Es seguro decir que a nadie le vuelven loco las contraseñas. Es una pesadilla para los jefes de seguridad de la información que los empleados dejen listas de contraseñas en sus escritorios o las peguen en notas adhesivas en sus computadoras. Para los empleados, existe el inconveniente de tener que ingresar varias contraseñas para acceder a varios dispositivos y recursos.
La tecnología de autenticación sin contraseña fue diseñada para resolver estos problemas y el uso de estas herramientas está aumentando. A. Última encuesta de 200 CISO Una investigación realizada por Wakefield Research, patrocinada por el proveedor de seguridad Portnox, encontró que una mayoría significativa (92%) de los líderes de seguridad dicen que su organización ha implementado o planea implementar la autenticación sin contraseña. Esto representa un aumento del 70% en 2024. Los CISO mencionaron el aumento de la productividad de los empleados y la mejora de la experiencia del usuario como principales beneficios.
La autenticación sin contraseña verifica la identidad del usuario sin necesidad de contraseñas tradicionales mediante métodos alternativos como tokens de hardware, datos biométricos o notificaciones push móviles. Ofrece beneficios potenciales como seguridad mejorada y experiencia de usuario mejorada.
El proveedor de servicios educativos Universal Technical Institute ha comenzado a utilizar una plataforma sin contraseñas de Microsoft, “y a medida que ampliamos la adopción, los beneficios están surgiendo rápidamente con menos restablecimientos de contraseñas, menos tickets de servicio técnico y un comienzo del día más rápido”, dijo Adrienne DeTray, vicepresidenta senior y CIO de la compañía.
“El mayor impacto es cultural”, dijo DeTray. “Esto demuestra que nos tomamos en serio el deseo de hacer que la tecnología vuelva a ser más liviana y más humana. Hemos agregado tantos sistemas e inicios de sesión a lo largo de los años que el peso de la tecnología se ha convertido en parte del negocio. Este es uno de los pasos que ayuda a eliminar los obstáculos administrativos y hace que el ecosistema se sienta más fluido y conectado”.
DeTray dijo que no se trata sólo de seguridad, sino también de experiencia del usuario. “Cada restablecimiento o bloqueo de contraseña ralentiza a las personas y reduce su concentración”, dijo. “Sin contraseña elimina todas las molestias del día y le devuelve tiempo a la gente. Es parte del diseño de un ecosistema conectado donde la seguridad y la usabilidad van de la mano”.
MFA pierde el estatus de ‘estándar de oro’ en ciberseguridad
El proveedor de servicios de ingeniería de productos digitales R Systems International se encuentra en medio de una transición gradual hacia un entorno sin contraseñas, dijo el CTO Srikara Rao. “Para nosotros, no se trata de seguir una tendencia; es una respuesta directa al hecho de que nuestro estándar de oro anterior, la autenticación multifactor, está mostrando su antigüedad”, dijo Rao. “El panorama de amenazas ha evolucionado más allá de lo que la MFA tradicional puede manejar”.
La decisión de R Systems de tomar esta medida está impulsada tanto por factores de seguridad como de habilitación empresarial. “Los ataques basados en credenciales siguen siendo el mayor vector de amenazas, con un aumento significativo de los intentos de phishing y varios cuasi accidentes, lo que subraya la urgencia de tomar medidas”, dijo Rao. dijo. “Queremos fomentar soluciones resistentes al phishing dentro de nuestra organización”.
Rao dijo que desde una perspectiva operativa, restablecer la contraseña se ha vuelto bastante costoso. Los reinicios pueden ser costosos debido a los gastos de mano de obra directa y a importantes costos indirectos, como la pérdida de productividad de los empleados y el consumo de recursos de TI. La firma de investigación Forrester estima que un solo restablecimiento de contraseña puede costar 70 dólares, y eso puede sumarse rápidamente para las grandes empresas.
También es fundamental que la empresa cumpla con requisitos de cumplimiento como PCI 4.0, que requiere una nueva autenticación de cualquier cosa que los usuarios reinicien o accedan. “La autenticación sin contraseña hará que el proceso sea sencillo”, afirmó Rao. “Y finalmente, mientras competimos por el mejor talento en tecnología y ciberseguridad, ser una organización sin contraseñas indica que somos una organización con visión de futuro y que prioriza la seguridad”.
Las políticas de traer su propio dispositivo son un factor
El proveedor de atención médica Diversus Health también está adoptando la autenticación sin contraseña utilizando tecnología en forma de control de acceso a la red basado en certificados.
“Debido a nuestra reciente adopción de una política de traer su propio dispositivo, nuestra auditoría interna anual de cumplimiento de HIPAA identificó la falta de control de acceso a la red como una de nuestras amenazas de alto riesgo”, dijo el gerente de seguridad de TI, Neil Ford. “Así que comenzamos a buscar soluciones que pudieran usarse para reducir la amenaza”.
A principios de este año, Diversus Health implementó un sistema de Portnox que utiliza autenticación basada en certificados para autenticar dispositivos. “Distribuimos el certificado a través de una solución de gestión de terminales basada en la nube, por lo que la verificación con Portnox es transparente para el personal”, dijo Ford.
Ford dijo que la solución reduce efectivamente la amenaza de que dispositivos desconocidos se conecten a la red de la compañía y accedan a recursos internos.
Una de las claves para la adopción exitosa de la autenticación sin contraseña es comunicar eficazmente el cambio de seguridad al personal. “Los empleados se enfrentan a décadas de memoria de contraseñas y los usuarios se preguntan ‘¿qué pasa si pierdo mi dispositivo?’ aborda preocupaciones legítimas sobre cuestiones críticas”, dijo Rao. “Rápidamente aprendimos que necesitábamos vender el ‘por qué’ a nuestros empleados”.
Las empresas deberían enmarcar la autenticación sin contraseña no como otra necesidad de seguridad, sino como un beneficio directo para los empleados a través de una menor frustración, inicios de sesión más rápidos y la eliminación de los restablecimientos de contraseñas, dijo Rao. Antes de hacer el cambio, R Systems llevó a cabo pequeñas sesiones de capacitación interactivas para que las personas se acostumbraran a acceder a herramientas como el reconocimiento de huellas dactilares en sus teléfonos.
“No puedo enfatizar lo suficiente la importancia de las organizaciones que brindan capacitación a los usuarios”, dijo Rao. “Existe una diferencia significativa entre una implementación exitosa y una inversión en estanterías”.
Rao dijo que la estrategia sin contraseña de R Systems no está ligada a un solo proveedor, sino que se basa en los estándares abiertos FIDO2 y WebAuthn y “nos da la flexibilidad de elegir la herramienta adecuada para cada perfil de riesgo”. “Los usuarios privilegiados, como administradores, desarrolladores y administradores, utilizan claves de seguridad de hardware FIDO2, mientras que la fuerza laboral en general depende de claves de acceso integradas con la biometría del dispositivo, como Windows Hello y Face ID”.
La compañía todavía está evaluando las implicaciones de pasar a la autenticación sin contraseña y trabajando para que funcione mejor para todos.
“Hemos visto que la experiencia de nuestros empleados mejora significativamente, con inicios de sesión más rápidos y una reducción significativa en las notificaciones de la mesa de ayuda relacionadas con contraseñas”, dijo Rao. “Lo más importante es que la autenticación sin contraseña se ha convertido en la piedra angular de nuestra arquitectura de confianza cero, proporcionándonos una capa de identidad más sólida y altamente segura que brinda acceso seguro independientemente de la ubicación del usuario o del dispositivo”.
