El futuro de la autenticación: lo que las empresas deben saber sobre las claves de acceso
¿Es hora de deshacerse de las contraseñas?
Si le dijera que el paso más eficaz que podría tomar su empresa para mejorar la ciberseguridad es dejar de usar contraseñas, podría pensar que estoy loco. Es como decir que la mejor manera de hacer que su automóvil sea más rápido es quitarle las llantas, o que renunciar a las verduras es clave para perder peso.
Pero la realidad es que, según muchos aspectos, las contraseñas ya pasaron su mejor momento. Existe una mejor solución (las claves de acceso) y las organizaciones que buscan formas de optimizar sus posturas de seguridad harían bien en considerar la autenticación basada en claves de acceso en contextos donde tenga sentido.
Dicho esto, las claves de acceso siguen sujetas a una variedad de desafíos, lo que hace que sea poco realista para la mayoría de las empresas cambiar por completo a inicios de sesión basados en claves de acceso en un futuro próximo.
Además, a medida que las claves de acceso crezcan en popularidad, será cada vez más importante para los responsables de la toma de decisiones empresariales distinguir entre las exageraciones y la realidad cuando se trata de claves de acceso. Espere escuchar más y más en el futuro cercano sobre lo maravillosas que son las claves de acceso, especialmente de proveedores que venden soluciones de claves de acceso, pero no asuma que las claves de acceso son preferibles a las contraseñas para cada caso de uso y circunstancia.
Con esas realidades en mente, aquí presentamos una mirada equilibrada a los pros y los contras de las claves de acceso, junto con consejos sobre cuándo y cómo aprovecharlas como parte de la estrategia de autenticación de su empresa.
¿Qué son las claves de acceso?
Las claves de acceso son una forma de autenticarse en un sitio web o una aplicación sin necesidad de un nombre de usuario ni una contraseña. En cambio, las claves de acceso confirman la identidad de un usuario mediante métodos como la autenticación biométrica o la introducción de un código PIN.
En el fondo, las claves de acceso se basan en un conjunto de claves (una pública y otra privada) que se generan para cada usuario. La clave pública del usuario se comparte con un sitio web o una aplicación en la que el usuario desea iniciar sesión. La clave privada se almacena únicamente en el dispositivo personal del usuario (como un teléfono o una computadora portátil).
Para autenticarse en un sitio web o aplicación, el usuario debe desbloquear su clave privada del dispositivo donde reside. Normalmente, el método para desbloquear la clave implica autenticación biométrica (como escanear la cara o la huella digital del usuario) o la entrada de un código PIN único que el usuario configuró al configurar la clave de acceso.
Ventajas de las claves de acceso frente a las contraseñas
En comparación con la autenticación basada en contraseñas, que se ha generalizado durante décadas, los beneficios de las claves de acceso se reducen a dos ventajas principales:
- Mayor conveniencia : las claves de acceso son más convenientes para los usuarios, quienes no tienen que recordar nombres de inicio de sesión o contraseñas para iniciar sesión.
- Seguridad mejorada : las claves de acceso mejoran la seguridad porque, a diferencia de las contraseñas, los atacantes no pueden adivinarlas ni forzarlas (al menos en la mayoría de los casos). Además, debido a que las claves de acceso privadas residen solo en los dispositivos personales de los usuarios, las claves de acceso eliminan el riesgo de que los actores de amenazas puedan piratear un servidor o una base de datos que contenga contraseñas y nombres de usuario y luego usar la información para comprometer las cuentas de los usuarios.
- Protección contra suplantación de identidad/phishing : las claves de acceso mitigan los riesgos de suplantación de identidad y phishing porque la clave privada de un usuario debe combinarse con la clave pública de un sitio o aplicación específica al iniciar sesión. Por lo tanto, los intentos de engañar a los usuarios para que inicien sesión en sitios maliciosos haciéndose pasar por legítimos fracasarán. No funciona, porque los sitios maliciosos no tendrán las mismas claves públicas que los sitios legítimos que se hacen pasar.
Por estas razones, las claves de acceso son un enfoque cada vez mayor para los proveedores de identidad y autenticación como Okta y Microsoft , según una investigación reciente de IDC. Las empresas que utilizan productos o servicios de autenticación de proveedores que han agregado compatibilidad con claves de acceso pueden hacer que los inicios de sesión basados en claves de acceso sean una opción (o un requisito obligatorio, si lo desean) para sus empleados y clientes.
Los peligros de las claves de acceso
Por otro lado, las claves de acceso no son perfectas. Están sujetas a varios inconvenientes distintos que podrían obstaculizar la capacidad de las empresas para adoptar claves de acceso en determinadas situaciones:
Es posible que sea necesario actualizar los sitios web y las aplicaciones para admitir claves de acceso
Los sitios y aplicaciones que ya están configurados para integrarse con proveedores de autenticación de terceros que admiten claves de acceso pueden agregar inicios de sesión basados en claves de acceso con relativa facilidad. De lo contrario, sin embargo, las empresas necesitarán revisar la lógica de autenticación en sus aplicaciones para que las claves de acceso sean viables para los empleados y clientes, un proceso que requiere tiempo y dinero.
