¡La autenticación sin contraseña parece ser la comidilla del mundo de la ciberseguridad últimamente! No utilizar contraseñas es una excelente manera de reforzar la postura de ciberseguridad de su organización debido a los problemas con el uso de contraseñas y las ineficiencias generales de otros métodos de autenticación. Si bien la autenticación sin contraseña se conoce como la forma de autenticación más segura que existe, ¿se puede sufrir phishing?
Lo primero es lo primero, es importante que definamos claramente qué significa exactamente ser resistente phishing. Una credencial no phishing es una clave segura que los atacantes (como habrás adivinado) no pueden phishing. Esto se debe a su ingenioso diseño, que permite la autenticación sin necesidad de compartir la clave privada. Con MFA resistente al phishing, nunca lo engañarán para que entregue su clave. Los ataques de phishing son posiblemente la forma de ciberataque más reconocida en el mundo, por lo que poder utilizar un método de autenticación que simplemente no puede ser phishing es una gran ayuda para el panorama de la ciberseguridad.
Ahora que sabemos lo que significa ser considerado no phishing, debemos determinar si no se puede usar contraseña o no. Los tres métodos de autenticación sin contraseña son la autenticación telefónica, las tarjetas inteligentes y las claves FIDO2; Desafortunadamente, no todos estos métodos son indestructibles.
Todo el mundo parece amar absolutamente su teléfono inteligente, pero ¿sabes quién lo ama incluso más que el resto? Hackers. Esto se debe a que la autenticación telefónica, aunque no requiere contraseña, no es indestructible. Digamos que estás usando tu teléfono celular y te bombardean con notificaciones automáticas que dicen cosas como: “¿Eres tú quien inicia sesión?” No está seguro de lo que está pasando y de repente recibe una llamada de alguien que dice ser el departamento de IT de su organización y le dice que están ejecutando un mantenimiento de rutina y que simplemente debe hacer clic en “Sí” en una de las notificaciones push para hacer que desaparezcan. Pensando que acaba de hablar con IT, acepta y hace clic en “Sí”. Felicitaciones, acaban de sufrir phishing. Lamentablemente, escenarios como este son muy comunes entre los usuarios que utilizan la autenticación telefónica, de ahí que no se pueda realizar phishing y se considere la forma menos efectiva de autenticación sin contraseña.
Entonces, si la autenticación telefónica no está a salvo de ataques de phishing, ¿qué forma de autenticación sin contraseña lo está? Para empezar, la autenticación con tarjeta inteligente lo es. La razón por la que la autenticación con tarjeta inteligente se considera resistente al phishing es porque está diseñada para proporcionar una autenticación sólida y segura que está vinculada al dispositivo del usuario que está utilizando para autenticarse; como tal, es imposible que el usuario revele involuntariamente sus credenciales de inicio de sesión.
Afortunadamente, si su organización utiliza claves FIDO2 para la autenticación sin contraseña, puede estar tranquilo sabiendo que, de hecho, está utilizando una credencial resistente al phishing. Las claves FIDO2 se consideran antiphishing porque, al igual que la autenticación con tarjeta inteligente, ofrecen una autenticación sólida y segura que está directamente vinculada al dispositivo del usuario. Entonces, ¿en qué se diferencia FIDO2 de la autenticación con tarjeta inteligente? En pocas palabras, la autenticación FIDO2 es una tecnología más nueva que la autenticación con tarjeta inteligente que utiliza menos infraestructura que la autenticación con tarjeta inteligente para simplificar así el proceso de autenticación con tarjeta inteligente. Consulte este blog para obtener una visión más detallada de la diferencia entre FIDO2 y la autenticación con tarjeta inteligente.
Si todavía no está seguro de si desea eliminar la contraseña en su organización, permítanos intentar tranquilizarlo. La idea de eliminar las contraseñas por completo es difícil de entender: lo entendemos; sin embargo, también entendemos que las contraseñas plantean importantes problemas de ciberseguridad. ¿Sabías que solo en 2021, los piratas informáticos filtraron más de 6 mil millones de credenciales en línea? y que más del 60 por ciento de las ataques de datos fueron el resultado de credenciales robadas? Lamentablemente, esas estadísticas son sólo la punta del iceberg. Tal como están las cosas ahora, las contraseñas están pasadas de moda. Implementar la autenticación sin contraseña es la mejor oportunidad que tiene su organización para lograr una autenticación segura y sencilla. No dude en programar una consulta GRATUITA con uno de nuestros expertos sin contraseñas aquí para ver cuánto puede mejorar su postura de ciberseguridad al no usar contraseñas.