Por Corey Nachreiner *
Las contraseñas se han vuelto una parte importante de nuestras vidas, al punto que tenemos una para casi todas nuestras actividades. Por ello, es fundamental concientizar sobre la importancia de cuidar la privacidad, los datos personales y toda la información que gestionamos en las diversas plataformas digitales, y aplicar buenas prácticas en materia de seguridad informática para evitar robos de información.
El Día Mundial de la Contraseña continúa sirviendo como un recordatorio anual de que todos debemos practicar una mejor seguridad de las contraseñas y, a pesar de los rumores de que la autenticación sin contraseña eliminará la contraseña, estoy seguro de que la contraseña está aquí para quedarse por décadas, lo que requiere que esto continúe. Atención.
Según el Informe de investigaciones de violación de datos de 2021 de Verizon, el 61 % de las violaciones aprovechan credenciales robadas o filtradas. Los atacantes continúan agregando millones de nuevas credenciales filtradas a los miles de millones que ya están disponibles en sitios clandestinos y la web oscura. Esta tendencia ha continuado durante años, por lo que el Día Mundial de la Contraseña sigue siendo importante.
La autenticación sin contraseña se ha vuelto más precisa en los últimos años, con Microsoft oficialmente apoyando las opciones sin contraseña en Windows 10 y 11.
Sin embargo, las contraseñas no morirán tan fácilmente con innumerables casos de uso que aún las requieren y la mayoría de las organizaciones de Windows todavía las usan.
Por esa razón, aún debe seguir las mejores prácticas de contraseña. Estas incluyen: a) elegir contraseñas o frases de contraseña seguras (me gustan las oraciones cortas reales) con al menos 16 caracteres; b) usar una contraseña única para cada cuenta y c) aprovechar los administradores de contraseñas para realizar un seguimiento de todas.
Sin embargo, la mejor práctica de autenticación más importante en la actualidad es utilizar la autenticación de múltiples factores (MFA), por lo que creo que un “Día mundial de MFA” sería una celebración más poderosa y efectiva para fortalecer las identidades digitales.
Desafortunadamente, algunas opciones sin contraseña sufren los mismos problemas que las contraseñas. El quid es que ningún factor único de autenticación sea perfectamente resistente a un ataque.
Las contraseñas pueden perderse o ser robadas, al igual que los certificados y claves digitales. La biometría ha sido pirateada y eludida repetidamente; incluso los tokens de hardware han sido derrotados.
Es posible que algunos métodos sin contraseña no incluyan una contraseña, pero aún así solo se basan en un único factor de autenticación. La única forma de ralentizar a los atacantes de autenticación es combinar varios factores de autenticación, como algo que eres (huellas dactilares biométricas o escaneos faciales), algo que tienes (como una llave de hardware o un teléfono móvil) y algo que sabes (como una contraseña). MFA le permite asegurarse de que incluso si un atacante obtiene acceso a uno de estos tokens, como una contraseña de usuario, no podrá iniciar sesión sin el segundo (y, a veces, el tercero) token de autenticación.
Es una obviedad absoluta cuando se trata de abordar los problemas generalizados y persistentes relacionados con la mala seguridad de las contraseñas y debe ser un enfoque principal tanto para las empresas como para los usuarios individuales.
No tuvimos mucho éxito en 2021, ¡pero sigo diciendo que deberíamos hacer realidad el Día Mundial de la MFA en 2022!
*Director de Seguridad de WatchGuard.