Las contraseñas estáticas no son seguras y están sujetas a ser robadas, hackeadas, crackeadas y, lo más frecuente, olvidadas y reutilizadas en muchas cuentas. Y además de no ser seguras, su gestión es muy costosa. Yubico hace posible olvidarnos de las contraseñas con su YubiKey.
Microsoft estima que los costes de administración de contraseñas (incluida la recuperación, el bloqueo y el cambio de contraseñas) constituyen el mayor gasto de soporte de TI. En un solo mes en 2017, Microsoft tuvo que restablecer 686.000 contraseñas para los usuarios, generando unos gastos de más de 12 millones de dólares en soporte, según Windows Hello For Business: What’s New In 2017”.
Factores de autenticación
El ENS y otras normas de seguridad exigen el uso de dos factores de autenticación (2FA) para aquellos usuarios que accedan a datos personales o sensibles. Llevamos más de 30 años con soluciones de 2FA que se utilizan junto con contraseñas estáticas, aunque la adopción de estas soluciones está muy lejos de ser universal. Además, dichas soluciones sufren de lagunas de seguridad debido a que se basan en el uso de claves simétricas para generar los códigos de un solo uso (OTP), que son susceptibles de ser interceptados mediante ataques de ingeniería social, Man-in-the-Middle, Phishing, Vishing y Smishing.
El uso de certificados digitales en tarjetas inteligentes, Smart Cards, es una alternativa bastante segura, gracias a que se basa en el uso de claves asimétricas. No obstante, la adopción de PKI para autenticación ha sido muy limitada y también está muy lejos de ser universal. Como caso más representativo, el DNIe español no ha tenido un éxito significativo como factor de autenticación. Además, las tarjetas inteligentes tienen capacidad limitada de almacenamiento y requieren el uso de lectores específicos.
El uso de sistemas de autenticación biométrica es una alternativa que está empezando a ser utilizada con más frecuencia, sobre todo en dispositivos móviles que incorporan lectores de huella digital o reconocimiento facial. Sin embargo, no existe ningún estándar universal válido para cualquier tipo de dispositivo y caso de uso.
Era imprescindible encontrar una alternativa que pudiera superar las limitaciones ya mencionadas. Se necesitaba un Token/Llave de autenticación capaz de utilizar claves asimétricas, que no dependiera de contraseñas, compatible con los sistemas de autenticación actuales, una única llave que fuera utilizable con un sinfín de sistemas y aplicaciones y que facilitara la vía para, eventualmente, despedirnos de las contraseñas estáticas para siempre.
Hace ya 12 años Yubico empezó a desarrollar una llave con estas características. Yubico es coautor de los estándares FIDO2 y U2F junto con Microsoft y Google, y es miembro de la FIDO Alliance. Esta alianza ha creado un estándar para que cualquier aplicación o sistema que adopte FIDO pueda autenticar a los usuarios de manera totalmente segura con o sin contraseña. Hoy en día, centenares de aplicaciones se adhieren a FIDO2. Puede encontrar un listado de ellas en fidoalliance.org.
Tras comenzar a utilizar YubiKeys como factor de autenticación en sustitución de una aplicación móvil que generaba contraseñas de un solo uso, Google publicó los siguientes resultados, según “Security Keys: Practical Cryptographic Second Factors for the Modern Web, Google Inc.”: Ninguna cuenta de usuario fue vulnerada. Los inicios de sesión fueron 4 veces más rápidos. Y las llamadas al departamento de IT se redujeron en un 92%
Actualmente Windows 10, Office 365 y Microsoft Azure permiten autenticación con llaves compatibles con FIDO2 junto con una contraseña estática. Además, Office 365 y Microsoft AD Azure permiten autenticación sin contraseñas. En tales casos el usuario desbloquea su llave YubiKey con un PIN secreto que está guardado solamente en la YubiKey. Con esta última configuración no hace falta una contraseña estática ni dinámica (OTP). El usuario solo tiene que recordar su PIN, igual que hace con sus tarjetas de pago. Para utilizar las llaves YubiKey en un dispositivo solo hace falta que disponga de conexión USB, NFC o Lightning, disponibles en casi todo tipo de dispositivos actualmente.
YubiKey proporciona una autenticación segura, amigable y resistente al phishing para conseguir la máxima seguridad y la mejor experiencia de usuario para proteger el inicio de sesión. Está probada para resistir las suplantaciones de identidad e impedir el robo de cuentas, y ofrece un alto retorno de la inversión gracias a la fácil y efectiva autogestión por parte del usuario. Es compatible con Azure Active Directory, Active Directory y las principales soluciones de gestión de identidades y Acceso (IAM). No hay un límite de cuentas que se puedan configurar en una YubiKey y el origen vinculante valida el inicio de sesión en la aplicación o sitio web verificados. Se puede iniciar una sesión con un simple toque, sin necesidad de teclear códigos engorrosos y no requiere cambiar la vista del PC a otra pantalla. Es una llave altamente duradera, sin baterías, pantallas o partes móviles.
Zane Ryan
CEO de DotForce