En este blog, no vamos a profundizar en la logística de la autenticación sin contraseña; sin embargo, le brindaremos una descripción general sólida y de alto nivel. Sin embargo, si desea profundizar en los detalles de la autenticación sin contraseña, consulte este documento técnico sobre la tecnología detrás de la autenticación sin contraseña para más detalles.
La autenticación sin contraseña es posible mediante el uso de criptografía de clave pública y privada. Es casi mágico: ¡puedes demostrar que el usuario tiene una clave privada sin necesidad de conocer NUNCA la clave privada! Una de las principales ventajas de esto es que el servidor nunca conoce su clave privada; Por lo tanto, incluso si un servidor es pirateado y las credenciales de los usuarios son robadas (vea el video a continuación que detalla el hackeo de LinkedIn de 2012), sus usuarios estarán bien. Lo único a lo que los piratas informáticos acceden son claves públicas que, por definición, son públicas, lo que no es exactamente un truco innovador.
Por lo tanto, la autenticación sin contraseña utiliza claves criptográficas para funcionar sin problemas y de forma segura. Estas claves vienen en muchas formas, pero queremos destacar tres: autenticación telefónica, claves FIDO2 y tarjetas inteligentes. ¿Todos estos métodos de autenticación sin contraseña son antiphishing?
Una credencial verdaderamente no phishing es aquella en la que cualquier usuario, sin importar su estatura, no puede ceder acceso a su credencial. No se le puede engañar de ninguna manera para que entregue su clave. Entonces, ¿qué significa eso para la autenticación telefónica, las claves FIDO2 y las tarjetas inteligentes? La desafortunada realidad es que no todos estos métodos de autenticación sin contraseña son antiphishing. Las claves FIDO2 y las tarjetas inteligentes son consideradas credenciales no phishing, ya que proporcionan una autenticación segura y sólida vinculada al dispositivo con el que el usuario se autentica, lo que hace imposible que un usuario revele sus credenciales sin querer. La autenticación telefónica, por otro lado, no se considera no phishing – si recibes un montón de push notificaciones en su teléfono con botones que dicen algo como “¿Aceptas?” o “¿Eres tú quien inicia sesión?” y luego recibe una llamada de lo que cree que es el servicio de asistencia técnica de su organización que dice: “Estamos con TI, simplemente haga clic en ‘sí’ en la ventana emergente, estamos ejecutando mantenimiento de rutina”, es posible que aún pueda caer en este phishing. esquema y haga clic en “sí” en las notificaciones automáticas.
El hecho de que tanto la autenticación FIDO2 como la autenticación con tarjeta inteligente no sean susceptibles de phishing no significa que sean lo mismo. La autenticación con tarjeta inteligente es el primer método de autenticación sin contraseña jamás creado y se basa en certificados X.509. La autenticación FIDO2, por otro lado, es un método más nuevo de autenticación sin contraseña que se creó para simplificar el proceso de autenticación con tarjeta inteligente. ¿Por qué la autenticación FIDO2 es más sencilla que la autenticación con tarjeta inteligente? En resumen, la autenticación FIDO2 no necesita toda la infraestructura que requiere la autenticación con tarjeta inteligente, ya que se desvía del uso de certificados X509 y en su lugar utiliza autenticación basada en claves. Para obtener más detalles sobre las diferencias entre estos métodos de autenticación, consulte nuestro blog sobre FIDO2 vs autenticación con tarjeta inteligente y el siguiente seminario web.
Lo primero es responder a la pregunta de si las contraseñas son malas o no. A medida que la tecnología se expande y la ciberseguridad se convierte cada vez más en un punto central, resulta cada vez más claro que las contraseñas ya no están a la altura. En 2021, más de 6 mil millones de credenciales se filtraron en línea por piratas informáticos, y más del 60% de las infracciones fueron causadas por credenciales robadas. ¿La parte más aterradora? Esas cifras ni siquiera empiezan a contar la historia completa. Consulte nuestro blog que detalla el problema con las contraseñas para obtener más información sobre los detalles, pero una cosa es segura: las contraseñas son cosa del pasado. Entonces, ¿cuál es la solución a esta epidemia de contraseñas? Autenticación sin contraseña.
En última instancia, no utilizar contraseña es la mejor opción para lograr una autenticación segura y sencilla en toda la organización, pero es vital comprender cómo funciona y las diferencias entre los métodos de autenticación sin contraseña antes de comprometerse por completo. Si desea ver cómo la eliminación de contraseñas puede mejorar la seguridad de su organización, programe una consulta GRATUITA con uno de nuestros expertos hoy.
