Qué es la autenticación sin contraseña y cómo funciona

La mayoría de las personas deben recordar una serie de contraseñas diferentes para iniciar sesión en varios dispositivos y cuentas, ya sea para su teléfono y computadora portátil o cuentas de correo electrónico y redes sociales. Se vuelve demasiado fácil volverse perezoso con la higiene de las contraseñas , pero es entonces cuando los usuarios se vuelven más susceptibles a los ataques cibernéticos. Y se ha vuelto increíblemente fácil para los piratas informáticos robar contraseñas a través de violaciones de datos , phishing y otros ataques.

Como resultado, las contraseñas han caído en desgracia en los últimos años. Se prevé que la tendencia aumente a medida que los usuarios y las organizaciones adopten más formas de autenticación sin contraseña. Entonces, ¿qué es exactamente la seguridad sin contraseña, cómo funciona y cuáles son los diversos ejemplos de autenticación sin contraseña? Siga leyendo para obtener más información.

Qué es la autenticación sin contraseña?

En los términos más simples, la autenticación sin contraseña permite a un usuario verificar su identidad sin necesidad de una contraseña. Esto se puede lograr a través de varios medios. Por ejemplo, un usuario puede escanear su rostro o huella digital para obtener acceso a su dispositivo o cuenta, o puede usar contraseñas de un solo uso (OTP), que se usan a menudo en la autenticación de dos factores (2FA) , o vínculos URL que se generan específicamente para cada intento de inicio de sesión.

Los inicios de sesión con contraseña se han vuelto cada vez más populares en los últimos años, sin embargo, los usuarios crean contraseñas con una seguridad muy débil . Muchos usuarios usan la misma contraseña en diferentes cuentas, no crean contraseñas complejas y se olvidan de cambiarlas regularmente. Aunque, por supuesto, un administrador de contraseñas de buena reputación puede ayudar con esto.

Cómo funciona la autenticación sin contraseña?

La autenticación sin contraseña requiere que los usuarios presenten algo único para verificar su identidad y obtener acceso a un dispositivo o cuenta. Estos se conocen como factores de autenticación, y hay varios tipos diferentes, que incluyen:

• Factores de conocimiento algo que el usuario sabe, como una contraseña
• Factores de posesión: algo que el usuario tiene, como un teléfono que puede recibir una contraseña de un solo uso (OTP)
• Factores: algo que es exclusivo del usuario, generalmente se refiere a datos biométricos como las huellas dactilares o el reconocimiento facial
• Factores de ubicación: el usuario requiere una geolocalización específica para obtener acceso, como su oficina o su hogar
• Factores de comportamiento: el usuario debe realizar acciones específicas para obtener acceso, como la contraseña de imagen de Windows 8

Todos los inicios de sesión requieren que los usuarios presenten al menos un factor. Por lo general, este es un factor de conocimiento, generalmente una contraseña. Sin embargo, el inicio de sesión sin contraseña elimina la necesidad de una contraseña al aprovechar los muchos otros factores de autenticación para ofrecer una mayor seguridad. A menudo, estos son factores de posesión, como las OTP, o factores inherentes, como la biometría.

Es segura la autenticación sin contraseña?

En general, el inicio de sesión sin contraseña se considera mucho más seguro que los inicios de sesión tradicionales que requieren que un usuario ingrese sus credenciales específicas. Esto se debe a que, al eliminar la necesidad de una contraseña, estos sistemas de inicio de sesión reducen significativamente el riesgo de ataques cibernéticos como ataques de fuerza bruta o de diccionario, registro de teclas , relleno de credenciales y ataques de intermediario . También son mucho más inmunes al riesgo de piratería e ingeniería social, y a la inercia humana, lo que puede provocar que se usen las mismas contraseñas en varias cuentas y se olviden de actualizarlas.

Sin embargo, como la mayoría de las cosas, la autenticación sin contraseña no es completamente infalible. Los atacantes decididos aún pueden encontrar formas de piratear los sistemas de autenticación, sin importar cuán sofisticados sean. Los piratas informáticos pueden secuestrar direcciones de correo electrónico, números de teléfono e incluso dispositivos para interceptar ciertos tipos de autenticación de contraseña, como las OTP y los enlaces mágicos.

MFA VS. Autenticación sin contraseña

Aunque pueden parecer similares, la autenticación multifactor (MFA) y la autenticación sin contraseña son ligeramente diferentes. En muchos casos, MFA utiliza una contraseña y otra forma de verificación, como OTP o biométrica. Sin embargo, como sugiere el nombre, la seguridad sin contraseña elimina la necesidad de que los usuarios ingresen una contraseña.

Sin embargo, hay situaciones en las que se combinan dos o más formas de inicio de sesión sin contraseña y los usuarios deben pasar ambos procesos de verificación para acceder a sus dispositivos o cuentas. Esto se conoce como MFA sin contraseña.

