Han pasado seis años desde la notable violación del servicio de nube de Salesforce.com, cuando un empleado entregó una contraseña en un ataque “phishing” contra la compañía. Como resultado, los hackers pudieron obtener los detalles de miles de clientes de Salesforce y después enviarles a estos una serie de correos electrónicos “phishing” que aparecían como si fueran de la compañía. En aquel momento Salesforce le dijo a sus clientes que “consideraran el uso de autenticación de dos factores”.
Pasemos al momento actual y veremos que los problemas de seguridad en la nube persisten. En octubre del año pasado unos hackers lograron burlar la seguridad de la nube Creative de Adobe y su servicio Revel de compartir fotos, obteniendo así las identificaciones y contraseñas de clientes de Adobe. Si los clientes de Adobe hubieran estado utilizando autenticación de doble factor, habrían estado seguros porque las contraseñas comprometidas serían inútiles sin el segundo autenticador.
La autenticación de dos factores es esencial, lo mismo si accedes o proporcionas acceso a una nube pública, privada o híbrida. Pero aún hoy la mayoría de las empresas que utilizan múltiples servicios de nube le dan preferencia a la conveniencia por encima de la seguridad. Esto obedece en primer lugar a la percepción desactualizada de que implementar una autenticación fuerte es algo complicado, costoso, que es difícil lograr la aprobación administrativa, la implementación es engorrosa y además inconveniente para los usuarios.
Actualmente la evolución de los servicios de nube ha eliminado muchas de esas barreras. La seguridad se ha convertido en un tema prioritario debido a la intensa publicidad sobre el elevado costo de las violaciones de datos y el costo más alto aún para la reputación de las marcas. Recientes adelantos en la arquitectura de software de red y en las herramientas administrativas han reducido los costos, el tiempo y la especialización requerida para implementar una fuerte autenticación en el control de acceso a los servicios en nube.
Soluciones fuertes y asequibles para autenticación de doble factor
Los proveedores de servicio en nube que quieran pasar rápidamente a la utilización de una autenticación fuerte deben empezar por considerar los controles de acceso mediante contraseña de un solo uso. Las soluciones de contraseña de un solo uso (OTP) incrementan la seguridad del proceso de inicio de sesión asegurando que la persona que accede a la red está en posesión de dos factores de verificación de identidad: algo que tienen que es el dispositivo OTP y algo que conocen, el nombre de usuario y potencialmente una contraseña.
Los generadores de contraseñas de un solo uso vienen en diversos factores de forma, como tokens de hardware portátiles, tarjetas display, SMS y aplicaciones móviles. Todos estos son medios efectivos para implementar la autenticación de dos factores, y son un ejemplo de cómo diferentes soluciones pueden resolver diferentes necesidades. Un token OTP puede colocarse fácilmente en una cinta de cuello o un llavero, y una tarjeta display puede llevarse en la billetera. Ambos proporcionan una segunda y efectiva capa de autenticación sin que resulte una molestia.
La mensajería móvil de texto y las aplicaciones móviles son medios incluso más baratos para proveer contraseñas de un solo uso, en especial cuando se está generalizando la práctica BYOD (“Trae tu propio dispositivo”). Actualmente ya no existe un profesional que no lleve consigo el dispositivo móvil, sea un teléfono inteligente o una tableta. Emplear esos dispositivos móviles como token OTP ahorra dinero y reduce complejidad.
Hay dos formas de utilizar los dispositivos móviles para la autenticación OTP:
SMS. Esto permite que el usuario pida una contraseña de un solo uso cuando se conecta a un recurso específico. El usuario recibe un mensaje de texto de la red en base al número móvil que está registrado en la compañía. Esto ofrece el mismo nivel de autenticación fuerte, pero sin necesidad de implementar ningún hardware adicional.
Aplicación de teléfono inteligente. Con el auge de las tiendas de aplicaciones, han aparecido aplicaciones OTP que funcionan con todos los principales sistemas operativos de los teléfonos inteligentes. Cuando se le pide a un usuario que ingrese una contraseña de un solo uso para una autenticación fuerte, lo único que tiene que hacer es lanzar la aplicaciones que generan una OTP. Esto también elimina la necesidad de un dispositivo adicional de hardware, lo que hace que el método sea económico y fácil de usar.
Otra importante ventaja del empleo del dispositivo móvil como token OTP es la capacidad de descargar y proveerse por sí mismo de la aplicación. Las empresas pueden subcontratar la operación del servidor de autenticación a un proveedor de soluciones, o llevar la tecnología a la empresa mediante hosting local (on-premise). Las organizaciones pueden emplear la solución en toda una variedad de teléfonos y entornos móviles de trabajo.
Para las compañías que investigan soluciones OTP, es importante considerar la opción de una solución que cumpla con las actuales normas OATH (Open Authentication Organization). Esos estándares industriales para la autenticación pueden ayudar a reducir costos y obviar los inconvenientes de las soluciones de propiedad.
La computación en nube no es una tendencia transitoria. Forrester predice que el mercado global de computación en nube crecerá a más de $241,000 millones en 2020, y el “Informe del Estado de la Nube” 2013 de CDW expuso que el 75% de los negocios reportaron que utilizaban algún tipo de plataforma de nube. Tanto la nube como el dispositivo móvil inteligente han conducido a las empresas a una nueva era de productividad, eficiencia y conveniencia, pero en ocasiones a expensas de la seguridad.
