Los métodos de sustitución de las contraseñas asumen diversas formas
Cada mes que pasa trae consigo al parecer una nueva violación de contraseñas o una vulnerabilidad de Internet. Las empresas están conscientes de la inseguridad de las contraseñas y realizan una búsqueda activa de diferentes tecnologías de autenticación e identidad digital.
La autenticación multifactor puede contribuir en gran medida para evitar muchas de estas violaciones, ya que las contraseñas siguen ocupando el primer lugar dentro de las vías por las que los hackers ganan acceso a la información en las redes informáticas, según el informe de Verizon “2014 Data Breach Investigation” (Investigación sobre violaciones de datos 2014).
Dos de cada tres violaciones explotan las contraseñas débiles o robadas, lo que pone de relieve la necesidad de una fuerte autenticación de doble factor, señala Jay Jacobs, coautor del informe y ejecutivo de Verizon Business. “En sentido general los hackers se enfocan a comprometer identidades”, explica.
El informe sobre las violaciones de datos de 2014 analiza más de 1,300 casos confirmados, junto con más de 63,000 incidentes de seguridad reportados. En un intento por lograr mejor comprensión sobre el panorama de la seguridad en el ciberespacio, por primera vez el informe incluye incidentes de seguridad que no devinieron en violaciones.
En los 10 años que abarca el estudio, el número de violaciones de datos sobrepasa 3,800.
Las contraseñas débiles o predeterminadas condujeron a muchos de los ataques de puntos de venta el pasado año. La mayoría de esos dispositivos están abiertos en Internet y los pequeños comerciantes no los protegen con contraseñas, o utilizan contraseñas débiles o no cambian las que vienen predeterminadas.
“El gran problema fue que la misma contraseña fue utilizada para todas las organizaciones gestionadas por el vendedor. Una vez robada, esencialmente se convirtió en la contraseña predeterminada y los atacantes también obtuvieron información sobre la base de clientes. Con esta información en su poder, se inició el acostumbrado modus operandi de instalar un código malicioso que capturaba y transmitía los datos deseados”, señala el informe.
Verizon recomienda que los comerciantes se aseguren de que las contraseñas utilizadas para el acceso remoto a los sistemas de puntos de venta no sean las predeterminadas de fábrica, el nombre del vendedor, palabras de los diccionarios u otras opciones débiles. Si un tercero se encarga de esta responsabilidad, tienen que asegurarse que se ajuste a este requerimiento. También es crucial la autenticación de doble factor.
Otro terreno en que el objetivo han sido las credenciales, son los ataques a aplicaciones en la web. Esos ataques se producen en una de estas dos formas: aprovechando una debilidad en la aplicación, o utilizando credenciales robadas para hacerse pasar por un usuario válido.
Dentro de la industria financiera, por ejemplo, los hackers se concentran en lograr acceso a la interfaz de usuario en la aplicación de banca en línea.
“Se enfocan hacia las credenciales de usuario y simplemente utilizan aplicaciones en línea protegidas por un solo factor –una contraseña- como la vía para su objetivo. Las tácticas empleadas por los atacantes son las usuales: a) técnicas de phishing (suplantación) para engañar al usuario y que les proporcione sus credenciales, o para instalar malware en el sistema del cliente, b) el viejo recurso de adivinar la contraseña, y c) los casos raros en que se ataca la aplicación mediante SQL”, explica el informe.
Verizon nuevamente destaca la debilidad de la contraseña de un solo factor en estos ataques, y recomienda que las empresas instruyan el uso de mecanismos alternativos de autenticación.
Diferentes enfoques para resolver la debilidad de las contraseñas
Para combatir esas amenazas y promover la seguridad en Internet, los vendedores están presentando una amplia gama de enfoques y tecnologías de autenticación. El interés común es hacer que la identidad en línea sea más segura sin añadir molestas complicaciones.
A menudo se emplea el término “fricción” en relación a la identidad en línea. Esto no se refiere al acto físico de friccionar un token sobre una laptop o teléfono inteligente, sino que se refiere al grado de dificultad que impone una tecnología de autenticación para lograr el acceso a un servicio o sitio web.
En realidad no existe ningún esquema de autenticación que no tenga algún grado de fricción. Pero la meta de los proveedores de tecnología y de las partes que implementan esos nuevos sistemas, es desarrollar un esquema con el menor nivel de fricción posible. He aquí algunas de las muchas compañías que trabajan en la búsqueda de soluciones.
