Esta tecnología podría hacer innecesarias las contraseñas

0
40

Dusseldorf Bandejas de entrada de correo electrónico, redes sociales, banca en línea, comercio electrónico y portales de transmisión: el usuario promedio hoy en día utiliza una variedad de servicios en línea. Esto requiere una cantidad considerable de memoria: el acceso generalmente está asegurado por una combinación de nombre de usuario y contraseña. Debido a que casi nadie puede recordar esto, muchos usan los mismos datos para varios servicios o usan combinaciones simples como “123456” o “contraseña”.

El riesgo es grande: los piratas informáticos pueden descifrar contraseñas simples en minutos o segundos usando programas especiales y probar automáticamente los datos de acceso con diferentes servicios; después de numerosas filtraciones, varios miles de millones de registros de datos están más o menos disponibles en línea. Los administradores de contraseñas facilitan el manejo, pero no resuelven el problema fundamental.

También es posible sin contraseña. Ya existen procedimientos de inicio de sesión que lo hacen sin él y siguen siendo muy seguros: Deutsche Telekom, Telefónica y Vodafone comenzaron el servicio Mobile Connect el año pasado. Esto utiliza el número de teléfono móvil personal del usuario como una identidad digital única cuando compra en línea o se registra en portales en línea.

Google, Microsoft y docenas de otras compañías tecnológicas conocidas, a su vez, están promoviendo el nuevo estándar FIDO2 como parte de una alianza global, que la revista especializada en tecnología informática “c’t” ha proclamado como un “asesino de contraseñas”. Servicios como “Windows Hello” ya están utilizando la tecnología.

“En Microsoft, hemos creído durante mucho tiempo que las contraseñas no son seguras y no ofrecen protección suficiente para las cuentas de usuario”, dijo Stratos Komotoglou, gerente de marketing de Microsoft Alemania. En última instancia, muchos ataques cibernéticos comienzan con delincuentes o espías que obtienen acceso a una cuenta de correo electrónico.

Pero los expertos creen que pasará algún tiempo antes de que todos los servicios web hayan introducido las interfaces necesarias para las nuevas tecnologías. Además, depende de la confianza de los usuarios qué tan rápido prevalecerán los procedimientos de inicio de sesión sin contraseña en todos los ámbitos: “El uso de contraseñas está muy extendido y se ha establecido durante décadas”, dice Christoph Meinel, profesor de informática y director de Hasso. Instituto Plattner (HPI). Las personas están acostumbradas a ellas y primero hay que convencerlas para que cambien a alternativas.

“Las contraseñas desaparecerán primero del mundo de los negocios. Sin embargo, es difícil estimar cuándo el último cliente privado puede destruir su contraseña “, dice Dirk Ofen, Jefe de Seguridad de Telekom.

Inundación de contraseñas

El problema se aclara cuando mira la lista de las contraseñas más utilizadas en Alemania, que HPI publica anualmente. Los 5 principales en 2019 son: “123456”, “123456789”, “12345678”, “1234567” y “contraseña”. “Muchos usuarios de Internet ya administran más de cien cuentas en línea”, dice el científico informático Meinel. Es molesto recordar una contraseña diferente para cada servicio. Por lo tanto, la elección recae con demasiada frecuencia en combinaciones que son fáciles de recordar, o se usarían varias veces.

Las contraseñas complejas no son tan fáciles de superar, pero plantean desafíos para los usuarios, incluso si usan trucos de memoria y, por ejemplo, procesan las primeras letras de una oración como “Mis hijos se llaman Max y Moritz y tienen 7 y 9 años” para combinar MKhM & M & s7u9 Sí. “Siempre es una compensación entre seguridad y practicidad”, dice Tibor Jager, profesor de la Cátedra de Seguridad de TI y Criptografía de la Universidad de Wuppertal.

Los administradores de contraseñas ofrecen una mayor protección porque generan automáticamente contraseñas complejas. Sin embargo, los usuarios también necesitan al menos una clave de acceso a su contraseña digital segura. Además, los usuarios del administrador de contraseñas también pueden convertirse en víctimas de ataques de phishing, por ejemplo, al ingresar su contraseña en un sitio web ficticio y, de este modo, dar acceso a los piratas informáticos a su vida digital completa.

