Sin teléfono. Sin token. Sin contraseña.

A estas alturas, la mayoría de las empresas, en todas las industrias, entienden que las contraseñas son un riesgo de seguridad cibernética y un punto potencial de vulnerabilidad, y por una buena razón. Según el Foro Económico Mundial, las contraseñas débiles y/o robadas son el vector de ataque inicial más común y representan el 80 % de todas las infracciones. Sin embargo, la respuesta es positiva: el 82 % de los líderes empresariales dicen que están listos y dispuestos a implementar un enfoque sin contraseña. La autenticación basada en contraseña genera fricciones, lo que hace que muchos empleados ignoren por completo los protocolos de seguridad debido a la fatiga de las contraseñas. Como resultado, los empleados están sujetos a una experiencia de usuario terrible además de los riesgos de seguridad ya inherentes a la autenticación basada en contraseña. 

Sin embargo, el camino para lograr la autenticación sin contraseña no es tan sencillo. Hoy en día, las soluciones sin contraseña más comunes se basan en el uso de un único factor de autenticación que se basa en algo que usted tiene, como un token de hardware o un dispositivo móvil, que inherentemente presenta sus propios riesgos de seguridad, desafíos de usabilidad y costos adicionales. Si bien presentan una mejor alternativa a los enfoques basados en contraseñas, también introducen más vulnerabilidades potenciales que los piratas informáticos modernos aprovechan con mayor frecuencia, ya que eliminan por completo cualquier verificación de esa persona real del proceso de autenticación. 

Estas son las buenas noticias: existe un enfoque para la autenticación sin contraseña que evita costes y riesgos innecesarios. Identity-Bound Biometrics (IBB) utiliza a la persona como credencial de autenticación para proporcionar la opción más segura para la autenticación sin contraseña que no generará costes adicionales para la empresa ni más fricción en el proceso de autenticación. ¿Te interesa saber más sobre cómo IBB puede ayudarlo a resolver tus desafíos sin contraseña? Continúa leyendo para averiguarlo. 

El problema de (la mayoría) sin contraseña 

Alejarse del método de autenticación basado en contraseña es un paso en la dirección correcta. Desafortunadamente, la mayoría de las opciones obstaculizan el verdadero poder de la autenticación sin contraseña y dan un paso atrás al depender de tokens, dispositivos o teléfonos para ejecutar el proceso de autenticación como un factor único. Los principales desafíos con estos métodos incluyen: 

• Altos costes + inversiones: los métodos tradicionales sin contraseña generalmente requieren la compra de múltiples tokens para cada empleado o dispositivos móviles o planes de datos separados. 
• Seguridad insuficiente: la confianza se basa en el dispositivo o token, los cuales se pueden compartir, perder o robar, y no pueden autenticar a la persona real que realiza una acción. 
• Inverosímil o inseguro para las áreas comerciales: los grupos clave, las funciones y los casos de uso dentro de las empresas se ven obstaculizados por métodos que imponen condiciones de trabajo ineficientes o inseguras en las operaciones diarias, lo que, a su vez, puede representar un riesgo legal para el empleador. 

En pocas palabras, confiar en lo que tiene, cualquier tipo de dispositivo o pieza de hardware, no cumple con los estándares de las necesidades de ciberseguridad de hoy. Por un lado, los piratas informáticos se han vuelto demasiado hábiles y versados ​​en circunnavegar estos métodos. Incluso con códigos de acceso de un solo uso (OTP), un pirata informático puede instalar malware diseñado para interceptarlos y obtener acceso a datos protegidos o podría insertar troyanos en los navegadores web para interceptar datos compartidos como un enlace mágico. 

Por ejemplo, el hacker responsable del ataque cibernético Twilio de agosto de 2022 obtuvo acceso no autorizado para robar contraseñas de un solo uso (OTP) enviadas por SMS a los clientes de la empresa de administración de acceso e identidad, Okta. 

En Singapur, los piratas informáticos se hicieron pasar por 75 clientes bancarios para hacer casi $ 500,000 en pagos falsos con tarjetas de crédito al desviar el SMS OTP de los bancos a los sistemas de redes móviles en el extranjero. 

En segundo lugar, y quizás lo más importante, la autenticación sin contraseña basada en algo que “tu tienes” es inherentemente defectuosa porque se basa en la suposición de que cualquier individuo determinado está en posesión de su pieza de hardware. Sin embargo, no hay forma de verificar esto con estos métodos; en otras palabras, no tiene ningún nivel de confianza de que el usuario autorizado esté al otro lado de la pantalla. 

La autenticación sin contraseña mediante la biometría vinculada a la identidad aborda todos los principales puntos débiles que muchas organizaciones están experimentando en el cambio a la tecnología sin contraseña. 

