La idoneidad de las contraseñas como defensa de seguridad se ha debatido y criticado durante mucho tiempo. El informe Verizon Data Breach Investigation Report (DBIR) de 2017 informó que el 81% de las infracciones relacionadas con piratería informática implican credenciales de usuario robadas o comprometidas, y sin embargo, no existe una alternativa generalmente aceptada. La autenticación de usuario de múltiples factores, que requiere un token de usuario adicional o biométrico, ayuda, pero no resuelve el problema.
Con los enfoques tradicionales existe una contradicción simple: mientras más seguridad se aplique a la autenticación del usuario, mayor será la interrupción (conocida como ‘fricción’) impuesta en los flujos de trabajo del usuario. Cuando las empresas luchan por una experiencia de usuario sin problemas, tanto para sus clientes como para sus empleados, esto es un problema. «Para las empresas que intentan ofrecer experiencias de usuario seguras y sin contratiempos, las contraseñas son un verdadero dolor», explicó Joe Diamond, director de gestión de marketing de productos de seguridad en Okta, en una publicación de blog . «O son complejos y, por lo tanto, difíciles de recordar para los empleados y los clientes, o son objetivos principales para piratas informáticos nefastos».
En los últimos años, ha habido un desarrollo y una aceptación crecientes de factores de autenticación pasiva adicionales para mejorar la seguridad sin interrumpir al usuario. Pasivo en este sentido simplemente significa que la autenticación se toma automáticamente sin la participación del usuario.
Uno de los factores pasivos más importantes es el contexto, y las empresas de identidad incorporan cada vez más factores contextuales como la ubicación del usuario (dirección IP), el tiempo (¿es razonable que este usuario quiera acceder en este momento?) Y el destino (¿este usuario? probable o comúnmente necesita acceso a estos archivos?) para reforzar la autenticación de contraseña inicial. Pero fíjate que la contraseña tan condenada todavía es necesaria.
Okta , que proporciona sistemas de identidad para las empresas, tiene un modelo de confianza del dispositivo para mejorar la seguridad de los inicios de sesión remotos. Utiliza, por ejemplo, certificados de Exchange ActiveSync para evitar que los dispositivos no administrados accedan a Office 365. Hoy, sin embargo, ha anunciado la adición de un nuevo factor de contexto que, en su opinión, permitirá la eliminación de contraseñas: ThreatInsight.
ThreatInsight se basa en la comprensión de las amenazas y actividades sospechosas observadas por el equipo de respuesta a incidentes de Okta en toda la ecosfera de la compañía de 4.350 clientes y 5.500 socios en la red de integración de Okta.
«Al combinar las señales de contexto con esta inteligencia», escribe Diamond, «la solución Adaptive MFA de Okta podrá proporcionar de manera más efectiva a las empresas la experiencia de autenticación simple y sin fisuras de la que las empresas han dependido. También hemos introducido Adaptive Single Sign- on (SSO), que proporciona una experiencia de autenticación sencilla y segura para los usuarios y se integra con soluciones de administración de movilidad empresarial de terceros, como Airwatch o MobileIron, para la confianza del dispositivo. Con esta combinación de SSO, MFA y ThreatInsight, TI y Adaptive. los equipos de desarrollo de aplicaciones pueden avanzar hacia un enfoque de seguridad basado en el contexto, que finalmente elimine las contraseñas, después de todo «.
«La mejor contraseña es sin contraseña», agrega Todd McKinnon, CEO y cofundador de Okta. «En los últimos años, hemos invertido mucho en nuevas tecnologías de seguridad que brindan el nivel adecuado de protección para las muchas aplicaciones y servicios que una organización utiliza hoy en día, que pueden variar según la empresa, la aplicación, el usuario y el escenario. Ahora estamos usando ambas señales en el contexto de inicio de sesión de un usuario, así como información de nuestro ecosistema para mejorar la capacidad de una organización de establecer controles de acceso más sólidos y tomar decisiones más inteligentes e inteligentes cuando pueda haber una preocupación, y permitir que las empresas reemplace la contraseña con una autenticación más fuerte y simple «.
Al combinar todos los factores contextuales diferentes, el producto Okta Adaptive MFA puede tomar decisiones dinámicas de acceso. Puede determinar entre solicitudes de acceso de bajo riesgo y solicitudes de acceso de alto riesgo; y solo requieren medidas de autenticación tradicionales, como una contraseña, si el nivel de riesgo lo requiere.
Por ejemplo, un usuario que intenta autenticarse desde una dirección IP reconocida desde un dispositivo gestionado conocido, podría considerarse de bajo riesgo y permitido sin la necesidad de una contraseña.
Si la solicitud de autenticación proviene de un dispositivo conocido pero no administrado en una nueva ubicación, podría considerarse un riesgo moderado. Al usuario se le solicitará una pregunta de seguridad y se le pedirá que evite un segundo factor.
Si el usuario intenta autenticarse desde un dispositivo no administrado y desconocido y desde una conexión con un alto nivel de amenaza, el usuario sería considerado de «alto riesgo» y Okta no permitiría el acceso.
Los bancos proporcionan un ejemplo del problema con la autenticación de contraseña. Los bancos, por su naturaleza, requieren una autenticación fuerte, que no es proporcionada solo por las contraseñas. Pero también requieren autenticación fácil de usar (por miedo a perder clientes), que no es proporcionada por soluciones estándares de factores múltiples. El Banco Nacional de Canadá cree que ha encontrado el compromiso correcto con Okta.
«National Bank of Canada presta servicios a millones de clientes en cientos de sucursales en Canadá. Como organización, tenemos objetivos claros, uno de los cuales es simplificar la experiencia del cliente», dijo Alain Goffi, vicepresidente de Infraestructuras de TI en el Banco Nacional de Canadá. . «La autenticación inteligente de Okta y las capacidades contextuales nos permiten ofrecer a nuestros clientes una experiencia en línea sin problemas y segura».
Está previsto que Okta’s ThreatInsight esté disponible durante la segunda mitad de este año.
Fuente: Securityweek.com