¿La edad de la contraseña ha llegado a su fin? ¿Qué los reemplazará eventualmente?

Si bien es posible que la contraseña en sí misma no desaparezca pronto, es obvio que la forma de las contraseñas ciertamente cambiará. Entonces, ¿qué está impulsando esto?

Usuarios móviles e innumerables puntos de contacto

El proceso de nombre de usuario / contraseña para la autenticación en línea tenía sentido cuando los usuarios accedían a la Web exclusivamente desde computadoras de escritorio y portátiles. Sin embargo, la autenticación basada en contraseña es incómoda en teléfonos inteligentes, tabletas y otros dispositivos conectados, lo que causa fricción a los usuarios.

Los consumidores quieren una experiencia que sea perfecta y segura

El éxito en el negocio digital depende de proporcionar un viaje del cliente sin problemas y conveniente, sin embargo, para los consumidores, la seguridad es una preocupación mayor que nunca. Los clientes de hoy en día rechazan cada vez más el restablecimiento de contraseña y las barreras CAPTCHA en busca de experiencias más convenientes y confiables, lo que está impulsando a las marcas a innovar para lograr un mejor equilibrio entre usabilidad y seguridad.

Internet de las cosas (IoT)

Los dispositivos inteligentes y conectados, y los vastos ‘sistemas’ de sistemas que comprenden pronto serán la línea de base de facto para el diseño de productos, modelos de servicio y gestión de la cadena de suministro, y la identidad digital es el pegamento que unirá a todo este ecosistema. Cada dispositivo conectado debe ser capaz de autenticarse en cualquier número de entidades como consumidor de datos, generador de datos o ambos.

Las empresas están respondiendo a estas tendencias de varias maneras, que incluyen:

Biometría y autenticación basada en dispositivos

Con el reciente lanzamiento de Apple de la autenticación biométrica para pagos, estamos entrando en un nuevo entorno digital más seguro que evita específicamente las contraseñas. Si bien los clientes de Apple Pay aún mantienen un nombre de usuario y contraseña para sus perfiles individuales, el reconocimiento óptico de huellas digitales realizado en un dispositivo personal vincula un identificador único y personal a cada usuario. Otros métodos emergentes incluyen el uso de reconocimiento facial, de iris y de voz para autenticar a los usuarios, eliminando virtualmente la posibilidad de transacciones fraudulentas. Por supuesto, estos procesos también son inherentemente menos complejos para los consumidores.

Inicio de sesión social

Registrarse o iniciar sesión en sitios y aplicaciones móviles con dos clics utilizando credenciales sociales se está convirtiendo rápidamente en el método de inicio de sesión preferido en la mayoría de las propiedades orientadas al consumidor. El inicio de sesión en la red social ofrece beneficios tanto para los consumidores como para las empresas al proporcionar un proceso de autenticación e inicio de sesión más conveniente para los usuarios al tiempo que entrega datos enriquecidos y basados ​​en permisos a las empresas para su uso en la creación de experiencias más personalizadas y atractivas.

Inicio de sesión único (SSO)

El inicio de sesión SSO utiliza la federación de datos de back-end para permitir que los clientes que inician sesión en un sitio o aplicación sean autorizados instantáneamente a cualquier otra propiedad que sea propiedad o esté afiliada a ese mismo negocio. Esto es especialmente pertinente para grandes empresas multimarca con múltiples propiedades web y móviles. Por ejemplo, si está suscrito a Comcast, puede transmitir contenido en línea iniciando sesión en cualquiera de los sitios web de canales individuales o aplicaciones móviles incluidas en su suscripción con su ID de Comcast. SSO también permite a los usuarios cerrar sesión de todas las propiedades autorizadas con un solo clic, lo que aumenta la seguridad.

La comida para llevar?

