Skip to content

La gran tecnología está construyendo un futuro sin contraseña. Los bancos quieren sumarse.

agosto 5, 2022



Los líderes de TI de los bancos creen casi unánimemente que ha llegado el momento de pasar de las contraseñas a una forma de autenticación más segura, conocida por muchos como sin contraseña.

Como sugiere el nombre, la autenticación sin contraseña implica iniciar sesión en un sistema sin usar una contraseña. Eso puede implicar numerosos métodos alternativos, desde el uso de datos biométricos hasta una llave USB o una aplicación en un dispositivo confiable.

¿Qué tan extendida está la creencia de que las contraseñas deben desaparecer? Según una encuesta reciente, el 89 % de los líderes de seguridad de TI en las empresas de servicios financieros cree que la autenticación sin contraseña garantiza el nivel más alto de seguridad de autenticación, mejor que las contraseñas y la autenticación multifactor.

Los problemas con las contraseñas van más allá de la seguridad. De los 500 participantes en la encuesta, el 89% también dijo que la autenticación sin contraseña sería la forma de garantizar la satisfacción del usuario.

Hypr, un proveedor de autenticación sin contraseña que trabaja principalmente en servicios financieros, contrató a Vanson Bourne, una empresa de investigación de mercado, para realizar la encuesta. Los encuestados se encontraban en EE. UU. (200), Reino Unido (100), Francia (100) y Alemania (100).

Los bancos están en buena compañía en su deseo de superar las contraseñas. Este verano, Apple reveló planes para reemplazar contraseñas con Passkeys — una tecnología de clave pública que permitirá a los consumidores autenticarse con varias plataformas y servicios utilizando Face ID o Touch ID, los sistemas biométricos faciales y de huellas dactilares de la empresa.

Las claves de acceso se consideran un método dinámico de autenticación a diferencia de un método estático como la autenticación de contraseña. Con la autenticación de contraseña, un banco le pide al usuario un valor secreto y el banco sabe de antemano cuál será la respuesta correcta.

Con la autenticación de clave pública, tiene lugar un baile más complejo que requiere que el dispositivo del usuario realice cálculos criptográficos que solo se pueden realizar en un dispositivo que él controla. Un esquema similar y generalizado utiliza Certificados digitales para probar la autenticidad de las páginas web.

Antes del anuncio de Passkeys, Google y Microsoft anunciaron que ellos también se unirían a la lucha para librar al mundo de las contraseñas. Ambos, junto con Apple, participan en la FIDO Alliance, cuya misión es “resolver el problema mundial de las contraseñas” al reemplazar contraseñas con claves de seguridad, reconocimiento facial, escaneo de huellas dactilares u otros métodos que normalmente requieren un dispositivo para ejecutarse.

Los bancos tienen buenas razones para desconfiar de las contraseñas. Según el Informe de investigaciones de violación de datos de 2022 de Verizon, casi el 50 % de las violaciones de datos involucran el uso de credenciales robadas, más que phishing, explotación de vulnerabilidades de software y botnets combinados.

Los actores de amenazas tienen múltiples opciones para acceder a los sistemas utilizando credenciales robadas. Con los sistemas que no tienen autenticación multifactor, pueden usar el relleno de credenciales, lo que implica probar combinaciones de nombre de usuario y contraseña en un sistema que han funcionado en otros sistemas. Estos ataques funcionan debido a la reutilización de contraseñas, cuando una persona usa la misma contraseña en varios sistemas.

Para los sistemas que están protegidos por autenticación multifactor, los actores de amenazas tienen un trabajo más difícil pero factible. Al dirigirse a los usuarios con ataques de phishing selectivo, los delincuentes pueden manipular al usuario para que proporcione la contraseña y el segundo factor, a menudo un código enviado al usuario a través de un mensaje de texto o una aplicación de autenticación multifactor, para acceder al sistema de destino.

Por el contrario, muchas soluciones de autenticación sin contraseña prometen ser a prueba de phishing, lo que Andrew Shikiar, director ejecutivo y director de marketing de FIDO Alliance, reiteró en el anuncio de que Google, Microsoft y Apple acelerarían sus esfuerzos sin contraseña.

“Esta nueva capacidad marcará el comienzo de una nueva ola de implementaciones FIDO de baja fricción junto con la utilización continua y creciente de claves de seguridad, brindando a los proveedores de servicios una gama completa de opciones para implementar una autenticación moderna y resistente al phishing”, dijo Shikiar.

Aunque los bancos aceptan en gran medida este esfuerzo sin contraseña, según la investigación de Hypr, también enfrentan numerosos desafíos al implementarlos, principalmente relacionados con la administración del nuevo tipo de sistema y la fricción que enfrentarán tanto los empleados como los clientes al adoptarlos.

Según Hypr, el 75 % de las instituciones financieras de la encuesta informaron que enfrentan obstáculos relacionados con TI, principalmente la complejidad de administrar una infraestructura de autenticación sin contraseña (33 %). Además, el 62% de los encuestados dijo que los nuevos métodos de autenticación causarían dificultades a sus usuarios.

Para el CEO y cofundador de Hypr, Bojan Simic, las barreras para un futuro sin contraseña son reales pero exageradas, y la pregunta más importante es cómo se moverán los bancos para eliminar las contraseñas.

“Este es el camino a seguir”, dijo Simic. “Todas las principales empresas del mundo, todas las principales empresas de servicios financieros del mundo, se han alineado en esto. Es solo una cuestión de cuándo y exactamente cómo esa es la pregunta”.

Bill Gates también respalda el fin de las contraseñas, quien dijo que “simplemente no cumplen con el desafío de nada que realmente desee proteger”. Pero es posible que los bancos y los proveedores de tecnología no quieran contener la respiración por un futuro sin contraseña. Gates y otros han estado diciendo que las contraseñas deben desaparecer desde el 2004.



Source link