¿Qué es la autenticación sin contraseña?
La autenticación sin contraseña es un método de autenticación o verificación de identidad que utiliza biometría, certificaciones o contraseñas de un solo uso (OTP). La autenticación sin contraseña, que se considera más segura que las preguntas tradiciones de seguridad de contraseña o códigos de PIN (número de identificación personal), disminuye la carga administrativa y simplifica el acceso de los usuarios. Por lo general, la autenticación sin contraseña se utiliza junto con la autenticación multifactor (MFA) o el inicio de sesión único (SSO).
Descubra cinco formas en que la identidad fortalece la ciberseguridad en la empresa.
A diferencia de los métodos de identificación tradicionales que se pueden robar, compartir o reutilizar, la autenticación sin contraseña exige que los usuarios verifiquen su identidad con un factor inherente o de posesión. Un factor de posesión es algo que identifica particularmente al usuario y que nadie más tendría, como un dispositivo móvil registrado o un token de hardware. Por su parte, los factores inherentes incluyen las huellas dactilares, de los pulgares, de las palmas o de la mano, el reconocimiento facial o de voz, así como el escaneo de retina y de iris.
La autenticación sin contraseña ofrece una alternativa eficaz a las contraseñas, que a menudo se filtran, las adivinan o les aplican ingeniería inversa. La mejora de seguridad suministrada protege contra muchos ataques conocidos que explotan las vulnerabilidades de la autenticación con contraseña.
La autenticación sin contraseña resiste los siguientes ataques:
- Ataques de fuerza bruta
- Relleno de credenciales
- Ataques de diccionario
- Registro de teclas (keylogging)
- Ataque de intermediario (MitM)
- Difusión de contraseñas
- Suplantación de identidad (phishing)
- Ataques de tabla arcoíris
- Ataques de fuerza bruta inversa
- Smishing (phishing por SMS)
- Spear phishing (phishing dirigido)
- Vishing (phishing telefónico)
- Ciberataque a ballenas (whaling)
Los beneficios adicionales de la autenticación sin contraseña se encuentran en las capas.
- Menos impacto en los equipos de soporte
- Más intuitiva que la autenticación tradicional basada en contraseñas
- Menor costo total de propiedad (TCO) con poca infraestructura
- Disminución de complejidad en la pila de identidad
- Los usuarios ya no necesitan recordar la contraseña
Tipos de autenticación sin contraseña
Biometría
Se utilizan escáneres avanzados para tomar y validar los factores de autenticación biométrica, como huellas dactilares, de pulgares, de las palmas o de las manos, reconocimiento facial y de voz, escaneo de retina o iris, utilizando los datos guardados en una base de datos de autenticación.
La biometría es un factor de autenticación muy fiable porque es estadísticamente imposible duplicarlos, por ejemplo, la probabilidad de que dos rostros tenga atributos físicos similares es inferior a una en un billón y la posibilidad de que existan huellas dactilares idénticas es de una en 64 billones.
Token de hardware
Un token de hardware es un pequeños dispositivo electrónico (por ejemplo, llavero o dispositivo USB) que genera una contraseña de un solo uso (OTP), también denominado token de software, cada vez que lo activa un usuario. Se ingresa el código en el sistema para autenticar al usuario.
Enlaces mágicos
Un enlace mágico es una URL de un solo uso que se envía a los usuarios a través de un correo electrónico o mensaje de texto para verificar la identidad. Posteriormente, una aplicación de autenticación en segundo plano empareja el dispositivo con un token en una base de datos cuando el usuario hace clic en el enlace.
Opciones nativas
Las herramientas de autenticación sin contraseña se incluyen en algunas aplicaciones o sistemas, como Google y Microsoft. Esta opción nativa para la autenticación sin contraseña permite a los usuarios acceder a códigos de estas aplicaciones en vez de utilizar otras.
Cookies persistentes
Las cookies persistentes se almacenan en dispositivos autenticados y recuerdan las credenciales de inicio de sesión del dispositivo del usuario. Cuando los usuarios inician sesión, las cookies persistentes se emplean para conceder el acceso a los recursos en función de los permisos. Las cookies persistentes pueden permanecer para siempre en los sistemas o se pueden configurar para que caduquen después de cierto tiempo establecido.
Tarjetas inteligentes
Las tarjetas inteligentes son tarjetas físicas que se escanean en un lector para autenticar a los usuarios y concederles el acceso a los recursos. La mayoría de las tarjetas inteligentes almacenan datos en chips y utilizan la RFID (identificación por radiofrecuencia) para la conectividad.
Cómo funciona la autenticación sin contraseña
La autenticación sin contraseña incita a los usuarios a autenticarse mediante el uso de un objeto que posean (por ejemplo, un llavero token) o de un rasgo que tengan (por ejemplo, huellas dactilares) para verificar su identidad antes de otorgarles el acceso a los recursos protegidos. Los pasos que debe seguir un usuario se dividen en dos fases: registro y verificación.
