¿Cuánto detestas las claves de acceso? En tiempos más simples, eran una molestia precisa, mas con más de quince mil millones de credenciales pirateadas que ahora circulan en la página web obscura, sostener una buena higiene de claves de acceso se ha transformado en un proyecto científico.
La mayoría de los especialistas ahora aconsejan crear claves de acceso con un mínimo de doce caracteres azarosos y jamás volver a usar exactamente la misma en múltiples sitios. Puesto que la mayor parte de los humanos recuerdan cualquier cosa que esté fuera del alcance de la mayor parte de los humanos, hay una pluralidad de administradores de claves de acceso libres para asistirlo, la mayor parte de los que están protegidos por, lo adivinó, claves de acceso.
Nadie detesta las claves de acceso más que los operadores de sitios que las precisan. Una encuesta reciente de más de uno con cero usuarios efectuada por la start-up sin clave de acceso Beyond Identity halló que 2 tercios afirmaron que la necesidad de crear nuevas claves de acceso les impedía crear cuentas, y 3 cuartos afirmaron que abandonaron sus carros de compras debido a inconvenientes de restablecimiento de claves de acceso.
¿Y si pudiésemos deshacernos de las claves de acceso por completo? La buena nueva es que hay un sinnúmero de dinero y cerebros que se emplean para hacer exactamente eso. La mala nueva es que las claves de acceso, como los ratones, jamás desaparecen por completo.
Soluciones sin clave de acceso de hoy
Hay un progreso incesante en el frente empresarial. Los distribuidores de administración de acceso a la identidad centrados en la compañía como Okta, Ping Identity, OneLogin y Cisco ofrecen acceso sin clave de acceso a los sitios aprobados por la compañía. Todavía precisa cuando menos una clave de acceso para empezar sesión en sus servicios, mas en el momento en que se apruebe, va a estar listo para empezar. La desventaja es que su cuenta corriente o bien Netflix seguramente no están en la lista de servicios aprobados de la compañía.
En el lado del consumidor, la opción más empleada es OAuth, un protocolo abierto que deja a los usuarios que empiezan sesión en sitios fiables como Fb, Google y Apple empezar sesión en otros servicios sin crear una cuenta o bien una clave de acceso. OAuth es simple de utilizar y se considera suficientemente seguro toda vez que empiece sesión en un servidor de autentificación, mas no es pan comido para los operadores de sitios, afirmó Zane Bond, director de productos de Keeper Security, que crea una clave de acceso gerente.
OAuth "seguramente sea criptográficamente seguro, mas desde la perspectiva del dueño de un sitio, es bastante difícil de incorporar apropiadamente", afirmó. “Tienes que estar al corriente de todas y cada una de las revisiones y lanzamientos y, en ocasiones, las guías de ajuste no te ofrecen toda la información que precisas. Posiblemente esté usando tecnología segura, mas la ha configurado incorrectamente. Esta es una de las razones por las cuales no ve que OAuth se use con mucha frecuencia en los millones de sitios minoristas familiares que existen.
El recién llegado más esencial a la campaña es Microsoft, que introdujo una alternativa sin clave de acceso para las cuentas de Microsoft en el mes de septiembre. No obstante, la solución no suprime la necesidad de empezar sesión, puesto que todavía precisa la aplicación Microsoft Authenticator o bien otros métodos. Esto asimismo solo marcha para cuentas de Microsoft, cuando menos de momento.
Y este es el mayor inconveniente. Alén de OAuth, el mercado es un revoltijo de soluciones. La carencia de un estándar preceptivo único quiere decir que las personas que pasan un buen tiempo on line deben continuar confiando en una pluralidad de administradores de claves de acceso, aplicaciones de autentificación (tengo 3 de ellas), verificaciones biométricas y códigos de texto para hacer las cosas.
Nuevos jugadores en el horizonte
Un conjunto de start-ups está abordando el inconveniente. Magic Labs emplea pares de claves criptográficas públicas y privadas creadas en la cadena de bloques Ethereum (no quiere saber más). Secret Double Octopus, que gana el premio al mejor nombre comercial que he escuchado, emplea tecnología que se supone resguarda los códigos de lanzamiento nuclear, mas su producto está dirigido eminentemente a empresas.
Transmit Security colectó últimamente € quinientos cuarenta y tres millones en fondos para una tecnología que emplea biometría para autentificar a los usuarios en múltiples dispositivos. Beyond Identity ha colectado más de € cien millones para tecnología que aprovecha un entorno a prueba de manipulaciones llamado Trusted Platform Module, integrado en todos y cada computadora y teléfono inteligente. El módulo guarda una clave de cifrado privada que se empareja con su contraparte pública en los sitios que visita una persona.
"En el momento en que tiene una cuenta, tiene la opción de pasar sin clave de acceso", afirmó Jing Gu, gerente senior de marketing de productos en Beyond Identity. “Nos das una dirección de e mail, te mandamos un e mail y eso crea el vínculo. "
El reto al que se encaran todas y cada una estas empresas es conseguir que los operadores de sitios adopten sus soluciones. Y cuantos más jugadores haya en el mercado, menos probable es que alguien consiga una masa crítica. "La auténtica seguridad sin clave de acceso va a ser verdaderamente bastante difícil de conseguir debido al gran volumen de sitios", afirmó Bond. “Encontrar una forma de que los estándares cohabiten en vez de competir entre sí es la manera de conseguirlo. "
Mientras tanto, resguárdese. Invierta unos dólares americanos en un administrador de claves de acceso, cumpla con la regla de los doce caracteres y habilite la autentificación multifactor en todas y cada una de las cuentas reservados. Es doloroso, mas si alguna vez su identidad se ha visto comprometida (como lo hice hace 3 años), entenderá que merece la pena.
Entonces lee esto:
Copyright © dos mil veintiuno IDG Communications, Inc.