Al igual que con muchas otras facetas de la transformación digital de los negocios, la cuestión de cómo proteger la información de los usuarios en un mundo cada vez más conectado se responde una innovación a la vez. Sin una bala de plata a la vista, todos los ojos están puestos en los líderes de la industria que trabajan el problema desde afuera hacia adentro, siendo las necesidades del cliente la primera prioridad. Las soluciones más efectivas y duraderas representarán un cuidadoso equilibrio entre el riesgo comercial y el valor de mercado, y permitirán relaciones inherentemente confiables entre usuarios y empresas.

Puede suceder en un futuro cercano pero, en este momento, no veo que suceda. La razón es que los sistemas biométricos aún no son impermeables. Las huellas digitales pueden ser falsificadas, el reconocimiento del iris puede ser engañado a través de iris falsos de ingeniería inversa. La biometría del comportamiento puede ser un cambio de juego, pero están lejos de implementarse. Las contraseñas no van a ninguna parte todavía.

Esta es la situación con las contraseñas (y claves) en estos días:

¡hay DEMASIADO MUCHOS de ellos para gestionar ! Esto sin mencionar todas las otras debilidades que tienen estas cosas, como si pierdes una llave, tienes que reemplazar una cerradura, son fáciles de robar y fáciles de olvidar, y sinceramente, son solo algo que pertenece al siglo 20.

¡Si solo hubiera un dispositivo que pudiera hablar el protocolo de autenticación del recurso al que está intentando autenticarse (sitio web, cerradura de la puerta, cerradura del automóvil, etc.)!

Afortunadamente, existe un dispositivo de este tipo: es un teléfono móvil. ¿Está bien protegido y puede ser pirateado? Posiblemente, pero si se hace bien, no fácilmente. “Hecho correctamente” significa que debe haber comprobaciones de identidad seguras y convenientes en el momento en que se realiza la solicitud de autenticación. Una vez más, afortunadamente no es tan difícil usar los sensores de huellas digitales, cámaras y micrófonos que tienen los teléfonos.

También ha habido una evolución y estandarización consistentes en los protocolos de autenticación hasta el punto en que la mayoría de los dispositivos, sistemas y aplicaciones pueden “hablar el mismo idioma”. Las dos piedras angulares son oAuth2 y FIDO.

Entonces, sí, dado un autenticador suficientemente bueno en el teléfono, puede reemplazar todas sus contraseñas y claves.

(La objeción acerca de que la biometría no es una buena opción carece de fundamento; sí, se puede falsificar un biométrico único, pero una combinación de biometría junto con el contexto como la ubicación y la huella digital del dispositivo, con un nivel de detección de vida, es prácticamente imposible de superar)

Descargo de responsabilidad: estoy afiliado a Biomio Passwordless Authenticator

Parafraseando a Frank Zappa: “Las contraseñas no están muertas, solo huelen raro”.
Pero realmente, han fallado dramáticamente en ser un proceso de autenticación confiable.

Las combinaciones de biometría y / o factor 2 son lo único que se utilizará para la autenticación, sin embargo, el factor 2 también puede ser falsificado en algunos casos, por lo que la biometría es la más segura. La tecnología de huellas digitales está bastante madura ahora, y Apple ha adquirido recientemente una conocida empresa de biometría que muestra que esto se integrará en sus próximas plataformas. Personalmente, he estado utilizando la tecnología de huellas dactilares durante años, esto es maduro y no causa ningún problema.

Las contraseñas (solo) dejaron de ser la mejor práctica para una autenticación sólida hace más de una década, y están en un rápido y acelerado declive en entornos seguros, pero perdurarán por mucho tiempo.

En última instancia, la identidad, la autenticación y la autorización se moverán hacia un modelo de riesgo más matizado, frente a un modelo de todo o nada, y probablemente irán a la granularidad de las acciones individuales, frente a las sesiones de inicio de sesión.