Yubico
Yubico ofrece una memoria USB sin controlador denominada Yubikey, que sirve como segundo factor de autenticación, explica Stina Ehrensvard, directora general y fundadora de la compañía. Google utiliza internamente la tecnología y siete de las 10 firmas más importantes de Internet también la utilizan para seguridad lógica dentro de la empresa.
Para autenticar de forma segura a los ingenieros en las redes productivas y servidores, Facebook implantó la solución Yubikey para una rápida y fácil autenticación de los empleados.
Yubikey es una de una serie de opciones de autenticación de doble factor que los empleados de Facebook pueden escoger. Empleando la plataforma de Duo Security basada en nube, puede habilitarse un conjunto de opciones: notificación automática, SMS, móvil y voz.
Con Duo, los usuarios tienen alternativas de dispositivo y método cada vez que se autentifican. Adicionalmente, Duo brinda soporte a todo tipo de teléfono, desde los teléfonos inteligentes hasta los fijos, y permite que los usuarios se autentifiquen con una variedad de factores de autenticación, incluyendo YubiKey.
El YubiKey Nano está diseñado para quedarse insertado dentro de la ranura USB. Para autenticar, los usuarios simplemente presionan el dispositivo, un código de acceso ingresa de forma automática e instantánea, no hay necesidad de volver a escribir físicamente los códigos.
Los desarrolladores de la Web pueden emplear las herramientas de fuente abierta que están ampliamente disponibles para crear sistemas que utilizan YubiKey para el acceso, señala Ehrensvard. Ella compara Yubikey con una tarjeta inteligente en forma de llavero, más que un dispositivo básico para código de acceso de un solo uso (OTP).
“La tecnología de código de acceso de un solo uso es buena, pero surgen algunas amenazas, como son los ataques man-in-the-middle o man-in-the-browser. Es mejor que las contraseñas, pero no tan bueno como las tarjetas inteligentes”, aclara.
La tecnología de tarjeta inteligente también tiene sus desventajas, explica Ehrensvard. “Las tarjetas inteligentes con complejas, necesitan lectores, middleware y una autoridad de certificación”, señala Ehrensvard. “Estamos tratando de llevar la tecnología de tarjeta inteligente al mercado de consumo masivo eliminando las barreras y la complejidad”.
Yubikey no requiere middleware, ni controladores o autoridad de certificación. En lugar de ello, la autenticación se sitúa en el navegador, permitiendo que los desarrolladores de la web creen protocolos de autenticación que sacan ventajas del dispositivo.
En modo predeterminado, YubiKey funciona emitiendo un código de acceso de una sola vez emulando un teclado USB. Como casi todas las computadoras modernas son compatibles con los teclados USB, YubiKey no requiere un software adicional de cliente.
Un usuario ingresa una contraseña, inserta el YubiKey en el puerto USB y presiona el botón para que emita la OTP. Esta es verificada por el software o servicio que da soporte al Yubikey, autorizando en menos de un segundo el inicio de sesión seguro.
Cada vez que se genera un nuevo OTP, este invalida todos los códigos de acceso generados previamente. Esto significa que aunque haga una grabación del YubiKey, este no puede ser utilizado de nuevo para obtener acceso a un sitio o servicio protegido. Cada OTP es único para el YubiKey que lo genera y no puede duplicarse ni copiarse a otro dispositivo.
Yubico es miembro de FIDO Alliance, una organización dedicada a llevar a las masas una autenticación de alta seguridad. La Alianza trabaja por un Marco Universal de Autenticación y un Segundo Factor Universal.
FIDO y la autenticación universal
La experiencia de FIDO sin uso de contraseña está sustentada en el Marco de Autenticación Universal. Empleando ese marco, el usuario registra un dispositivo en el servicio en línea seleccionando el mecanismo preferido para la autenticación, como puede ser deslizar un dedo, mirar hacia la cámara, hablarle a un micrófono o ingresar un PIN. Una vez registrado, el usuario simplemente repite la acción que ha seleccionado para autenticarse cada vez que necesite realizar la autenticación para el servicio. También pueden combinarse varios mecanismos de autenticación. La experiencia de doble factor de FIDO es definida por el protocolo de Segundo Factor Universal, que permite que los servicios en línea incrementen la seguridad mediante un factor adicional de autenticación.
Bluetooth para acceso
Kenneth Weiss, desarrollador de la tecnología de autenticación basada en token que pasó a ser SecurID de RSA, está trabajando en una aplicación de teléfono inteligente que habilitará autenticación de tres factores sin requerir hardware adicional. Después de descargar la aplicación a un teléfono o computadora, la autenticación se realiza mediante Bluetooth, explica Weiss. La persona se autentifica al teléfono y la aplicación con un PIN o contraseña, y esta se autentifica a la computadora para lograr seguridad de dos factores. Si el teléfono tiene un lector biométrico, se puede lograr además una seguridad de tres factores. El teléfono envía un código de acceso a la computadora cada 30 segundos, ofreciendo así una autenticación constante.