Si los proveedores de servicios en nube quieren desplegar todo el potencial de nube, tienen que ofrecer métodos más sólidos de autenticación. Esto ahora es más fácil y económico que nunca antes, y puede ser tan sencillo como utilizar dispositivos que todos conocemos y portamos – nuestros teléfonos inteligentes – como ese algo “que tenemos” cuando nos conectamos a un servicio de nube.
Fuente:IDNoticias
Pasemos al momento actual y veremos que los problemas de seguridad en la nube persisten. En octubre del año pasado unos hackers lograron burlar la seguridad de la nube Creative de Adobe y su servicio Revel de compartir fotos, obteniendo así las identificaciones y contraseñas de clientes de Adobe. Si los clientes de Adobe hubieran estado utilizando autenticación de doble factor, habrían estado seguros porque las contraseñas comprometidas serían inútiles sin el segundo autenticador.
La autenticación de dos factores es esencial, lo mismo si accedes o proporcionas acceso a una nube pública, privada o híbrida. Pero aún hoy la mayoría de las empresas que utilizan múltiples servicios de nube le dan preferencia a la conveniencia por encima de la seguridad. Esto obedece en primer lugar a la percepción desactualizada de que implementar una autenticación fuerte es algo complicado, costoso, que es difícil lograr la aprobación administrativa, la implementación es engorrosa y además inconveniente para los usuarios.
Actualmente la evolución de los servicios de nube ha eliminado muchas de esas barreras. La seguridad se ha convertido en un tema prioritario debido a la intensa publicidad sobre el elevado costo de las violaciones de datos y el costo más alto aún para la reputación de las marcas. Recientes adelantos en la arquitectura de software de red y en las herramientas administrativas han reducido los costos, el tiempo y la especialización requerida para implementar una fuerte autenticación en el control de acceso a los servicios en nube.
Soluciones fuertes y asequibles para autenticación de doble factor
Los proveedores de servicio en nube que quieran pasar rápidamente a la utilización de una autenticación fuerte deben empezar por considerar los controles de acceso mediante contraseña de un solo uso. Las soluciones de contraseña de un solo uso (OTP) incrementan la seguridad del proceso de inicio de sesión asegurando que la persona que accede a la red está en posesión de dos factores de verificación de identidad: algo que tienen que es el dispositivo OTP y algo que conocen, el nombre de usuario y potencialmente una contraseña.
Los generadores de contraseñas de un solo uso vienen en diversos factores de forma, como tokens de hardware portátiles, tarjetas display, SMS y aplicaciones móviles. Todos estos son medios efectivos para implementar la autenticación de dos factores, y son un ejemplo de cómo diferentes soluciones pueden resolver diferentes necesidades. Un token OTP puede colocarse fácilmente en una cinta de cuello o un llavero, y una tarjeta display puede llevarse en la billetera. Ambos proporcionan una segunda y efectiva capa de autenticación sin que resulte una molestia.
La mensajería móvil de texto y las aplicaciones móviles son medios incluso más baratos para proveer contraseñas de un solo uso, en especial cuando se está generalizando la práctica BYOD (“Trae tu propio dispositivo”). Actualmente ya no existe un profesional que no lleve consigo el dispositivo móvil, sea un teléfono inteligente o una tableta. Emplear esos dispositivos móviles como token OTP ahorra dinero y reduce complejidad.
Hay dos formas de utilizar los dispositivos móviles para la autenticación OTP:
SMS. Esto permite que el usuario pida una contraseña de un solo uso cuando se conecta a un recurso específico. El usuario recibe un mensaje de texto de la red en base al número móvil que está registrado en la compañía. Esto ofrece el mismo nivel de autenticación fuerte, pero sin necesidad de implementar ningún hardware adicional.
Aplicación de teléfono inteligente. Con el auge de las tiendas de aplicaciones, han aparecido aplicaciones OTP que funcionan con todos los principales sistemas operativos de los teléfonos inteligentes. Cuando se le pide a un usuario que ingrese una contraseña de un solo uso para una autenticación fuerte, lo único que tiene que hacer es lanzar la aplicaciones que generan una OTP. Esto también elimina la necesidad de un dispositivo adicional de hardware, lo que hace que el método sea económico y fácil de usar.
Otra importante ventaja del empleo del dispositivo móvil como token OTP es la capacidad de descargar y proveerse por sí mismo de la aplicación. Las empresas pueden subcontratar la operación del servidor de autenticación a un proveedor de soluciones, o llevar la tecnología a la empresa mediante hosting local (on-premise). Las organizaciones pueden emplear la solución en toda una variedad de teléfonos y entornos móviles de trabajo.
Para las compañías que investigan soluciones OTP, es importante considerar la opción de una solución que cumpla con las actuales normas OATH (Open Authentication Organization). Esos estándares industriales para la autenticación pueden ayudar a reducir costos y obviar los inconvenientes de las soluciones de propiedad.
La computación en nube no es una tendencia transitoria. Forrester predice que el mercado global de computación en nube crecerá a más de $241,000 millones en 2020, y el “Informe del Estado de la Nube” 2013 de CDW expuso que el 75% de los negocios reportaron que utilizaban algún tipo de plataforma de nube. Tanto la nube como el dispositivo móvil inteligente han conducido a las empresas a una nueva era de productividad, eficiencia y conveniencia, pero en ocasiones a expensas de la seguridad.
Si los proveedores de servicios en nube quieren desplegar todo el potencial de nube, tienen que ofrecer métodos más sólidos de autenticación. Esto ahora es más fácil y económico que nunca antes, y puede ser tan sencillo como utilizar dispositivos que todos conocemos y portamos – nuestros teléfonos inteligentes – como ese algo “que tenemos” cuando nos conectamos a un servicio de nube.
Fuente:IDNoticias