La autenticación passwordless se convierte en una funcionalidad crítica para reducir riesgos en cualquier organización, haciendo de la seguridad un elemento más de resistencia ante la crisis.
El miedo hacía los data breaches y sus consecuencias, hace que los individuos sean precavidos a la hora de dar información personal; los partners y socios temen la pérdida de información relevante, confidencial y de negocio; y las empresas globales se arriesgan a sufrir una crisis de reputación y revenue cuando todo lo anterior ocurre.
La ciberseguridad, una de las principales vulnerabilidades.
El robo de contraseñas y actos maliciosos han incrementado durante la crisis del Covid-19. Reducir riesgos y asegurar infraestructuras digitales favorables para la ciberseguridad, son por ello fundamentales.
Los métodos cada vez más habituales de autenticación cómo la autenticación de dos factores (2FA) que utiliza SMS, contraseñas de un solo uso (OTP) y tokens de hardware ya forman parte de la actividad digital. Otros métodoscomo MFA (Multi Factor Authentication) están desplegándose cada vez con más frecuencia debido al añadido de seguridad que proporcionan y a las mejoras en la UX.
Sin embargo, la actividad y desarrollos nos lleva hacia un ecosistema Passwordless, que supondrá el reemplazo de las contraseñas y permitirá autenticar a usuarios, consumidores, clientes, socios, empleados a través de técnicas de seguras y muy rápidas.
Hacia conexiones Paswordless.
Cuando un individuo se autentica a través de algún método Passwordless, el usuario se conecta utilizando DruID u otra solución que actúe como proveedor de identidad (IdP).
El sistema de autenticación passwordless se basa en técnicas de encriptación que, sin necesidad de introducir una clave, verifican la identidad. Este sistema implica la adopción de nuevas tecnologías, como la biométrica, los atributos de los dispositivos y el análisis del comportamiento para validar identidades.
Métodos de autenticación passwordless:
Basados en modelos Zero Trust, “Nunca confiar, siempre verificar”, que requieren una estricta verificación de la identidad de cada persona y dispositivo que intente acceder a los recursos de una red empresarial. Para ello, las soluciones CIAM (Customer Identification & Access Management) cumplen un papel crucial.
Son varios los métodos passwordless en los que la estricta verificación supone incorporar varios capas en el proceso de autenticación.
MFA adaptativo: formado por políticas estáticas que definen los niveles de riesgo de diferentes factores, cómo:
- User function
- Recursos
- Ubicación
- Día y hora
- Dispositivo
- Red
Estos factores definen tendencias que sirven para analizar dichos comportamientos y los posibles riesgos a la hora de iniciar sesión.
FIDO 2: estándar de autenticación Fast Identity Online (FIDO) creado por la alianza FIDO, un conjunto corporativo formado por varias empresas a nivel internacional que está compuesto por dos elementos: WebAuthn (un sistema de autenticación passwordless), API integrada en los navegadores y un Protocolo de Autenticación del Cliente autorizando los dispositivos externos.
Este protocolo habilita un autenticador externo, como una clave de seguridad o un teléfono móvil, para autenticar localmente a través de USB, Bluetooth o NFC al dispositivo de acceso a internet del usuario (PC o teléfono móvil).
Biometría: permite identificar y autenticar en base a datos relacionados con la persona (imagen, voz, huella…) Utilizando caracteres biológicos, algunas fisiológicas como la huella y otras en base a comportamientos como la firma o voz.
Estos datos son capturados y comparados para responder a una simple pregunta, “¿quién eres?” y se utiliza para asociar una identidad sin contraseña a otros tipos de conexiones.
Prevención de ataques gracias a passwordless autentication:
Sabemos que con un único factor de identificación, una campaña de phishing puede potencialmente robar una contraseña y usarla para iniciar sesión. Esta probabilidad disminuye con dobles factores, y se hace improbable con métodos Zero trust y passwordless.
Con la ausencia de protocolos de autenticación basados en contraseñas el phishing, el relleno de credenciales, la apropiación de cuentas corporativas y los ataques de fuerza bruta son menos frecuentes.
Beneficios de paswordless
- Mejora de la experiencia del usuario: en particular en las aplicaciones móviles, ya que los usuarios sólo necesitan una dirección de correo electrónico o un número de teléfono móvil para acceder. Por ejemplo, con código QR. Los usuarios que se conectan escanean un código QR con un dispositivo inteligente, vinculando el inicio de sesión a la identidad. Combinando otro método con las analíticas de comportamiento como el histórico de login, IP o navegador utilizado, la autenticación es más efectiva y sin fricciones (Multi-factor adaptative)
- Reducción de costes en seguridad: para ello es esencial la incorporación de un sistemas de gestión de identidades y accesos que permita centralizar datos de identidad, consentimientos y verificación de accesos. De esta manera, el coste que la gestión individual de las contraseñas, hashing, restablecimiento y riesgo por data breaches, disminuiría considerablemente.
- Escalabilidad: en este punto un gestor de identidades facilita mucho habilitar el inicio de sesión único, administrar la MFA y aplicar directivas de acceso.
Son muchas las empresas que ya se han sumado a la incorporación de gestores de identidad y están ya, utilizando métodos de autenticación y verificación avanzados para lograr evitar fraudes.
“Para 2022, Gartner predice que un 60 por ciento de empresas globales y grandes y un 90 por ciento de empresas medianas
implementará métodos sin contraseña en más del 50 por ciento de los casos prácticos.” – Gartner
Por ello la gestión de identidad, debe considerarse como el mainstream para la lucha contra los ciberataques. Desde DruID podemos ayudarte a conseguirlo.
¿Quieres saber cómo puede ayudar DruID a gestionar identidades en tú empresa?
