S’està demostrant que la biometria és millor que les contrasenyes perquè és més fàcil d’utilitzar, proporciona més privacitat i seguretat i està en ple procés d’estandardització en una àmplia base de dispositius mòbils, d’escriptori i servidors en els quals els usuaris confien per accedir als serveis en línia.
La indústria de la seguretat fa dècades que intenta acabar amb l’ús de la contrasenya. Fa temps que es considera una debilitat, principalment a causa del factor humà: les persones continuen utilitzant contrasenyes dèbils, en diversos comptes, a la feina i en la seva vida personal. El 81% de les filtracions de dades tenen a veure amb credencials dèbils, robades, defectuoses o compromeses d’una o altra manera, segons un informe d’investigació sobre filtració de dades de Verizon.
La principal lliçó apresa del proveïdor Centrify que va donar suport a l’autenticació sense contrasenya va prioritzar l’aplicació dels inicis de sessió d’administrador privilegiats basats en FIDO2.[1]
Centrify també va donar suport a Touch ID i Face ID d’Apple, així com Windows Hello. Tant Windows Hello com Windows Hello for Business es basen en l’autenticació sense contrasenya.
Malgrat tot, la combinació de diverses formes de biometria està resultant problemàtica per a la majoria de les empreses proveïdores d’aquestes tecnologies.
Els equips de gestió de productes han estat estudiant l’estàndard de controls d’autenticació d’alta garantia NIST 800-53[2] i els integren als seus fulls de ruta. Els 170 controls que comprenen l’estàndard NIST 800-53 s’estan adoptant ràpidament entre proveïdors que reclamen l’autenticació sense contrasenya com a eix fonamental en les seves estratègies de producte.
L’ús de la biometria elimina el risc de robatori de credencials i proporciona un millor alineament amb l’estàndard de controls d’autenticació d’alta seguretat NIST 800-53.
Els venedors d’eines biomètriques es troben en diferents nivells de maduresa a l’hora de poder aprofitar les metadades que la biometria proporciona, i n’hi ha alguns que fins i tot afirmen tenir anàlisis en temps real. Tots els venedors de tecnologia van tenir una resposta diferent de com gestionen la quantitat massiva de metadades que generen les seves dades biomètriques, que tots consideren que també són compatibles amb les analítiques.
L’autenticació sense contrasenya garanteix que les credencials d’inici de sessió són úniques a tots els llocs web, mai s’emmagatzemen en un servidor i mai no surten del dispositiu de l’usuari. Aquest model de seguretat ajuda a eliminar els riscos de phishing, així com totes les formes de robatori de contrasenyes i atacs de reproducció. Estem més a prop que mai de l’objectiu inevitable d’un futur sense contrasenya.
[1]FIDO2: El projecte FIDO2 és un esforç conjunt entre l’Aliança FIDO i el World Wide Web Consortium que té com a objectiu crear una autenticació forta per al web. Al seu nucli principal, FIDO2 consta de l’estàndard d’autenticació web W3C i el protocol FIDO Client to Authenticator.
[2]NIST 800-53: La publicació especial NIST 800-53 ofereix un catàleg de controls de seguretat i privadesa per a tots els sistemes d’informació federals dels Estats Units, excepte els relacionats amb la seguretat nacional.
_____
Esta entrada en español / This post in English / Post en français