Hay planes de crear una API con el fin de habilitar también el acceso a sitios web y redes seguras. Universal Secure Registry está trabajando en aplicaciones para iOS y Android, y el lanzamiento debe producirse a mediados de 2014.
Toopher
Toopher está anunciando la autenticación invisible con el lema: “Muy efectivo para James Bond, pero también para que lo use tu mamá”.
Cuando una empresa habilita un sitio para Toopher, un dispositivo móvil de un usuario puede servir como segundo factor de autenticación, explica Roman Gonzalez, director de marketing de la compañía. Un consumidor inicia sesión en un sitio habilitado con Toopher y opta por registrar su dispositivo móvil. Se le pide que descargue la aplicación Toopher al móvil, si todavía no lo ha hecho. Un mensaje es enviado a la aplicación detallando el sitio que se ha de añadir en la cadena Toopher del usuario. Este puede permitir o denegar el sitio. Cuando lo aprueba, queda conectado al mismo y se produce la autenticación invisible. Toopher utiliza la función de geolocalización del dispositivo móvil y lo autentica a los sitios a los que típicamente se conecta. En caso de algún sitio que no sea usual, le envía al móvil una solicitud para hacerlo.
La idea, es hacer que las transacciones sean más seguras sin tener que sacar el dispositivo móvil cada vez que tiene que conectarse.
Combatiendo la amenaza
Como muestra el informe de Verizon, la seguridad en el ciberespacio es más vulnerable que nunca. Los hackers seguirán buscando las identificaciones de usuario y contraseñas débiles. En la medida en que proliferan las violaciones, se acelera más la carrera por mejorar la autenticación en línea.
Los ejemplos detallados anteriormente muestran que hay muchas ideas de solución, desde el uso de hardware hasta software, y de lo activo a lo invisible. Está surgiendo un vasto ecosistema de compañías dirigidas a combatir el fraude y ayudar tanto a los consumidores como a las empresas a combatir esta creciente amenaza.
Fuente:IDNoticias
Cada mes que pasa trae consigo al parecer una nueva violación de contraseñas o una vulnerabilidad de Internet. Las empresas están conscientes de la inseguridad de las contraseñas y realizan una búsqueda activa de diferentes tecnologías de autenticación e identidad digital.
La autenticación multifactor puede contribuir en gran medida para evitar muchas de estas violaciones, ya que las contraseñas siguen ocupando el primer lugar dentro de las vías por las que los hackers ganan acceso a la información en las redes informáticas, según el informe de Verizon “2014 Data Breach Investigation” (Investigación sobre violaciones de datos 2014).
Dos de cada tres violaciones explotan las contraseñas débiles o robadas, lo que pone de relieve la necesidad de una fuerte autenticación de doble factor, señala Jay Jacobs, coautor del informe y ejecutivo de Verizon Business. “En sentido general los hackers se enfocan a comprometer identidades”, explica.
El informe sobre las violaciones de datos de 2014 analiza más de 1,300 casos confirmados, junto con más de 63,000 incidentes de seguridad reportados. En un intento por lograr mejor comprensión sobre el panorama de la seguridad en el ciberespacio, por primera vez el informe incluye incidentes de seguridad que no devinieron en violaciones.
En los 10 años que abarca el estudio, el número de violaciones de datos sobrepasa 3,800.
Las contraseñas débiles o predeterminadas condujeron a muchos de los ataques de puntos de venta el pasado año. La mayoría de esos dispositivos están abiertos en Internet y los pequeños comerciantes no los protegen con contraseñas, o utilizan contraseñas débiles o no cambian las que vienen predeterminadas.
“El gran problema fue que la misma contraseña fue utilizada para todas las organizaciones gestionadas por el vendedor. Una vez robada, esencialmente se convirtió en la contraseña predeterminada y los atacantes también obtuvieron información sobre la base de clientes. Con esta información en su poder, se inició el acostumbrado modus operandi de instalar un código malicioso que capturaba y transmitía los datos deseados”, señala el informe.
Verizon recomienda que los comerciantes se aseguren de que las contraseñas utilizadas para el acceso remoto a los sistemas de puntos de venta no sean las predeterminadas de fábrica, el nombre del vendedor, palabras de los diccionarios u otras opciones débiles. Si un tercero se encarga de esta responsabilidad, tienen que asegurarse que se ajuste a este requerimiento. También es crucial la autenticación de doble factor.