Cuáles son los ejemplos comunes de autenticación sin contraseña?

Tradicionalmente, la mayoría de los inicios de sesión usan un factor de conocimiento, una contraseña, que todos funcionan de la misma manera: los usuarios crean combinaciones únicas de números, letras y / o símbolos y lo usan con un nombre de usuario para obtener acceso a sus dispositivos o cuentas. A diferencia de las contraseñas, la autenticación sin contraseña puede adoptar muchas formas diferentes. Como se mencionó, la seguridad sin contraseña generalmente incorpora al menos un factor de autenticación, generalmente no el factor de conocimiento, por lo que es más dinámica que las contraseñas.

Certificados

Muchas aplicaciones y software conectado a Internet utilizan certificados digitales para verificar la identidad de los usuarios sin contraseñas. En este caso, el dispositivo personal del usuario tendrá una clave privada, mientras que el servidor de la aplicación o el software almacena una clave pública. Los dos deben corresponder adecuadamente para habilitar la autenticación sin contraseña.

Contraseñas de un solo uso

Si alguna vez se ha preguntado "¿Qué es la autenticación OTP?", Esta es su respuesta: aunque los usuarios aún deben escribirlos en sus dispositivos para acceder a sus cuentas, las contraseñas de un solo uso se consideran una forma de autenticación sin contraseña. Esto se debe a que son códigos temporales que los usuarios reciben a través de mensajes de texto o aplicaciones de autenticación; son diferentes cada vez y caducan en varios minutos, por lo que se consideran más seguras que las contraseñas tradicionales. Este es un tipo de factor de posesión ya que, en teoría, solo el usuario tiene los medios para generar o recibir la OTP.

Biometría

En la actualidad, muchos dispositivos y software utilizan datos biométricos para iniciar sesión con contraseña. Estos son factores de inherencia, ya que otorgan acceso a los rasgos físicos únicos de un usuario, por ejemplo, huellas dactilares o escaneos de retina. Los iPhone son un buen ejemplo de autenticación biométrica, ya que permiten a los usuarios habilitar el reconocimiento facial para acceder al dispositivo e iniciar sesión en varias cuentas seguras, incluidas las aplicaciones bancarias, lo que ayuda a prevenir el fraude bancario en línea .

Enlaces mágicos

Muchos software populares basados en Internet ahora ofrecen autenticación sin contraseña con enlaces mágicos. Estos son esencialmente tokens de URL que los usuarios pueden usar para iniciar sesión en las cuentas al verificar su dirección de correo electrónico o número de teléfono. Cuando el usuario inicia sesión en una cuenta que utiliza la verificación de vínculo mágico, el sistema envía automáticamente un vínculo URL a su dirección de correo electrónico registrada o por mensaje a su número de teléfono; luego, el usuario hace clic en el vínculo para iniciar sesión automáticamente en la cuenta. Este es otro tipo de factor de posesión, ya que se supone que solo el usuario tendrá acceso a su correo electrónico o teléfono.

Aplicaciones de autenticación

Las aplicaciones de autenticación de terceros, como las de Google y Microsoft, se han vuelto populares para el inicio de sesión sin contraseña. En este caso, un usuario configura una aplicación de autenticación específica, una que ya se ha hecho compatible con el servicio de cuenta que se está utilizando, con sus credenciales de inicio de sesión. Una vez que el sistema esté configurado correctamente, el usuario recibirá una notificación de la aplicación cada vez que inicie sesión en su cuenta y deberá proporcionar una OTP o verificar el inicio de sesión para obtener acceso.

Claves de paso FIDO

Las claves de paso de identidad rápida en línea (FIDO) funcionan con la misma idea que los certificados digitales. Cuando un usuario registra sus credenciales de inicio de sesión, el sistema genera un par de claves criptográficas: la clave pública se almacena en el servidor del sistema y la clave privada se almacena en el dispositivo del usuario. El sistema autentica la clave privada en el dispositivo del usuario para otorgar acceso a la cuenta.

Los pros y los contras de la seguridad sin contraseña

Las empresas están recurriendo cada vez más a la seguridad sin contraseña para proteger a las partes interesadas internas y externas y mantener los datos seguros. Sin embargo, como ocurre con todo lo relacionado con la ciberseguridad, es importante comprender los beneficios y las desventajas de la autenticación sin contraseña.

Ventajas del inicio de sesión sin contraseña

Algunos de los aspectos positivos del inicio de sesión sin contraseña incluyen:

• Es más seguro que las contraseñas y es resistente a muchos ciberataques.
• Los usuarios lo encuentran de bajo mantenimiento, ya que no tienen que recordar contraseñas complejas o cambiarlas regularmente; También es más fácil para los usuarios habilitar en sus cuentas o dispositivos.
• Las empresas que utilizan la autenticación sin contraseña suelen recibir muchas menos solicitudes de soporte, ya que hay menos necesidad de restablecer las contraseñas o de solucionar problemas.
• Estos sistemas son escalables y, por lo general, muy rápidos y fáciles de implementar.
• A menudo, es suficiente para cumplir con los requisitos de cumplimiento para la protección de datos, incluido el Reglamento general de protección de datos de la Unión Europea y la Ley de privacidad del consumidor de California.
• Menores incidencias de bloqueo de cuentas y carritos de compras abandonados.