Si no desea confiar únicamente en la combinación de nombre de usuario y contraseña, puede configurar seguridad adicional para muchos servicios en línea, en la jerga técnica llamada autenticación de dos factores o de múltiples factores. Si desea abrir su cuenta de correo electrónico, debe ingresar un código, por ejemplo, que se envía a su teléfono inteligente; los atacantes no pueden acceder fácilmente a esto. Las tarjetas magnéticas o componentes de hardware, llamados tokens, también son adecuados para esto.

gráfico

Este principio ahora es obligatorio en algunas áreas sensibles. En el curso de la introducción de la directiva del servicio de pago PSD2 desde mediados de septiembre de 2019, los clientes bancarios en la UE deben especificar un segundo factor no solo al realizar transferencias, sino también al iniciar sesión en una cuenta, como un TAN. Sin embargo, el mayor nivel de seguridad es a expensas de la facilidad de uso: muchos usuarios se quejan del proceso de registro más complicado.

La nueva tecnología FIDO2 promete una simplificación significativa. Los usuarios ya no tienen que recordar contraseñas, solo tienen que llevar el objeto físico en el que se almacena la clave de seguridad individual.
Esto se basa en una alianza no comercial, que incluye compañías como Google, Microsoft, Infineon, Alibaba, Mastercard y Samsung. La Alianza FIDO se ha fijado el objetivo de desarrollar estándares industriales abiertos y sin licencia para la autenticación mundial en Internet. También está en el nombre: FIDO es la abreviatura de “Identidad rápida en línea”.

Con FIDO2, Allianz ha desarrollado una nueva solución de autenticación que permite un proceso de inicio de sesión sin contraseña. “FIDO tiene el potencial de reemplazar finalmente la contraseña como un método de autenticación generalizado”, dice una publicación de Competence Center Public IT y Fraunhofer Institute Focus en abril de 2019. Stan Lowe, Director de Seguridad de la Información Global en el, lo pone aún más claramente Plataforma californiana de seguridad en la nube Zscaler: “El estándar FIDO2 parece no tener otra alternativa como canción en la contraseña”.

Quitar clave

Iniciar sesión con el estándar FIDO2 requiere una clave de seguridad en la que se almacena un código; no debería ser posible leerlo debido a su construcción. Este llamado autenticador puede, por ejemplo, ser un dispositivo externo para el llavero, que se puede conectar a la PC o teléfono inteligente a través de USB, NFC o Bluetooth.

Sin embargo, la clave de seguridad también se puede almacenar virtualmente en un microchip especialmente seguro en una computadora o teléfono inteligente. En este caso, no se requiere hardware adicional. Este procedimiento ya se puede utilizar, por ejemplo, en dispositivos con Windows 10 con la actualización de mayo de 2019 y dispositivos Android desde la versión 7. Apple permite el uso de dispositivos externos compatibles con FIDO2 con la actualización de su sistema operativo móvil iOS a la versión 13.3.

Hay ventajas no solo en términos de comodidad, sino también en términos de seguridad. Esto se debe a que la clave crea un par de claves asimétricas por separado para cada servicio en el que el usuario desea iniciar sesión, que consiste en una clave pública y una clave secreta. Solo la combinación de los dos permite el acceso.

Dado que la clave pública depositada en el servicio no se puede utilizar para crear firmas digitales y, por lo tanto, no se pueden llevar a cabo procesos de registro, los usuarios no tienen que temer que personas no autorizadas puedan acceder a su cuenta incluso en caso de pérdida de datos de los proveedores de servicios. “Realmente no tiene que preocuparse por los métodos criptográficos utilizados”, dice el investigador de seguridad de TI Jager.

Incluso los ataques de phishing, en los que los estafadores atraen a sus víctimas a sitios web falsos para obtener datos personales, no llegan a nada: incluso si un usuario se enamora de ellos e intenta iniciar sesión, el atacante no puede hacer nada con los datos: el sistema los crea un par de llaves separado para cada lado. Específicamente, esto significa, por ejemplo: los datos que un estafador robó de un sitio web falso de Amazon no son adecuados para la tienda en línea real.