Las claves de acceso están vinculadas a los dispositivos
Debido a que la autenticación basada en claves de acceso depende del acceso a claves privadas almacenadas en dispositivos específicos, no es una buena opción para casos de uso en los que es difícil predecir qué dispositivo utilizará un empleado o cliente para iniciar sesión. Por ejemplo, si un cliente a veces se conecta a Si su sitio utiliza un teléfono móvil pero también utiliza una computadora portátil personal o de trabajo, necesitarán configurar claves de acceso separadas.
El ecosistema de proveedores de claves de acceso está fragmentado
Hasta la fecha, la mayoría de las soluciones para configurar y administrar claves de acceso solo funcionan en ciertos sistemas operativos, dispositivos o ecosistemas de proveedores. Por ejemplo, las ofertas de Apple no son compatibles con dispositivos Android.
Las claves de acceso solo admiten ciertos dispositivos y sistemas operativos
La autenticación basada en clave de acceso también solo funciona en dispositivos y sistemas operativos diseñados para admitirla. Es probable que los dispositivos más antiguos no sean compatibles, lo que podría crear confusión entre los usuarios sobre qué dispositivos son compatibles.
Las claves de acceso se pueden piratear
Las claves de acceso son sustancialmente más seguras que las contraseñas, pero no son inmunes a los ataques. Los actores de amenazas sofisticados que logran obtener acceso físico a los dispositivos pueden encontrar formas de evitar la autenticación biométrica o adivinar códigos PIN para acceder a las claves de acceso almacenadas en el dispositivo.
Este tipo de ataques son mucho más difíciles de llevar a cabo que las técnicas convencionales para eludir contraseñas y, hasta la fecha, no se ha producido ninguna infracción importante que involucre claves de acceso robadas. Pero, aun así, son plausibles.
Las políticas de seguridad empresarial no admiten claves de acceso
Actualmente, la mayoría de las políticas de seguridad empresarial que rigen la autenticación y la autorización no se diseñaron teniendo en cuenta las claves de acceso. Por lo tanto, las empresas necesitarán actualizar sus políticas de seguridad (y las prácticas de seguridad asociadas).
Esto es factible, pero es probable que la actualización de las políticas de seguridad lleve algún tiempo, lo que retrasa la implementación de la clave de acceso empresarial.
Un largo horizonte para la adopción de claves de acceso
La naturaleza de las claves de acceso y los desafíos que rodean su implementación significan que es probable que muy pocas empresas migren exclusivamente a la autenticación basada en claves de acceso en el corto plazo. Para llegar a ese punto, las organizaciones necesitarían revisar todos sus sitios web y aplicaciones para admitir claves de acceso.
Además, los proveedores de gestión de identidad y autenticación necesitarían hacer de la autenticación basada en claves de acceso un ciudadano de primera clase dentro de sus soluciones. Hasta la fecha, pocos lo han hecho, aunque es razonable esperar que esto suceda en los próximos dos o tres años.
Cuándo las empresas deberían (y no deberían) utilizar claves de acceso
En lugar de abordar la cuestión de “usar clave de acceso o no” como una opción binaria, las organizaciones deberían pensar en situaciones específicas en las que tiene sentido y en las que no tiene sentido adoptar claves de acceso como medio principal de autenticación. .
En general, cambiar a claves de acceso es una buena estrategia para sitios web y aplicaciones que tienen conjuntos bien definidos de usuarios con comportamiento predecible. Si sabe que los empleados o clientes que necesitan acceder a un determinado recurso normalmente inician sesión utilizando tipos específicos de dispositivos y acceden a esos recursos con frecuencia, pedirles que configuren claves de acceso es razonable, especialmente si el sitio web o la aplicación ya se integra con un Servicio de gestión de identidades que admite claves de acceso.
Por otro lado, es más difícil defender el cambio a claves de acceso en situaciones donde el costo, la complejidad y la molestia de configurarlas y mantenerlas (desde la perspectiva tanto de la empresa como de los usuarios) superan los beneficios. Por ejemplo, es probable que no valga la pena actualizar las aplicaciones heredadas que no pueden integrarse con los servicios de autenticación que ofrecen compatibilidad con claves de acceso integradas solo para habilitar los inicios de sesión con claves de acceso. Del mismo modo, si tiene un grupo de clientes que acceden a un sitio web sólo unas pocas veces, es posible que consideren que los requisitos de clave de acceso son más problemáticos de lo que valen.
Obtenga más información sobre las claves de acceso en la empresa
Las claves de acceso siguen siendo un tema que evoluciona rápidamente a medida que cada vez más proveedores de gestión de identidades y autenticación adoptan el concepto de inicios de sesión sin contraseña y las empresas continúan evaluando casos de uso de claves de acceso.
Traducción del artículo original de IDC
Future of Authentication: What Enterprises Need to Know about Passkeys | IDC Blog
22 DE MARZO DE 2024