Registro de la autenticación sin contraseña
- Cuando los usuarios se acercan por primera vez a una aplicación o servicio, reciben una solicitud de aprobación de registro validada mediante la autenticación sin contraseña (por ejemplo, biometría).
- Cuando se aprueba la solicitud, se genera una clave de cifrado privada para el usuario.
- La clave de cifrado pública se envía a la aplicación o servicio.
Verificación de la autenticación sin contraseña
- Se genera un desafío y se envía al dispositivo del usuario cuando trata de iniciar sesión.
- El usuario responde al desafío desbloqueando la clave privada con el uso del método establecido de autenticación sin contraseña.
- Se usa la clave privada para completar el desafío.
- Para que el usuario pueda acceder, la clave pública debe aceptar la clave privada.
Seguridad de datos y autenticación sin contraseña
La autenticación sin contraseña disminuye las vulnerabilidades inherentes de las contraseñas tradicionales y mejora significativamente la seguridad de los datos de la siguiente manera:
- Se puede mejorar la satisfacción del cliente sin comprometer la seguridad de los datos.
- Se puede mejorar significativamente la seguridad de la información privilegiada.
- Se puede ofrecer una experiencia de usuario sin fricciones junto con una mejora de la seguridad de los datos.
- Se puede disminuir el costo de la seguridad de los datos.
Autenticación multifactor (MFA) frente a autenticación sin contraseña
A menudo, las personas confunden la autenticación sin contraseña con la autenticación multifactor (MFA) y creen que son sinónimos. Ambas representan tipos de autenticación multifactor, pero se basan en factores diferentes. La autenticación sin contraseña no utiliza contraseñas, mientas que la MFA utiliza contraseñas como uno de los factores para la verificación de identidad.
Implementación de la autenticación sin contraseña
La autenticación sin contraseña se puede implementar de diferentes maneras; sin embargo, entre las más comunes, podemos encontrar la biometría, tókenes FIDO (Cliente de identidad en línea rápida) y códigos de un solo uso.
- La biometría utiliza los dispositivos que cuentan con un sensor biométrico.
- Los tókenes FIDO utilizan dispositivos físicos que generan códigos de un solo uso.
- Los enlaces mágicos se envían al correo electrónico o número de teléfono de un usuario.
- Los códigos de un solo uso envían claves de acceso al correo electrónico o número de teléfono de un usuario.
Las organizaciones pueden utilizar uno de estos métodos o implementar un combinación de ambos. Por ejemplo, es posible que usen un código de un solo uso o token FIDO para la verificación inicial de identidad y que luego empleen la biometría para una autenticación adicional.
A continuación, se presentan los pasos para implementar la autenticación sin contraseña
- Seleccione el modo de autenticación (por ejemplo, biometría, tókenes FIDO, enlaces mágicos, códigos de un solo uso, etc.).
- Determine cuántos factores se utilizarán; el uso de diversos factores se considera una buena práctica.
- Adquiera e implemente sistemas de software y de hardware de apoyo.
- Registre a los usuarios en el sistema de autenticación (por ejemplo, escanee el rostro de todos los empleados en el caso de que cuente con un sistema de reconocimiento facial).
Autenticación sin contraseña y autenticación flexible
Aunque hackear factores inherentes, factores de posesión o enlaces mágicos es más difícil, no es imposible. Recomendamos combinar la autenticación sin contraseña con la autenticación flexible para llevar la seguridad del acceso a otro nivel.
La autenticación flexible agrega una capa de protección potenciada por la inteligencia artificial (IA) a la autenticación sin contraseña, que utiliza el aprendizaje automático para desarrollar patrones típicos de comportamiento de los usuarios. Cualquier desviación de los patrones representa un riesgo y activa una respuesta de seguridad establecida, por ejemplo, solicitarle al usuario una autenticación secundaria o bloquear la cuenta.
La autenticación sin contraseña y la confianza cero
Una estrategia de seguridad que considere la confianza cero requiere la eliminación de la confianza de cualquier tipo. Esto implica la eliminación del uso de contraseñas tradicionales para la autenticación de la identidad, ya que no solo son poco fiables y costosas, sino también ralentizan los programas de confianza cero. La autenticación sin contraseña es un sustituto razonable, puesto que se ajusta al principio de confianza cero y ofrece muchos otros beneficios.
Reducción de los vectores principales de ataque
En general, se considera que las contraseñas son uno de los orígenes principales de la filtración de datos. El uso de la autenticación sin contraseña disminuye esta vulnerabilidad.
A diferencia de algunas soluciones de seguridad mejoradas, la autenticación sin contraseña es rentable e intuitiva. Las organizaciones de todo tipo y tamaño ya han implementado con éxito la autenticación sin contraseña, y vale la pena considerarla para cualquier organización que cuente con activos digitales que se deban proteger.
Quizás también le interese:
Asuma el control de su plataforma en la nube.
Obtenga más información sobre SailPoint y la gestión de contraseñas.