Dado que el estándar FIDO2 requiere que el usuario confirme el proceso de registro, los atacantes fallarían incluso en dispositivos infectados con malware para intentar iniciar sesión en los servicios en secreto. Con dispositivos externos, el proceso de registro solo se inicia después de que el usuario lo ha tocado. Los usuarios de la clave de seguridad virtual de Android y Windows 10 deben confirmar su identidad con un PIN, huella digital o escaneo facial. Sin embargo, la clave de seguridad no envía el PIN o los datos biométricos a un servidor; solo sirven como un comando para iniciar el proceso de registro.

Sin posesión, sin inicio de sesión

A pesar de todas las ventajas, el estándar FIDO2 también tiene desventajas: “Si el token de hardware se pierde o se rompe, el inicio de sesión ya no es posible”, dice Michael Meier, profesor de la Cátedra de Seguridad de TI en la Universidad de Bonn y director Departamento de Ciberseguridad del Instituto Fraunhofer de Comunicación, Procesamiento de la Información y Ergonomía (FKIE). Él cree que en tales casos, las contraseñas continuarán desempeñando un papel como mecanismo de respaldo.

“FIDO2 combina la facilidad de uso con un alto estándar de seguridad. Esto hace que la tecnología sea muy atractiva para los usuarios “, dice Rebekka Weiß, jefe del departamento de Confianza y Seguridad de Bitkom. Pero un viejo problema es mucho más difícil de resolver: “Muchos consumidores no quieren lidiar con las medidas de seguridad”.

La aceptación aún es demasiado baja para hablar de una revolución rápida, dice el experto en seguridad de TI Tim Berghoff de la compañía de software Bochum G-Data. Él cree que pasarán algunos años más antes de que FIDO2 sea ampliamente aceptado. “Sin embargo, ignorar los beneficios de FIDO2 debido a problemas de habituación no sería una decisión acertada”, agregó Berghoff.

“La industria definitivamente está allanando febrilmente el camino para la introducción generalizada de FIDO2, y la infraestructura para él ya se está construyendo”, dice Stan Lowe de Zscaler. Los proveedores de soluciones de identificación ya se están subiendo al carro a través de la integración de la tecnología, incluso si tomará alrededor de 18 a 24 meses antes de la implementación final. “Sin embargo, desde el punto de vista del usuario, FIDO2 desafortunadamente aún no es una alternativa utilizable, ya que actualmente muy pocos servicios de telemedia admiten FIDO2”, dice la Oficina Federal de Seguridad de la Información (BSI) a pedido.

“En el mediano plazo, los procedimientos puramente protegidos con contraseña también serán una parte integral del contexto corporativo”, dice Berghoff. Por un lado, el funcionamiento de la infraestructura requerida requiere recursos gratuitos, por otro lado, los procedimientos protegidos con contraseña también se utilizan donde ningún usuario normal tiene acceso, por ejemplo, al autenticar cuentas de servicio en recursos como una base de datos.

El fabricante de claves de seguridad Yubico, también miembro de la alianza FIDO, confía: “Al incluir a líderes tecnológicos importantes como Google y Microsoft en el desarrollo del estándar, la introducción de la autenticación sin contraseña puede convertirse en una corriente principal, ya que cada servicio puede implementar fácilmente el estándar y puede hacerse cargo “, dice Jerrod Chong, Director de Soluciones de Yubico.

La compañía ya ha equipado a todos los empleados de Google con sus YubiKeys y también desarrolla claves de seguridad de hardware en cooperación con el grupo de motores de búsqueda. Michael Meier, de la Universidad de Bonn, ve a las pequeñas y medianas empresas como una oportunidad para implementar un aumento económico en la seguridad de TI basada en la tecnología FIDO2.

Las contraseñas pueden morir en cuotas: el estudio de IBM “El futuro de la identidad” publicado en 2018 concluye que los millennials están más relajados con las contraseñas que la generación 55+, pero están más abiertos a los métodos de autenticación biométrica que los semestres anteriores ,

Una clave de seguridad virtual FIDO2 en el teléfono inteligente, que inicia el proceso de inicio de sesión con una huella digital o un escaneo facial, podría adaptarse a los hábitos de uso de la generación joven y reemplazar gradualmente la contraseña.
Asistencia: Stephan Scheuer

más: En 2019, millones de alemanes protegieron sus cuentas con contraseñas que eran demasiado débiles. Estas son las 20 variantes más populares.

,

LEAVE A REPLY

Please enter your comment!
Please enter your name here