No es fácil saber quién está del otro lado en una conversación en internet. Está claro que todo el mundo aprende pronto que una buena autenticación de usuario consiste en algo que tienes, algo que conoces o algo que eres, pero lograr que la gente utilice esas técnicas no es tan sencillo como quisieran los profesionales de la seguridad.
Los empleados y consumidores no siempre están muy atraídos para usar tecnologías de alta seguridad. Uno de los principales obstáculos es la usabilidad, señala Gartner, y los proveedores están comenzando a reconocer esto.
El autor Ant Allan plantea que las demandas por la práctica BYOD (Trae tu propio dispositivo) están forzando a los vendedores a modificar sus productos y servicios. Los usuarios quieren que el inicio de sesión sea tan fácil como el uso de cualquier otra aplicación en los teléfonos de consumo. La mayoría lo que desea es deslizar el dedo o ingresar un PIN.
“Lo que se quiere es una metodología de autenticación, digamos, una aplicación móvil que provea el nivel de confianza adecuado y no afecte la experiencia del usuario”, explica Allan.
Las compañías que crearon tokens físicos de autenticación florecieron durante años orientadas hacia un mercado de técnicos hábiles interesados en la seguridad. Esos usuarios cuando se hace necesario se ajustan a tener que emplear un sistema algo incómodo para escribir contraseñas de un solo uso.
Ese mercado aún existe, pero se ha producido una explosión en el número de personas que requieren una forma segura de conectarse. Como respuesta, Los proveedores están haciendo que sea más fácil no solo el “saber”, sino también el “tener” e incluso el “ser” algo que pueda usarse para la autenticación.”
Tener
El aspecto de “tener” es bastante sencillo. En lugar de mantenerse con el tradicional token plástico que genera contraseñas al vuelo, compañías como RSA y Symantec han creado tokens suaves que se alojan en los teléfonos inteligentes o en casi todos los dispositivos digitales, incluyendo PCs, laptops y tabletas, explica Allan. Este cambio reporta varios beneficios. Por una parte, son mucho más baratos. Por otra, son comunes y fáciles de usar. Además están integrados en algo que las personas tienen consigo todo el tiempo. O sea, los tokens suaves no solo son más manuables, sino que además pueden integrarse en un dispositivo que la gente realmente emplea para acceder a sus redes.
Ser
En los próximos años los factores contextuales, en especial de localización, aumentarán en importancia, observa Allan. La localización es popular porque virtualmente cada teléfono inteligente incluye sensores para detectarla. Lo más importante es qué dice la localización acerca de un usuario. Mientras que el hogar y la oficina pueden ser ampliamente conocidos, raramente ocurre que el horario cotidiano de un individuo pueda predecirse como para falsear una identidad. De modo que las restricciones basadas en la localización pueden resistir los ataques en el largo plazo.
La biometría de rostro, iris y huellas digitales es bien conocida, pero también está surgiendo la biometría basada en el comportamiento. Casi todos los movimientos físicos relacionados con el empleo de un dispositivo pueden rastrearse, desde la forma en que escribimos en nuestros teléfonos, tabletas y teclados, hasta el modo en que pasamos de una pantalla a otra. Los usuarios pueden inventar sus propios gestos para agitar un dispositivo, si así lo desean. Una vez identificados, esos comportamientos pueden utilizarse para la futura autenticación.
Todo esto puede convertirse en matemática, al igual que los métodos anteriores. Pero la diferencia estriba en la profundidad de la defensa. “Si utiliza un método tradicional, usted tiene una credencial específica que está conectando a un usuario”, dice Allan. “Si lo que hace es autenticación contextual, usted no tiene ningún elemento de información que sea fuerte por sí mismo. Son múltiples elementos de información los que se adicionan para crear un puntaje general. Es como tener un mazo de tallos de una planta, en lugar de tener una rama”.
Los recientes ataques contra infraestructuras de todo tipo sugieren que en el negocio de la seguridad debe producirse un auge. Eso es cierto hasta un punto: Las compañías que se especializan en respuesta a incidentes, por ejemplo, plantean que están rechazando clientes porque no pueden cubrir la demanda. Por otra parte, los especialistas en autenticación - esos que están en la línea frontal donde debían pararse los ataques en primer lugar - informan que sus negocios están creciendo, pero no al mismo ritmo.
En general Gartner estima quizás un 20% de crecimiento en el volumen de usuarios para 2013, pero solamente un 10% de incremento en los ingresos debido al creciente uso de las soluciones más económicas de nube y de token suave.
Los hackers no se quedan quietos. Ya han comprometido por lo menos un algoritmo de contraseña de un solo uso, ahora ya remediado, y están trabajando en muchos otros. Pueden seguir adelante, pero están creciendo los ataques browser-in-the-middle (navegador en el centro), señala Allan, porque son más fáciles de ejecutar que muchos hackeos de autenticación.
Fuente: IDNoticias
