El concepto autenticación passwordless ha venido para quedarse. Su objetivo es ayudar a las empresas a implementar el teletrabajo de forma segura y evitar el robo de contraseñas y actos maliciosos que tanto se han incrementado durante la pandemia. Passwordless nace para resolver un problema en la autenticación de los usuarios relacionado con las contraseñas estáticas: ¡no son seguras! ¿No sabes qué es passwordless? Os lo contamos en este post.
Casi todos los fabricantes de ciberseguridad promueven la denominada Zero Trust (Confianza Cero), un modelo que asume que puede haber atacantes tanto dentro de nuestra red como fuera de ella, por lo que no debemos confiar de forma predeterminada en ningún usuario o dispositivo, y no podemos conseguir Zero Trust con contraseñas estáticas.
Autenticación con contraseñas estáticas: Puntos débiles y amenazas
En un flujo de autenticación de un usuario que quiere hacer uso de un servicio concreto desde su portátil a través de Internet…
¿Cuáles son los inconvenientes?
Está claro, la necesidad de usar contraseñas complejas, robustas, no repetidas…, en definitiva, ¡demasiadas contraseñas que recordar!
¿Y las amenazas?
- Existencia de malware en su equipo
- Ataques MITM (Man in the middle) que intercepten la comunicación y nos roben la información.
- Que los servidores sean atacados (robo de contraseñas u otros tipos de ataque).
- Ataques a los servidores.
Para resolver las debilidades de las contraseñas estáticas surge la Autenticación Multifactor MFA.
Autenticación Multifactor MFA
La autenticación multifactor MFA se refiere al uso de dos o más factores (o credenciales) en la autenticación de un usuario:
- 2FA, 2 factores de autenticación
- MFA, múltiples factores de autenticación.
De forma que, aunque nos roben la contraseña, tengan que hacer algo más para poder acceder a nuestra cuenta.
El primer factor fueron los códigos OTP (One-Time Password), un password o contraseña de un único uso, todos recordamos haber recibido alguna vez un SMS para confirmar una compra o una transferencia ¿no? El problema es que este sistema es vulnerable.
Otro factor que vino a mejorarlo fueron las notificaciones al móvil, mobile push notifications, pero seguían siendo vulnerables a ataques de phishing, junto a los de ransomware, uno de los ataques más peligrosos.
En 2013 se publicó el estándar FIDO U2F, el primer MFA resistente al phishing y a ataques MitM.
La FIDO Alliance™ es una alianza formada por grandes multinacionales y fabricantes de llaves de seguridad como Yubico. Su objetivo es reemplazar los inicios de sesión con contraseña por una experiencia de acceso rápida y segura en páginas web y aplicaciones.
¿Qué es Autenticación Passwordless?
Para evitar ser atacados lo mejor es utilizar un método Passwordless: Autenticación sin contraseñas. Para que un atacante pueda acceder a una cuenta de usuario necesita disponer de una llave de seguridad, como la Yubikey de Yubico, y conocer su PIN, incluso desde tu smartphone. HYPR combina la comodidad de tu smartphone con la seguridad de un token FIDO.
¿Sabes cuál es la diferencia entre una contraseña y un PIN?
- Contraseña: está almacenada remotamente y se envía a través de la red. Su propósito es validad a un usuario en un servidor remoto y por seguridad, debe ser compleja.
- PIN: Esta almacenado localmente y nunca es enviado a través de la red. Su propósito es desbloquear la YubiKey (llave de autenticación multifactor) para que pueda autenticar al usuario y no es necesario que sea complejo.
El cuadrante de Autenticación de Microsoft define la seguridad y la conveniencia de las opciones de autenticación:
Citrix Workspace está preparada perfectamente para funcionar con autenticación passwordless
Que el Teletrabajo y la Seguridad han cobrado gran importancia en las empresas hoy en día es incuestionable. Citrix lo tiene claro, apuesta por la provisión de puestos de trabajo cuando sea y dónde sea pero con una aproximación Zero-Trust, ya os lo contábamos en nuestro post Citrix Workspace: Productividad y Seguridad Zero-Trust. Zero Trust necesita Zero Passwords y Citrix Workspace está preparada perfectamente para funcionar con autenticación passwordless.
Soluciones de Espacio de Trabajo Digital
Soluciones para cada escenario de uso
Trabajadores remotos, cloud, BYOD, mutlicloud híbrido o nuevas amenazas letales ¿estás preparado?
Azure Virtual Desktop
Implemente y escale escritorios y aplicaciones de Windows en Azure en solo unos minutos y obtenga características de seguridad y cumplimiento normativo integradas.
Estudios Impacto Virtualización Puestos de Trabajo
Nuestros consultores analizarán tus necesidades y la viabilidad de tu proyecto de teletrabajo, movilidad y conciliación familiar garantizando la productividad personal, la seguridad y la protección de aplicaciones, datos e identidad de usuarios.