Sin teléfono, sin token, sin contraseña 

La autenticación sin contraseña con datos biométricos vinculados a la identidad utiliza a la persona como credencial para la autenticación. Con un simple escaneo de un dedo en cualquier dispositivo en cualquier lugar, es la opción más segura, más eficiente, más rentable y más segura para una variedad de casos de uso comunes, que incluyen estaciones de trabajo compartidas, entornos de confianza cero, acceso remoto y escenarios donde los dispositivos móviles no están permitidos, como plantas de fabricación y centros de contacto. Específicamente, algunos de los beneficios clave de la autenticación sin contraseña con IBB incluyen: 

• Seguridad: identifica positivamente a la persona que completa una acción con la autenticación impulsada por la biometría ligada a la identidad, asegurando que el usuario previsto, y solo ese usuario, obtén acceso. 
• Un registro de actividad totalmente auditable brinda transparencia y registros completos de todos los inicios de sesión, actualizaciones de registros y seguimiento del acceso a aplicaciones y sistemas de los usuarios. 
• Validación de procesos: asegúrate de que solo las personas autorizadas sean las que completen los pasos o realicen acciones dentro de un proceso o transacción. Por ejemplo, esto es extremadamente valioso para el control de calidad en una planta de fabricación o para verificar al médico que recetó una sustancia controlada. 

• Facilidad de uso: ahorra incontables horas y aumente la productividad con una experiencia de usuario consistente y sin fricciones que es rápida y fácil, requiriendo autenticación de un solo toque para un inicio de sesión sin contraseña en cada estación de trabajo, sin necesidad de dispositivo móvil o token. 
• Rentabilidad: reduce su costo total instalando solo un escáner de huellas dactilares por escritorio para una inversión única mínima y elimine la necesidad de comprar múltiples tokens o cubrir el coste de los dispositivos móviles. 

Cuando la autenticación está ligada directamente a la identidad del usuario, puede experimentar la autenticación sin contraseña en su forma más pura, libre de dispositivos: sin teléfono y sin token. 

La autenticación sin contraseña con biometría vinculada a la identidad es un enfoque en el que puedes confiar porque se basa en pilares probados y verdaderos de ciberseguridad: la introducción de menos puntos de ataque significa menos riesgos y vulnerabilidades potenciales. Cuando la ciberseguridad se basa en suposiciones, como sucede con los métodos sin contraseña basados en dispositivos, su información privada se vuelve mucho más difícil de proteger de manera confiable. 

Dando el siguiente paso hacia un futuro sin contraseña 

Si estás listo para dar el paso de dejar de usar contraseñas y protegerte contra una posible filtración de datos en el futuro, es crucial hacerlo de una manera que beneficie a toda tu empresa y te ayude a lograr objetivos comerciales a largo plazo. Aquí hay algunas preguntas frecuentes que hemos respondido para ayudarte a guiar su proceso de toma de decisiones: 

• Pregunta: es fantástico que no haya costes de hardware, pero ¿No suelen existir costes y tarifas ocultos asociados con una solución de software? 
• Respuesta: la biometría ligada a la identidad es parte de la galardonada plataforma IAM unificada de BIO-key, PortalGuard, que se ofrece a un precio único y asequible. Nunca tendrá que preocuparse por costos inesperados u ocultos y puede pagar hasta un 50 % menos que soluciones similares. 
• Pregunta: ¿La implementación de una nueva solución biométrica sin contraseña no requerirá demasiado tiempo y recursos? 

• Respuesta: implementar una nueva solución siempre es un proceso, pero nuestra autenticación sin contraseña con IBB se puede implementar por completo en menos de 60 días. Nuestro equipo de soporte técnico de clase mundial hace todo el trabajo pesado para que el tuyo pueda concentrarse en la adopción de los empleados. 
• Pregunta: ¿Cómo se mantendrán seguros los datos biométricos personales? 
• Respuesta: la privacidad de los datos biométricos se garantiza a través de hash y salting criptográficos no reversibles para hacer que la información sea inaccesible e inutilizable para los posibles malhechores; nunca se almacena ninguna imagen real. Además, la detección de vida integrada proporciona una fuerte detección de ataques de presentación (PAD) por parte de impostores que intentan usar imágenes escaneadas o falsificaciones. 
• Pregunta: ¿Por qué no utilizar simplemente la autenticación biométrica basada en dispositivos? 
• Respuesta: la biometría vinculada a la identidad proporciona un nivel de seguridad diferente y superior. IBB verifica que la persona real complete una acción (iniciar sesión en un sistema, completar una transacción, acceder a información privada), mientras que la biometría local simplemente confirma que se está utilizando un dispositivo aprobado. 

¿Estás interesado en obtener más información sobre la autenticación sin contraseña con la biometría vinculada a la identidad? Consulta el data sheet de IBB para obtener una descripción general completa, especificaciones y características del producto. Como alternativa, lo alentamos a comunicarse directamente si deseas hablar con nuestro equipo para analizar cómo puede lograr una autenticación sólida.

Fuentes:  

1. https://blog.capterra.com/passwordless-authentication/#methodology