Se está demostrando que la biometría es mejor que las contraseñas porque es más fácil de utilizar, proporciona más privacidad y seguridad y está en pleno proceso de estandarización en una amplia base de dispositivos móviles, de escritorio y servidores en los que los usuarios confían para acceder a los servicios en línea.
La industria de la seguridad hace décadas que intenta acabar con el uso de la contraseña. Hace tiempo que se considera una debilidad, principalmente a causa del factor humano: las personas siguen utilizando contraseñas débiles, en varias cuentas, en el trabajo y en su vida personal. El 81% de las filtraciones de datos tienen que ver con credenciales débiles, robadas, defectuosas o comprometidas de una u otra manera, según un informe de investigación sobre filtración de datos de Verizon.
La principal lección aprendida del proveedor Centrify que apoyó la autenticación sin contraseña priorizó la aplicación de los inicios de sesión de administrador privilegiados basados en FIDO2.[1]
Centrify también apoyó Touch ID y Face ID de Apple, así como Windows Hello. Tanto Windows Hello como Windows Hello for Business se basan en la autenticación sin contraseña.
A pesar de todo, la combinación de varias formas de biometría está resultando problemática para la mayoría de las empresas proveedoras de estas tecnologías.
Los equipos de gestión de productos han estado estudiando el estándar de controles de autenticación de alta garantía NIST 800-5[32] y los integran en sus hojas de ruta. Los 170 controles que comprenden el estándar NIST 800-53 se están adoptando rápidamente entre proveedores que reclaman la autenticación sin contraseña como eje fundamental en sus estrategias de producto.
El uso de la biometría elimina el riesgo de robo de credenciales y proporciona un mejor alineamiento con el estándar de controles de autenticación de alta seguridad NIST 800-53.
Los vendedores de herramientas biométricas se encuentran en diferentes niveles de madurez a la hora de poder aprovechar los metadatos que la biometría proporciona, y hay algunos que incluso afirman tener análisis en tiempo real. Todos los vendedores de tecnología tuvieron una respuesta diferente de cómo gestionan la cantidad masiva de metadatos que generan sus datos biométricos, que todos consideran que también son compatibles con los analíticos.
La autenticación sin contraseña garantiza que las credenciales de inicio de sesión son únicas en todos los sitios web, nunca se almacenan en un servidor y nunca salen del dispositivo del usuario. Este modelo de seguridad ayuda a eliminar los riesgos de phishing, así como todas las formas de robo de contraseñas y ataques de reproducción. Estamos más cerca que nunca del objetivo inevitable de un futuro sin contraseña.
[1]FIDO2: El proyecto FIDO2 es un esfuerzo conjunto entre la Alianza FIDO y el World Wide Web Consortium que tiene como objetivo crear una autenticación fuerte para la web. En su núcleo principal, FIDO2 consta del estándar de autenticación web W3C y el protocolo FIDO Client to Authenticator.
[2]NIST 800-53: La publicación especial NIST 800-53 ofrece un catálogo de controles de seguridad y privacidad para todos los sistemas de información federales de los Estados Unidos, excepto los relacionados con la seguridad nacional.
_____
Aquest apunt en català / This post in English / Post en français