El uso de nombres de usuario y contraseñas para la autenticación de cuentas es un mecanismo de seguridad fundamentalmente defectuoso. Los nombres de usuario a menudo son adivinados, derivados del nombre del titular de la cuenta u otras características. Las contraseñas complejas son difíciles de recordar, por lo que muchos usuarios han predeterminado las contraseñas como “contraseña”, “abc123”, el nombre de tu mascota y otras nomenclaturas fáciles de adivinar o fácilmente hackeables. Y en un mundo en donde el volumen de violaciones de contraseñas puede ser de cientos o millones, hay una amplia posibilidad de que tus contraseñas ya estén flotando alrededor de las esquinas más sórdidas de Internet.
Existen herramientas actualmente llamados los administradores de contraseñas que ayudan para hacer el acceso a la cuenta más fácil para el usuario o dueño de la misma y más difícil para los hackers de una manera básica pero algo ayuda.
Casi todos los administradores de contraseñas trabajan bajo el principio de que tu creas una contraseña maestra para acceder a tu bóveda de identidad, y luego el administrador de contraseñas completa los nombres de usuario y las contraseñas individuales para los sitios y las aplicaciones que usas. Una de las ventajas de esta práctica es que, como ya no tienes que recuperar las contraseñas, puedes asignar a cada sitio o app una contraseña diferente, compleja y difícil de recordar.
¿Existen riesgos? Por supuesto sobre todo cuando un ciberdelincuente tiene acceso a tu contraseña maestra, todas tus cuentas estarán expuestas al saqueo. Del mismo modo, si un ciberdelincuente entra a la bóveda central de la compañía de administración de contraseñas, es posible que se robe millones de claves en un solo movimiento.
Hay soluciones para protegerte de ambos riesgos. La mayoría de los administradores de contraseñas utilizan autenticación multifactorial, por lo que el acceso a la bóveda de credenciales se otorga sólo con una contraseña correcta y un código de autenticación personal. Ese código sólo existe en un dispositivo propio, lo que limita la posibilidad de que alguien en todo el mundo acceda a tu información.
Las bóvedas maestras también suelen estar protegidas por los proveedores cifrando la información de tu contraseña localmente, incluso antes de que salga de tus dispositivos. Esa información se almacena, en forma cifrada, en los servidores operados por los proveedores. En la mayoría de los casos, esta es una seguridad lo suficientemente fuerte.
Una buena contraseña debe ser una larga cadena de letras mayúsculas y minúsculas, números, signos de puntuación y otros caracteres no alfanuméricos, algo que es difícil de adivinar para otros, pero muy fácil de controlar para un administrador de contraseñas. Y pese a lo que hayas escuchado, una vez que seleccionas una buena contraseña, realmente no necesitas cambiarla periódicamente.
MICROSOFT Y SU CONTRIBUCIÓN PARA ELIMINAR LAS CONTRASEÑAS.
En estos momentos Microsoft trabaja actualizando su tecnología de computación en la nube ampliamente utilizada para facilitar que millones de nosotros eliminemos nuestras contraseñas.
Una de las cuestiones que incluye esta actualización está generando que el inicio de sesión sin contraseña sea una característica estándar para Azure Active Directory, un servicio basado en la nube que los clientes pueden usar para manejar las tareas de inicio de sesión de sus empleados.
Lo anterior lo indicó la compañía en su conferencia Ignite que se llevó a cabo en línea todo este año por la COVID-19 y que está dirigida a personal de TI y otros técnicos que utilizan los productos de Microsoft.
En una tarea más, Microsoft está suavizando la dificultad potencial de no tener contraseña con una nueva tecnología llamada Temporary Access Pass, que facilita a los usuarios inscribirse en nuevos servicios sin generar una contraseña. Es un código de inicio de sesión de una sola vez y a corto plazo que los administradores de TI pueden enviar a los usuarios para su inicio de sesión inicial. También es útil para recuperar el acceso a la cuenta en caso de un problema, como perder una clave de seguridad o el teléfono utilizado para iniciar sesión. Sin embargo, hasta ahora solo está disponible como tecnología de vista previa.
El esfuerzo invertido por la empresa para superar las contraseñas se produce en medio de un creciente reconocimiento de sus limitaciones para la autenticación. Elegimos contraseñas incorrectas, las reutilizamos y a menudo, las olvidamos. Cuando las roban, los piratas informáticos los venden a cualquiera que quiera intentar entrar en nuestras cuentas. Un sitio de seguridad, Have I Been Pwned, ha contabilizado más de 613 millones de contraseñas robadas.
Es por eso que los profesionales de la seguridad se están moviendo para aumentar las contraseñas con otros sistemas de autenticación como la biometría, como Windows Hello o Face ID de Apple, y claves de seguridad de hardware como las YubiKeys de Yubico .
Los estándares desarrollados por FIDO Alliance están diseñados para permitirle deshacerse de las contraseñas. Los estándares están integrados en las claves de seguridad de hardware y se combinan con tecnologías como las huellas dactilares o el reconocimiento facial. También protegen contra los esfuerzos de phishing para dirigirlo a sitios web falsos diseñados para recopilar información de inicio de sesión que se puede usar para robar su dinero y su identidad, porque las credenciales de inicio de sesión de FIDO solo funcionan en el sitio web genuino al que están vinculadas.
Los esfuerzos de Microsoft por no tener contraseñas están dando sus frutos. Aproximadamente 200 millones de personas han habilitado el inicio de sesión sin contraseña para los servicios de Microsoft, como Outlook y Xbox Live, según Joy Chik, que administra los productos de identidad de la compañía. Eso es un tercio de los 150 millones de personas que habían habilitado el inicio de sesión sin contraseña hasta el pasado mes de mayo.
Muchos de ellos todavía usan contraseñas como un respaldo de inicio de sesión, dijo Chik, pero a partir de la primavera, Microsoft permitirá que las personas eliminen sus contraseñas antiguas y se vuelvan completamente sin contraseña.
Referencias
Colby, Clifford, Estos son los mejores gestores de contraseña y como usarlos, cnet.com 2020, recuperado: https://www.cnet.com/es/noticias/mejores-gestores-de-contrasenas-lastpass-1password/
Shankland, Stephen, Microsoft promises to ease the pains of going passwordless, cnet.com 2021, recuperado: https://www.cnet.com/news/microsoft-promises-to-ease-the-pains-of-going-passwordless/
