahora esto es lo que hemos hecho:

  1. Frase de cifrado: hemos introducido un campo adicional de ‘frase de cifrado’ en nuestro proceso de autenticación, aparte de la identificación y contraseña del correo electrónico.

    Crypt-frase es diferente de la contraseña y tiene al menos 16 caracteres (hace que sea realmente difícil de descifrar). Tiene dos propósitos; primero como una capa de autenticación adicional y, en segundo lugar, actúa como la clave privada para que el usuario descifre sus datos. Básicamente, esto garantiza que el usuario sea el verdadero propietario de sus datos y sin que ingrese su frase de cripta, ni siquiera los empleados de SmartSignin pueden acceder a sus datos críticos.

    Todo el cifrado y descifrado de datos críticos del usuario, como las credenciales de inicio de sesión, se realiza en el dispositivo del usuario y no se envía nada al servidor en formato no cifrado. La información que almacenamos es inútil para un hacker (suponiendo que alguna vez haya penetrado en nuestras bases de datos). Hay algunas otras cosas críticas que suceden entre las cuales no estoy en libertad de compartir en este momento, lo que hace que el proceso sea muy seguro.

    Podemos implementar esto con la ayuda de nuestro algoritmo SmartKey pendiente de patente que se desarrolló en conjunción con la Universidad de Toronto.

  2. Imagen antiphishing: al configurar su cuenta, le pedimos al usuario que configure una imagen para su cuenta que actuará como una capa de autenticación.

    Entonces, cuando esté en la página de inicio de sesión de SmartSignin y complete su identificación de correo electrónico, mostraremos su imagen antiphishing que le asegurará al usuario que está en el sitio web correcto y lo protegerá de los ataques de phishing.

  3. Contraseña de un solo uso (OTP): ahora muchas compañías lo están adoptando como parte de su autenticación de dos factores y nosotros también la tenemos.
  4. Autenticación de dispositivo y ubicación: cada vez que un usuario inicia sesión desde un dispositivo o ubicación diferente, primero se le solicita que responda una pregunta basada en el conocimiento que ha establecido durante la configuración de su cuenta, para asociar ese dispositivo con su cuenta. A menos que el usuario responda la pregunta basada en el conocimiento, no se le permitirá usar la aplicación. Esto nuevamente agrega una capa adicional de seguridad para la cuenta del usuario.

Desventaja: la gente olvida su frase de cripta, ya que es larga.

1. Los profesionales de seguridad ya saben que las contraseñas no son prueba de autenticación, y tienen modelos de riesgo dinámicos construidos alrededor de ellas. La combinación de contraseñas con otros factores, ya sea explícito (llavero, biométrico) o implícito (dirección IP de origen, secuencia de accesos, geografía, huella digital del dispositivo) ya es muy común.

Todo esto es realmente difícil de corregir. Las claves de hardware se pierden, la biometría es propensa a falsos negativos y los factores implícitos frustran a los usuarios cuando bloquean los accesos legítimos (si alguna vez ha intentado iniciar sesión en Facebook desde otro país sin tener su teléfono a mano, ha visto este).

Pero agregar factores es lo mejor que tenemos en este momento. El trabajo reciente más interesante que he visto es la propuesta BrowserAuth de Google, http://www.browserauth.net/ , que genera factores criptográficos por navegador.

2. Agregar un factor solo aumenta la fuerza de una autenticación única. De ahí el interés en los sistemas de autenticación federados y distribuidos . En estos sistemas, tanto los usuarios como la industria en general confían en un pequeño número de sistemas fuertemente autenticados. El usuario se autentica en uno de estos sistemas confiables y luego, a través de métodos criptográficos, los sistemas menos confiables reciben garantías de que un operador de red remoto dado es realmente el usuario.

Los ejemplos de esta técnica incluyen OpenID, Kerberos y, más recientemente, Mozilla Persona . Las versiones propietarias de este, incluido Facebook Connect, también han tenido bastante éxito.

El problema aquí es que decidir quién será un sistema confiable es un problema complicado. El Open Identity Exchange (OIX) está tratando de generar consenso, estándares y un proceso de responsabilidad en torno a esta capa. Es un problema difícil que tiene mucho más que ver con los humanos que con las computadoras.

3. Ahora entendemos que nuestra identidad informática está en capas . Tenga en cuenta que puedo estar usando un teléfono móvil con autenticación de dispositivo (a través de un “módulo de procesamiento confiable”), hablando con una red autenticada (a través de una tarjeta SIM), a un servidor al que me autentiqué usando un par de dirección de correo electrónico-contraseña y un Reto de SMS, que es federar mi identidad a un sitio web donde dejo un comentario.

Google “autenticación TPM” y “autenticación SIM” para obtener más información sobre los enfoques de nivel inferior. En general, se usan para la autenticación del dispositivo en lugar de la autenticación del usuario. La autenticación de dispositivos funciona bien en entornos empresariales, pero hasta ahora ha tenido poco o ningún impacto para las aplicaciones de consumo.