Otro terreno en que el objetivo han sido las credenciales, son los ataques a aplicaciones en la web. Esos ataques se producen en una de estas dos formas: aprovechando una debilidad en la aplicación, o utilizando credenciales robadas para hacerse pasar por un usuario válido.
Dentro de la industria financiera, por ejemplo, los hackers se concentran en lograr acceso a la interfaz de usuario en la aplicación de banca en línea.
“Se enfocan hacia las credenciales de usuario y simplemente utilizan aplicaciones en línea protegidas por un solo factor –una contraseña- como la vía para su objetivo. Las tácticas empleadas por los atacantes son las usuales: a) técnicas de phishing (suplantación) para engañar al usuario y que les proporcione sus credenciales, o para instalar malware en el sistema del cliente, b) el viejo recurso de adivinar la contraseña, y c) los casos raros en que se ataca la aplicación mediante SQL”, explica el informe.
Verizon nuevamente destaca la debilidad de la contraseña de un solo factor en estos ataques, y recomienda que las empresas instruyan el uso de mecanismos alternativos de autenticación.
Diferentes enfoques para resolver la debilidad de las contraseñas
Para combatir esas amenazas y promover la seguridad en Internet, los vendedores están presentando una amplia gama de enfoques y tecnologías de autenticación. El interés común es hacer que la identidad en línea sea más segura sin añadir molestas complicaciones.
A menudo se emplea el término “fricción” en relación a la identidad en línea. Esto no se refiere al acto físico de friccionar un token sobre una laptop o teléfono inteligente, sino que se refiere al grado de dificultad que impone una tecnología de autenticación para lograr el acceso a un servicio o sitio web.
En realidad no existe ningún esquema de autenticación que no tenga algún grado de fricción. Pero la meta de los proveedores de tecnología y de las partes que implementan esos nuevos sistemas, es desarrollar un esquema con el menor nivel de fricción posible. He aquí algunas de las muchas compañías que trabajan en la búsqueda de soluciones.
Yubico
Yubico ofrece una memoria USB sin controlador denominada Yubikey, que sirve como segundo factor de autenticación, explica Stina Ehrensvard, directora general y fundadora de la compañía. Google utiliza internamente la tecnología y siete de las 10 firmas más importantes de Internet también la utilizan para seguridad lógica dentro de la empresa.
Para autenticar de forma segura a los ingenieros en las redes productivas y servidores, Facebook implantó la solución Yubikey para una rápida y fácil autenticación de los empleados.
Yubikey es una de una serie de opciones de autenticación de doble factor que los empleados de Facebook pueden escoger. Empleando la plataforma de Duo Security basada en nube, puede habilitarse un conjunto de opciones: notificación automática, SMS, móvil y voz.
Con Duo, los usuarios tienen alternativas de dispositivo y método cada vez que se autentifican. Adicionalmente, Duo brinda soporte a todo tipo de teléfono, desde los teléfonos inteligentes hasta los fijos, y permite que los usuarios se autentifiquen con una variedad de factores de autenticación, incluyendo YubiKey.
El YubiKey Nano está diseñado para quedarse insertado dentro de la ranura USB. Para autenticar, los usuarios simplemente presionan el dispositivo, un código de acceso ingresa de forma automática e instantánea, no hay necesidad de volver a escribir físicamente los códigos.
Los desarrolladores de la Web pueden emplear las herramientas de fuente abierta que están ampliamente disponibles para crear sistemas que utilizan YubiKey para el acceso, señala Ehrensvard. Ella compara Yubikey con una tarjeta inteligente en forma de llavero, más que un dispositivo básico para código de acceso de un solo uso (OTP).
“La tecnología de código de acceso de un solo uso es buena, pero surgen algunas amenazas, como son los ataques man-in-the-middle o man-in-the-browser. Es mejor que las contraseñas, pero no tan bueno como las tarjetas inteligentes”, aclara.
La tecnología de tarjeta inteligente también tiene sus desventajas, explica Ehrensvard. “Las tarjetas inteligentes con complejas, necesitan lectores, middleware y una autoridad de certificación”, señala Ehrensvard. “Estamos tratando de llevar la tecnología de tarjeta inteligente al mercado de consumo masivo eliminando las barreras y la complejidad”.
Yubikey no requiere middleware, ni controladores o autoridad de certificación. En lugar de ello, la autenticación se sitúa en el navegador, permitiendo que los desarrolladores de la web creen protocolos de autenticación que sacan ventajas del dispositivo.
