El número de ataques de phishing ha aumentado considerablemente; ¿Sabías que más del 90% de las empresas han informado que han sido atacadas durante el último año? Para las pequeñas empresas, no es suficiente depender únicamente del conocimiento de los empleados y de los filtros de correo electrónico. ¿La respuesta? Credenciales no phishing.
En pocas palabras, las credenciales resistentes phishing (también conocidas como MFA resistente al phishing) son claves seguras que los atacantes, bueno, no pueden phishing. No pueden ser objeto de phishing debido a su diseño: su diseño permite la autenticación sin que la clave privada se comparta ni una sola vez. Hay dos tipos: FIDO2 y Smartcard. Ambos están diseñados para garantizar una autenticación segura, pero funcionan de forma ligeramente diferente.
La autenticación con tarjeta inteligente es el método más antiguo y común de autenticación no phishing y se basa en la autenticación basada en certificado X509.
Piense en esto como una identificación digital. Cuando alguien recibe una tarjeta inteligente, ésta viene con un certificado especial que actúa como una tarjeta de identificación. Los servicios pueden verificar esta ‘tarjeta de identificación’ y confiar en su autenticidad, y cuando el certificado caduque o sea revocado, el usuario perderá el acceso al sistema.
La autenticación FIDO2 es simplemente una versión más simple de la autenticación con tarjeta inteligente. Dado que muchas organizaciones tenían problemas para establecer una autoridad de certificación, la Alianza FIDO (Fast Identity Online) creó un sistema donde la clave criptográfica se registra con el proveedor de identidad, perdiendo la fácil rotación de tarjetas inteligentes, pero eliminando la sobrecarga de gestionar su propia PKI.
Muchas empresas dudan en adoptar credenciales no suplantables debido a conceptos erróneos derivados de información incorrecta u obsoleta. A continuación, se muestran algunos conceptos erróneos comunes sobre las credenciales no suplantables y la verdad detrás de ellas:
Al principio, la experiencia de inicio de sesión puede parecer diferente; sin embargo, una vez que los usuarios lo dominan, se ha descubierto que las credenciales antiphishing son cuatro veces más rápidas que los métodos tradicionales para iniciar sesión. En lugar de hacer malabarismos con contraseñas y otros dispositivos, los usuarios simplemente conectan su token e ingresan un PIN. Los días de recordar contraseñas largas y complejas finalmente quedaron atrás.
Hay un costo inicial por las claves de hardware (alrededor de $40 cada una) y una tarifa mensual por administrarlas (alrededor de $2-4/usuario). Pero considere esto: las empresas a menudo pierden más dinero al restablecer contraseñas y al tiempo dedicado a hablar con el servicio de asistencia técnica. A largo plazo, las credenciales no phishing pueden ahorrarle mucho dinero a su pequeña empresa.
Este es quizás el mito más grande de toda la ciberseguridad. No todos los métodos de seguridad son iguales, pero todos los métodos de MFA que utilizan contraseñas son propensos a ataques de phishing, excepto las credenciales no phishing. Las credenciales no phishing ofrecen una protección superior contra diversos ataques que otros métodos no pueden detener.
Un estudio encontró que no tener contraseña puede reducir la apropiación de cuentas en un 99% y ahora, con herramientas modernas, puede estar listo y funcionando en días (hemos tenido pequeñas empresas en funcionamiento 3 días después de programar su llamada de evaluación). ¿Entonces, Qué esperas? Programe una evaluación de identidad gratuita con nuestros expertos en identidad hoy.