Por ejemplo, Amazon permite que los usuarios existan en varios estados: un usuario ingenuo, un usuario de cocina, un usuario que inició sesión una vez y un usuario recién conectado. Diferentes transacciones requieren diferentes niveles de confianza: agregar algo a una lista de deseos es poca confianza, hacer una compra con un clic a una dirección existente es un nivel de confianza ligeramente mayor, y ver el historial de la cuenta o cambiar las contraseñas es un nivel de confianza mucho más alto .

Esto es similar a cómo funcionan las cosas en el mundo real: su banco le permitirá retirar pequeñas sumas de dinero con solo una tarjeta y un PIN de 4 dígitos, pero las transacciones mucho más grandes requieren una autenticación más fuerte e incluso una autenticación más fuerte si son transacciones como transferencias bancarias a nuevos terceros que tienen mayores probabilidades de fraude.

Creo que la solución a largo plazo será la criptografía de clave pública, administrada de forma segura en el hardware del cliente (el elemento seguro de los teléfonos u otras plataformas confiables), con heurística aplicada dentro del elemento confiable para restringir las operaciones y las entradas del usuario (en el formulario de datos biométricos, contraseñas, etc.) y el medio ambiente (no necesito tanta seguridad de protector de pantalla cuando mi computadora portátil está en mi casa al lado de mi escopeta como lo hago cuando está a miles de kilómetros de mí en posesión de otra persona) y la transacción (el desbloqueo rutinario del protector de pantalla es de baja confianza, “exportar todas las contraseñas a este dispositivo de memoria” es de alta confianza). El desarrollo de esta infraestructura será el primer gran desafío en seguridad informática del siglo XXI. Creo que tomará al menos una década más para hacerlo bien.

Los sitios web remotos y los servicios en la nube tendrán modelos de confianza similares, pero tendrán responsabilidades divididas para los operadores de servidores, desarrolladores de aplicaciones y usuarios finales. La forma en que resolvamos los reclamos conflictivos de estas partes y hagamos que los servicios sean lo suficientemente seguros y responsables para cada parte, será el segundo gran desafío de seguridad del próximo siglo. Esto probablemente llevará varias décadas de desarrollo de software y hardware.

Más o menos. Las contraseñas son difíciles de manejar e involucran la ingenuidad (estupidez de lectura) del usuario. Además, hay demasiados para recordar. Si usa un administrador de contraseñas, es análogo a mantener la llave maestra de su casa debajo del felpudo. La biometría ha comenzado a reemplazar la contraseña maestra en teléfonos celulares / tabletas. Para los equipos de escritorio, existen varias soluciones existentes para el problema del inicio de sesión sin contraseña. Google está experimentando con el inicio de sesión sin contraseña a través de notificaciones push, en el que deberá aceptar el inicio de sesión a través de una notificación enviada al dispositivo registrado. Se agrega al cumplimiento, así como un grado de aleatoriedad. El OTP basado en tiempo como contraseñas también es una buena opción para iniciar sesión en las aplicaciones, en lugar de una contraseña fija.

Digo que las contraseñas serían redundantes en 5-10 años.

La biometría será claramente el futuro de las contraseñas. Ahora, a la gente le gustaría decir que la biometría reemplazará un conjunto de problemas con otro conjunto de problemas, pero incluso ellos no pueden negar que la biometría es mucho más confiable. Las contraseñas pueden ser olvidadas, peor aún, robadas y mal utilizadas, pero no hay dos personas que tengan las mismas huellas digitales, ¿verdad?

No, simplemente no los usamos bien :-).

Realmente, no hay buenas soluciones universales en este momento. La biometría puede elevar la barra de seguridad, pero se pueden copiar y falsificar. Los tokens requieren que los lleve consigo y transfiera datos del token al cliente (o se arriesga a que los tokens blandos sean pirateados, en cuyo caso tendrá la seguridad de la contraseña nuevamente). La PKI a menudo se implementa de manera deficiente y vuelve a la seguridad de una contraseña o al uso de un token en la mayoría de los casos.

