viernes, 8 de febrero de 2019

¿Estamos preparados para el fin de las contraseñas?




En las organizaciones cada vez cobra mayor importancia la protección de datos de los clientes y la información corporativa. Se buscan métodos eficientes que permitan minimizar el riesgo; el cual ante los métodos tradiciones de autenticación y las malas prácticas de los empleados, ha aumentado las brechas de seguridad y han permitido que los atacantes logren acceder a la información que se supone debe permanecer privada.

Si hacemos un breve análisis con respecto a las contraseñas, encontramos que básicamente existen dos tipos de usuarios:

  • Los que usan la misma contraseña para cada cuenta.
  • Los que usan una contraseña ligeramente diferente para cada cuenta.
 
Este comportamiento obedece a que el usuario promedio siente temor al olvido de la contraseña y recae en la utilización de contraseñas muy débiles, que contienen datos personales o familiares, fechas, teléfonos, números de identificación o palabras relacionadas con su trabajo o actividad. Lo que les facilita enormemente a los atacantes “adivinar” la contraseña. 

A nivel general, apenas el 1% de los usuarios son conscientes de la importancia de construir una contraseña robusta; el resto de usuarios utilizan contraseñas que pueden ser descifradas con facilidad, principalmente por los siguientes motivos:

-          Reutilización de contraseñas
-          Rotación de contraseñas
-          Adicionar un digito o caracter 
-          Incluso compartir la clave con otras personas

Hace algunos años, los usuarios solo tenían que preocuparse por memorizar una contraseña para el correo electrónico y una clave para la tarjeta de crédito, en la actualidad esta situación es muy diferente, ya que un usuario de negocios o empleado promedio debe realizar un seguimiento de casi 30 servicios diferentes; entre cuentas de correo, redes sociales, cuentas corporativas, servicios bancarios, servicios del estado, etc.

Teniendo en cuenta lo anterior, es cada vez más difícil para los usuarios memorizar tantas contraseñas, por lo que se hace recurrente que utilicen la misma contraseña para todos los servicios en línea, de tal forma que el atacante puede tomar el control de todos los servicios y de la vida digital de esa persona. Por ejemplo, al conocer la cuenta de correo, número de teléfono o nombres completos del objetivo, mediante un servicio como https://pipl.com/ es posible encontrar que otros servicios están relacionados a los datos proporcionados en la búsqueda. 

Esta práctica por parte de los usuarios, hace que las organizaciones se enfrenten a amenazas constantes, a poner en riesgo la información y la reputación de la organización; porque es evidente que ante una fuga de datos se pierde la confianza por parte de los usuarios hacia la entidad que ha sido víctima del ataque.

¿Porque las contraseñas no están funcionando?

Este método de autenticación se está tornando obsoleto en la actualidad, porque los usuarios utilizan la misma clave para diferentes servicios, en ocasiones comparten sus credenciales y para empeorar la situación nunca cambian la contraseña, aunque siempre se recomiende cambio regular de claves. Para los usuarios las contraseñas que son generadas por un gestor de claves resultan complejas, lo cual hace que no usen este método. Por otra parte, la gran mayoría de los usuarios tampoco hacen uso del segundo factor de autenticación, lo que hace en gran medida más vulnerable a un ataque.

En el año 2003 Bill Nurr, ex-director del National Institute of Standards and Technology de Estados Unidos, aconsejó usar contraseñas de por lo menos 8 caracteres combinando letras y números. Pero en el año 2017 en una entrevista a The Wall Street Journal afirmó que su propuesta estaba equivocada, se había pasado de contraseñas débiles a combinaciones simples de números y letras.

Recomendaciones en cuanto a contraseñas

Por el momento una solución medianamente aceptable es construir frases o grupos de palabras; contraseñas de 35 caracteres, que incluyan alguna ñ, ya que los principales mecanismos para romper claves son en inglés, no cuentan con este carácter, lo que la hace más difícil de romper. Por supuesto utilizar el mecanismo de doble factor de autenticación.

Aunque el problema sigue siendo el mismo, los usuarios no creen que exista alguien con interés de acceder a sus cuentas y la imposibilidad de memorizar una contraseña como D$%34ghty_jp*!2o800Iuñ es mucho más factible para los usuarios crear contraseñas complejas y distintas para cada servicio del tipo: _$0l0$3qu3n4d4$3% (solo sé que nada sé) la cual al verificarla en el servicio  de https://howsecureismypassword.net/ arroja el siguiente resultado:


El tiempo en romper esta clave es de 1 cuatrillón de años, ahora veamos que sucede cuando agregamos una Ñ al final:


El resultado pasa de 1 cuatrillón de años a 852 sextillones de años; No obstante, si persisten las malas prácticas por parte de los usuarios la contraseña, por más segura que esta sea no garantiza protección total de la información.

Para concluir la era de las claves y contraseñas personales esta próxima a su fin, por tal motivo se está trabajando en otros mecanismos de autenticación, como Factores de autenticación múltiples, logueo sin contraseña, Autenticación basada en el riesgo (alertas sobre actividad sospechosa en la cuenta) y dispositivos biométricos. 

 

Compartir...

Siguenos en twitter: @disoftin

1 comentario:

  1. Es hora de implementar un mecanismo diferente de autenticación.

    ResponderEliminar