Desventajas del inicio de sesión sin contraseña

Si bien la autenticación sin contraseña se ha vuelto cada vez más popular por la seguridad que ofrece, existen algunos inconvenientes, que incluyen:

• En algunos casos, puede ser más compleja y costosa que las contraseñas simples.
• Los sistemas que utilizan datos biométricos pueden ser complicados, ya que las autenticaciones biométricas no se pueden restablecer si se han visto comprometidas.
• Existe la presunción de que el usuario usará un canal seguro al configurar un inicio de sesión sin contraseña, pero este no es siempre el caso: el proceso de configuración puede verse comprometido.
• En algunos casos, estos sistemas no son infalibles; por ejemplo, las OTP pueden ser interceptadas o robadas con el intercambio de SIM .
• Algunos usuarios, especialmente aquellos con menos experiencia técnica, pueden no estar dispuestos a usar el inicio de sesión sin contraseña si tienen problemas con los sistemas o no los entienden.

Implementación de la autenticación sin contraseña

La mayoría de los dispositivos o servicios electrónicos ahora ofrecen a los usuarios opciones para la autenticación sin contraseña junto con los métodos de inicio de sesión tradicionales. Cada uno incorporará diferentes formularios, y la mayoría recomendará a los usuarios que lo activen como seguridad adicional. Para habilitar la autenticación sin contraseña, los usuarios pueden simplemente navegar a la configuración del dispositivo o la cuenta correspondiente y seleccionar las opciones adecuadas (algunas pueden ofrecer más de una). Algunos de los ejemplos más comunes de inicio de sesión sin contraseña para los consumidores incluyen:

• Reconocimiento facial para iPhones y MacBooks
• OTP para la verificación regular de cuentas de Google
• Vínculos mágicos para varias aplicaciones y software basados en navegador

Para los usuarios que aún desean usar contraseñas pero que también desean beneficiarse de una forma de inicio de sesión sin contraseña, Kaspersky Password Manager puede ayudar. No solo puede generar contraseñas complejas y únicas para cada cuenta, sino que las almacena todas en una bóveda privada cifrada que nadie más puede ver. El programa también ofrece un inicio de sesión seguro al permitir que los usuarios completen automáticamente sus datos en varios sitios web, aplicaciones y dispositivos, y tiene su propio autenticador en la aplicación que permite a los usuarios habilitar la autenticación multifactor en sus cuentas.

Para las empresas, es importante elegir e implementar la seguridad sin contraseña, especialmente si ofrecen cuentas y dispositivos orientados al cliente, ya que existe la necesidad adicional de mantener segura la información de los clientes. Hay varias cosas a tener en cuenta al hacer esto:

• Elija la forma más adecuada de autenticación sin contraseña, como la autenticación biométrica con huellas dactilares o enlaces mágicos.
• Decida si un factor es suficiente o si los clientes requieren MFA sin contraseña para mayor seguridad.
• Busque y adquiera el hardware y / o software necesario.
• Asegúrese de que los usuarios puedan registrarse y utilizar correctamente el sistema elegido.

La implementación del inicio de sesión sin contraseña a nivel de la organización puede ser un desafío y requerir una inversión significativa de tiempo y dinero. Por esta razón, muchos eligen trabajar con proveedores externos para ejecutar de manera rápida y efectiva esta forma particular de ciberseguridad.

Un futuro sin contraseña?

Con tantas ventajas y una seguridad muy superior a las contraseñas tradicionales, parece que la autenticación sin contraseña tiene un futuro brillante, particularmente con la integración de inteligencia artificial (AI) . Puede ayudar a mantener seguros a los usuarios y su información en un mundo cada vez más digital y ofrecer opciones más seguras para el trabajo remoto.

Sin embargo, es posible que haya algunos desafíos que deban superarse si queremos que la seguridad sin contraseña se adopte en un número cada vez mayor. Estos incluyen superar las preocupaciones de privacidad, especialmente en torno a la autenticación biométrica, racionalizar la infraestructura técnica, reforzar la confianza del usuario y garantizar el cumplimiento normativo.

Artículos y enlaces relacionados:

• Consejos para crear una contraseña segura y única
• ¿Qué pueden hacer los hackers con tu dirección de correo electrónico?
• Los 10 mayores riesgos de los juegos en línea y cómo evitarlos

Productos y servicios relacionados:

• Kaspersky Premium
• Descargue Kaspersky Premium Antivirus con una prueba gratuita de 30 días
• Kaspersky Password Manager
• Kaspersky Security Awareness