“No hay duda de que, con el tiempo, las personas dependerán cada vez menos de las contraseñas … simplemente no cumplen con el desafío de cualquier cosa que realmente desee proteger”, dijo Bill Gates.
Eso fue hace diecisiete años. Aunque las contraseñas han perdido algo de su encanto, hasta ahora han sobrevivido a muchos intentos de matarlas para siempre.
La percepción de implementaciones complicadas y de alto costo ha impedido que algunas empresas más pequeñas abandonen las contraseñas. Pero las alternativas a las contraseñas son asequibles, fáciles de implementar y más seguras, muestran los conocimientos de la industria recopilados por Extra Crunch. El paso a sistemas de confianza cero está actuando como un catalizador.
Primero, una cartilla. La confianza cero se centra en quién eres, no en dónde estás. Los modelos de confianza cero requieren que las empresas nunca confíen en ningún intento de acceder a su red y deben verificar cada vez, incluso desde inicios de sesión desde dentro de la red. La tecnología sin contraseña es una parte clave de los modelos de confianza cero.
Hay varias alternativas para las contraseñas, que incluyen:
Autenticación biométrica: ampliamente utilizado como lectores de huellas dactilares en teléfonos inteligentes y puntos de verificación física en edificios; Autenticación de redes sociales: donde usa sus ID de Google o Facebook para autenticarlo con un servicio de terceros; Autenticación multifactor: donde se agregan más capas de autenticación mediante dispositivos o servicios, como la autenticación mediante token mediante un dispositivo de confianza. Tarjetas de autenticación de cuadrícula: que brindan acceso mientras se usa un número PIN de combinación. Notificaciones push: que generalmente se envían a los teléfonos inteligentes o dispositivos encriptados del usuario. Certificados digitales: archivos criptográficos almacenados localmente en la máquina o dispositivo.
Wolt, un sitio de entrega de alimentos finlandés es solo un ejemplo de cómo no tener contraseña.
“El usuario se registra ingresando su dirección de correo electrónico o un número de teléfono. El inicio de sesión en la aplicación se realiza haciendo clic en el enlace temporal en la bandeja de entrada del usuario. La aplicación en el teléfono móvil del usuario coloca una cookie de autenticación, que permite al usuario continuar desde ese dispositivo sin tener que realizar ninguna autenticación adicional ”, dijo Erka Koivunen, CISO de F-Secure.
En este caso, el proveedor de servicios tiene el control total de la autenticación, lo que le permite establecer el tiempo de vencimiento, revocar el servicio y detectar fraudes. El proveedor de servicios no necesita contar con el compromiso del usuario de realizar un seguimiento de sus contraseñas.
La tecnología sin contraseña no es inherentemente costosa, pero puede requerir algunos ajustes, explicó Ryan Weeks, CISO del proveedor de servicios administrados Datto.
“No es necesariamente costoso en términos de inversión monetaria, porque hay muchas alternativas de código abierto de fácil acceso para la autenticación multifactor que no requieren ningún tipo de inversión”, dijo Weeks. Pero algunas empresas creen que la tecnología sin contraseña puede causar fricciones en la productividad de sus empleados.
Koivunen también descartó que los modelos de confianza cero no sean asequibles para las nuevas empresas.
“Zero Trust reconoce la inutilidad de obligar a los usuarios a autenticarse presentando algo que deberían mantener en secreto. En cambio, prefiere establecer la identidad del usuario mediante algún método sensible al contexto ”, dijo.
La confianza cero va más allá de la autenticación de usuarios; también incluye el dispositivo y el usuario.
“Desde una perspectiva de confianza cero, existe la idea de que se está produciendo una autenticación o revalidación continua de la confianza. Por lo tanto, sin contraseña en un modelo de confianza cero es potencialmente más fácil para el usuario y más seguro, ya que la combinación de los factores ‘algo que tienes’ y ‘algo que eres’ es más difícil de atacar ”, dijo Datto’s Weeks.
Empresas más grandes, como Microsoft y Google, ya ofrecen tecnologías de confianza cero. Pero los inversores también están apuntando a empresas más pequeñas que ofrecen cero confianza para las empresas en crecimiento.
Axis Security, un proveedor de confianza cero que permite a los empleados remotos acceder a la red de su empresa, recaudó 32 millones de dólares el año pasado. Beyond Identity recaudó $ 75 millones en fondos en diciembre. Y, la startup de validación de identidad de Israel, Identiq, recaudó $ 47 millones en fondos de la Serie A en marzo.
Source link