En modo predeterminado, YubiKey funciona emitiendo un código de acceso de una sola vez emulando un teclado USB. Como casi todas las computadoras modernas son compatibles con los teclados USB, YubiKey no requiere un software adicional de cliente.
Un usuario ingresa una contraseña, inserta el YubiKey en el puerto USB y presiona el botón para que emita la OTP. Esta es verificada por el software o servicio que da soporte al Yubikey, autorizando en menos de un segundo el inicio de sesión seguro.
Cada vez que se genera un nuevo OTP, este invalida todos los códigos de acceso generados previamente. Esto significa que aunque haga una grabación del YubiKey, este no puede ser utilizado de nuevo para obtener acceso a un sitio o servicio protegido. Cada OTP es único para el YubiKey que lo genera y no puede duplicarse ni copiarse a otro dispositivo.
Yubico es miembro de FIDO Alliance, una organización dedicada a llevar a las masas una autenticación de alta seguridad. La Alianza trabaja por un Marco Universal de Autenticación y un Segundo Factor Universal.
FIDO y la autenticación universal
La experiencia de FIDO sin uso de contraseña está sustentada en el Marco de Autenticación Universal. Empleando ese marco, el usuario registra un dispositivo en el servicio en línea seleccionando el mecanismo preferido para la autenticación, como puede ser deslizar un dedo, mirar hacia la cámara, hablarle a un micrófono o ingresar un PIN. Una vez registrado, el usuario simplemente repite la acción que ha seleccionado para autenticarse cada vez que necesite realizar la autenticación para el servicio. También pueden combinarse varios mecanismos de autenticación. La experiencia de doble factor de FIDO es definida por el protocolo de Segundo Factor Universal, que permite que los servicios en línea incrementen la seguridad mediante un factor adicional de autenticación.
Bluetooth para acceso
Kenneth Weiss, desarrollador de la tecnología de autenticación basada en token que pasó a ser SecurID de RSA, está trabajando en una aplicación de teléfono inteligente que habilitará autenticación de tres factores sin requerir hardware adicional. Después de descargar la aplicación a un teléfono o computadora, la autenticación se realiza mediante Bluetooth, explica Weiss. La persona se autentifica al teléfono y la aplicación con un PIN o contraseña, y esta se autentifica a la computadora para lograr seguridad de dos factores. Si el teléfono tiene un lector biométrico, se puede lograr además una seguridad de tres factores. El teléfono envía un código de acceso a la computadora cada 30 segundos, ofreciendo así una autenticación constante.
Hay planes de crear una API con el fin de habilitar también el acceso a sitios web y redes seguras. Universal Secure Registry está trabajando en aplicaciones para iOS y Android, y el lanzamiento debe producirse a mediados de 2014.
Toopher
Toopher está anunciando la autenticación invisible con el lema: “Muy efectivo para James Bond, pero también para que lo use tu mamá”.
Cuando una empresa habilita un sitio para Toopher, un dispositivo móvil de un usuario puede servir como segundo factor de autenticación, explica Roman Gonzalez, director de marketing de la compañía. Un consumidor inicia sesión en un sitio habilitado con Toopher y opta por registrar su dispositivo móvil. Se le pide que descargue la aplicación Toopher al móvil, si todavía no lo ha hecho. Un mensaje es enviado a la aplicación detallando el sitio que se ha de añadir en la cadena Toopher del usuario. Este puede permitir o denegar el sitio. Cuando lo aprueba, queda conectado al mismo y se produce la autenticación invisible. Toopher utiliza la función de geolocalización del dispositivo móvil y lo autentica a los sitios a los que típicamente se conecta. En caso de algún sitio que no sea usual, le envía al móvil una solicitud para hacerlo.
La idea, es hacer que las transacciones sean más seguras sin tener que sacar el dispositivo móvil cada vez que tiene que conectarse.
Combatiendo la amenaza
Como muestra el informe de Verizon, la seguridad en el ciberespacio es más vulnerable que nunca. Los hackers seguirán buscando las identificaciones de usuario y contraseñas débiles. En la medida en que proliferan las violaciones, se acelera más la carrera por mejorar la autenticación en línea.
Los ejemplos detallados anteriormente muestran que hay muchas ideas de solución, desde el uso de hardware hasta software, y de lo activo a lo invisible. Está surgiendo un vasto ecosistema de compañías dirigidas a combatir el fraude y ayudar tanto a los consumidores como a las empresas a combatir esta creciente amenaza.
Fuente:IDNoticias