Algún tipo de fusión elegante de la autenticación del dispositivo con la autenticación del usuario es el santo grial de la informática segura móvil. Muchos intentos están en proceso en este momento, pero aún no puedo recomendar ninguno en particular.

Lectura recomendada:
Una agenda de investigación que reconoce la persistencia de las contraseñas
http://research.microsoft.com/ap

Una comparación de OpenID y Persona / BrowserID, con ejemplos ilustrativos:
http://identity.mozilla.com/post

Ya tenemos algunas soluciones simples y buenas que la mayoría de la gente no usa:

Teléfono: protege con contraseña tu teléfono y crea capacidades de borrado remoto. Si pierde o le roban su teléfono, límpielo y sus datos no serán vulnerables.

Computadora: protege con contraseña y encripta tu disco duro

Web:

  • Use una aplicación para guardar contraseñas como Laspass. Luego usa una contraseña aleatoria diferente de 14 caracteres para cada cuenta
  • Si usa aplicaciones de Google / gmail, habilite la verificación en 2 pasos
  • Practique la informática segura: no use las computadoras de otras personas, y ciertamente no los cibercafés. Demasiado fácil rastrear tus contraseñas allí.

La verificación en dos pasos de Google es una solución inteligente que nos dirige en la dirección correcta. Cuando utiliza el servicio desde una computadora nueva, le envía un SMS para verificar que es un inicio de sesión válido, además de pedirle la contraseña. Entonces, incluso si alguien logra robar su contraseña, no podrá iniciar sesión, ya que no tendrá acceso a su teléfono. Es un poco complicado ya que cada 30 días necesito volver a autenticarme con Google, pero vale la pena por la seguridad adicional.

Sin embargo, debemos recordar que las contraseñas son solo una pieza del rompecabezas de seguridad. Si su computadora es forzada y alguien instala un registrador de claves y copia su configuración completa, ninguno de los anteriores lo ayudará. Podrán capturar sus contraseñas, las cookies (¿o utiliza Google las direcciones IP? Probablemente las cookies) que le dicen a Google que ha iniciado sesión desde esta computadora, etc.

Afortunadamente, es como el tipo con las zapatillas y el oso :-). No necesitaba escapar del oso, solo su amigo, y no necesitas estar perfectamente seguro, solo lo suficientemente seguro como para que sea demasiado complicado, más fácil apuntar a otras personas.

En una charla de Luke Wroblewski a la que asistí recientemente, Luke discutió el enfoque de Windows 8 para las contraseñas del sistema y cómo aumenta la usabilidad y la seguridad al tiempo que disminuye la vulnerabilidad a los ataques de fuerza bruta. En Windows 8, Microsoft agregó Picture Password, una función que brinda a los usuarios la posibilidad de elegir una foto de su dispositivo y realizar gestos personalizados en la imagen que actúan como contraseña del dispositivo. El siguiente video ofrece más información y un ejemplo:

Luke discutió la mayor usabilidad y la mayor seguridad de este enfoque para las contraseñas, y presentó la tabla que se muestra a continuación, que incluye el número de posibles combinaciones de contraseña para cada tipo de entrada de contraseña (10 dígitos, caracteres AZ, caracteres complejos y múltiples gesto):


Todavía no está claro si este enfoque de contraseñas será adoptado por muchos usuarios o se convertirá en la solución líder de la industria para nuestros sistemas actuales. Dicho esto, Microsoft definitivamente ha adoptado un enfoque nuevo e innovador para las contraseñas que puede cambiar la tendencia en la dirección correcta, no solo para la usabilidad y el diseño, sino también para la seguridad.

Esa es una pregunta bastante amplia. Después de haber estado en seguridad de TI durante muchos años, esta no es una respuesta rápida. Sin embargo, la biometría es el número uno. Apple adquirió recientemente uno de los principales jugadores en este campo, y verá su iPhone desbloqueado por su huella digital y la de nadie más.

Solo una cosa para recordar con respecto a la biometría: si se usa solo, es uno de los peores factores de autenticación que existen. Biométrico es identificación, no autenticación. ¿Qué sucede si alguien logra “capturar” la representación numérica de su huella digital? No podrás cambiar tus dedos … Es lo mismo con tu voz o tu retina.

En pocas palabras: la biometría está bien para la identificación o como un segundo / tercer factor de autenticación, nunca como una autenticación de un factor.

Esta declaración viene directamente a nuestra cabeza después de escuchar sobre el último hack de las cuentas de pinterest, instagram y twitter de Mark Zuckerberg. Puede que no tengamos una entidad comercial tan grande como la de Mark, pero nuestras cuentas de redes sociales retratan nuestra identidad. Si no está protegido, puede ser mal utilizado, aquí , en este enlace, han dado la forma de crear una contraseña increíble que debe aplicarse al crear la contraseña.

Hola, nuestra empresa está desarrollando un reemplazo para las contraseñas y también resuelve muchos otros problemas. También es multifactor. Puede consultar la descripción de la solución en nuestra página web http://www.keylessid.com