Las contraseñas creadas y usadas correctamente pueden ser efectivas. Si genero una cadena de bits aleatorios y se los di de alguna manera, tiene una contraseña efectiva. Ahora imagina que los sitios en los que lo usas no hacen nada tonto y la contraseña puede permanecer algo segura. También imagina que puedes recordar esta buena contraseña para cada dominio de autenticación al que vayas. Ahora tenemos una seguridad decente.

El problema no es el concepto de contraseña, sino los humanos. Muchos lugares simplemente almacenan su contraseña o la colocan en algún lugar recuperable. Además de eso, no tenemos buenos recuerdos y generalmente somos flojos. Digamos que quería la seguridad de una contraseña aleatoria de 64 bits. 16 dígitos hexadecimales? 12 en Base64? Gran posibilidad de que cualquier base de usuarios no copie estos.

Cada vez que miramos el proceso de autenticación y la tecnología, debemos considerar al ser humano por adelantado. Si no, estamos barriendo el eslabón débil debajo de la alfombra.

Creo que está por ocurrir un cambio sísmico sobre cómo se origina la identidad.

Si lo piensa, en este momento, nuestra prueba de identidad e individualidad en última instancia se origina en el estado.

Aparece en la oficina, produce una foto, una huella digital y el oficial a cargo del proceso verifica que usted sea la persona en la foto. Por lo general, debe traer documentación adicional para poder verificar el historial de identificación.

Ahora, con la confianza descentralizada y los libros públicos, comienza a surgir una nueva forma de verificar su identidad. Una prueba de identidad que se origina en usted y se extiende desde allí. Dejándote en control.

Aquí se requerirá alguna prueba inicial de individualidad, como, por ejemplo, una prueba de ADN. Esta prueba luego se firma con su clave privada y esta firma es su identificación. Si desea permitir que alguien pueda verificar su identidad, tendrían que presentar su firma y usted produciría una firma de su signo junto con su signo.

Ahora, todo lo que tendría que hacer para identificarse en línea, por ejemplo para iniciar sesión en un sitio web o servicio, es presentar esta prueba de identidad.

En cierto sentido, es un inicio de sesión único, pero un inicio de sesión único universal, controlado por usted.

Puede revocar instantáneamente cualquier acceso. Haría imposible compartir su identificación en línea para nadie más que para usted. Tendría control total sobre quién puede identificarlo en línea.

Creo que este es el futuro de las contraseñas.

1. Un biométrico es como una contraseña que no se puede revocar ni cambiar.
No necesita ser cambiado pero ciertamente deshabilitado

2. Los datos biométricos tienen modos de falla porque se basan en tecnología física (¿un corte en el pulgar? Lo siento, no puedes iniciar sesión. Laringitis? Lo sentimos, no puedes registrarte para tu vuelo).

Ninguna tecnología es 100% a prueba de fallas. Pero con las huellas digitales puede tener 10 dedos para autenticar.

3. No puede enviar el biométrico a través de la red, porque no desea distribuir ampliamente el conocimiento del patrón biométrico. Por lo tanto, esencialmente necesita una prueba de validación de conocimiento cero, que nos devuelve a hardware y software, criptografía y secretos de confianza. Las contraseñas no desaparecen: simplemente se introducen en los dispositivos, donde pueden ser tan vulnerables como en cualquier otro lugar. El artículo destacaba principalmente los problemas en la seguridad informática y los sistemas sociales que los respaldan, pero esto no va a desaparecer.

Hoy Biométrico no usa patrones sino plantillas digitales llamadas minucias. Tienen típicamente 600-800 bytes y se pueden enviar a través de redes. De hecho, hay muchos modelos exitosos que se ejecutan comercialmente

Consulte Claveo: Plataforma móvil para transacciones sin esfuerzo y seguridad de datos para obtener una posible respuesta o reparación.

El uso generalizado de #FederatedIdentity es necesario primero en todos los sitios que utilizamos. Una vez que esto esté en su lugar, surgirán algunos #IdentityProvider (s) que ofrecen autenticación sin contraseñas.