Rápido: Cambien su contraseña de nuevo. Asegúrense que tiene una combinación de mayúsculas, números y caracteres especiales. No, esperen. En lugar de eso, generen una frase aleatoria larga que puedan recordar. No, esperen. Deténganse. ¡Paren la locura! Es momento de matar a la contraseña.
Esta reliquia de los inicios del cómputo ha sobrevivido por mucho tiempo su utilidad, y de cierta manera, su capacidad de mantener a raya a los criminales. Más de dos tercios de las personas utilizan la misma, y no siempre la más fuerte, contraseña a través de docenas de diferentes cuentas. Las contraseñas débiles y las identidades robadas son la fuente número 1 de pérdida de datos. Tan sólo en 2016, 81 por ciento de las más grandes brechas de datos pudieron ser rastreadas hacia la identidad comprometida de un individuo.
Las contraseñas robadas son un lugar tan común entre los criminales que ellos pueden comprar, de manera sencilla, mil nombres de usuario y contraseñas por menos de 20 dólares en la dark web – y pueden causar una buena cantidad de daño financiero por esa pequeña inversión.
El enfoque estándar para las contraseñas – cambiarlas de manera frecuente y asegurarse que contienen una combinación de mayúsculas, números y caracteres especiales – está basado en guías emitidas en 2003 por el Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés).
Bill Burr, el ahora retirado ingeniero que redactó esa guía, comentó de manera reciente que no ha funcionado tan bien. “Confunde a la gente y no elijen buenas contraseñas sin importar lo que hagas”, comentó a The Wall Street Journal.
Microsoft ve un mejor camino a seguir. A través de inteligencia, innovación y asociaciones, la empresa ayuda a impulsar un cambio más allá de las contraseñas que abarca toda la industria.
Las tecnologías subyacentes son avanzadas, pero el enfoque no podría ser más simple: En lugar de hacerlos recordar una lista de contraseñas, Microsoft los convertirá en la contraseña.
«Como cualquier otra empresa u hogar, el error humano y las contraseñas débiles son los blancos más sencillos para los criminales.»
“Por varias décadas, la industria se ha enfocado en asegurar dispositivos”, comentó Bret Arsenault, vicepresidente corporativo y jefe de información en Microsoft. “Ese modelo necesita un cambio. Asegurar dispositivos es importante, pero no es suficiente. También deberíamos enfocarnos en asegurar a los individuos. Podemos mejorar su experiencia y seguridad al permitirles convertirse en la contraseña”.
Microsoft comenzó un movimiento importante para eliminar las contraseñas con Windows Hello, presentado en Windows 10. Windows Hello está diseñado para trabajar en cualquier dispositivo Windows 10 con sensores biométricos para verificar su identidad basado en características físicas como el rostro o la huella digital.
Por ejemplo, la cámara infrarroja en dispositivos Microsoft Surface no sólo toma su foto para la identificación facial, comenta Rob Lefferts, director de gestión de programa para Windows Empresarial y Seguridad. “En realidad construye un mapa 3D de su rostro. Tiene profundidad y características, y utilizamos análisis multi-espectro para obtener múltiples imágenes de su rostro desde diferentes perspectivas”.
Otro enfoque para eliminar contraseñas es incorporar otros objetos o dispositivos que tengan. Por ejemplo, si tienen un dispositivo iOS o Android, pueden utilizar Microsoft Authenticator App para ingresar a su cuenta Microsoft con un PIN (Número de Identificación Personal) o con su huella digital para verificación. Los negocios pronto podrán ofrecer lo mismo a los empleados, una sencilla autenticación basada en el teléfono para aplicaciones corporativas y recursos internos a través de Azure Active Directory y Microsoft 365.
Estos nuevos sistemas son fáciles de utilizar, y eso es crucial cuando se trata de invitar a la gente a cambiar de un sistema de seguridad que ha sido adoptado de manera amplia, como las contraseñas, que podría ser malo, pero también conocido.
“Invitamos a los usuarios a que lo prueben y vean por sí mismos que es más sencillo que utilizar contraseñas”, comentó Lefferts. “Creo que uno de los miedos que la gente tiene es que la nueva tecnología va a ser más complicada, y no se dan cuenta de nuestra labor para hacerla más simple y mejor”.
En la actualidad, cerca del 70 por ciento de los usuarios de Windows 10 con dispositivos habilitados para biométricos elijen Windows Hello en lugar de las contraseñas particulares.
Deshacerse de las contraseñas es algo esencial para la Alianza FIDO (Fast IDentity Online), un consorcio sin fines de lucro de líderes de la industria, entre los que se encuentra Microsoft, que ha desarrollado estándares abiertos para una autenticación más simple y fuerte. Las especificaciones y certificaciones de la Alianza FIDO han habilitado a un amplio ecosistema de autenticadores de hardware, móvil y biométricos, que pueden ser utilizados con muchas aplicaciones y sitios web.
Más de 250 organizaciones líderes globales de toda la industria pertenecen a la Alianza FIDO, entre las que encuentran Intel, Google, Samsung, Qualcomm, Visa, PayPal, eBay, Bank of America, MasterCard, American Express y Verizon. Microsoft se encuentra en la junta de directores de la alianza.
«Creo que uno de los miedos que tiene la gente es que la nueva tecnología va a ser más complicada, y no se dan cuenta de nuestro trabajo para hacerla más simple y mejor.»
“Estamos comprometidos en resolver este problema en toda la industria, y es por eso que colaboramos con otras empresas tecnológicas a través de Fast IDentity Online Alliance”, comentó Arsenault. “Hemos construido un plan para la tecnología, conocido como FIDO 2.0, lo hemos compartido, y participamos en su evolución a través de una colaboración abierta con otros miembros de la alianza”.
Las aplicaciones de FIDO ya están habilitadas en muchas de las diademas de los principales fabricantes a nivel global, y más de 350 productos ya cuentan con Certificación FIDO, lo que brinda a empresas y proveedores de servicios en línea una variedad de soluciones de autenticación FIDO interoperables sobre la cual pueden elegir.
“Queríamos reemplazar las contraseñas, así que requeríamos el mismo tipo de escalabilidad que tienen las contraseñas”, comentó Brett McDowell, director ejecutivo de la Alianza FIDO. “Pueden utilizar una contraseña en cualquier lugar, y necesitábamos una tecnología que no sólo trabajara en algunas partes, sino de manera eventual, en todas partes. Por esta razón, sabíamos que necesitábamos contar con un estándar abierto para la industria. Ese fue el primer paso”.
¿El siguiente paso? “Nos teníamos que asegurar que nunca se compartieran los secretos, por lo que nos basamos en el modelo de ‘prueba de posesión’, establecido en la criptografía de llave pública como la base del modelo de seguridad de FIDO”, comentó McDowell.
La llave privada permanece en su dispositivo personal; “nunca es compartida en internet, nunca se ubica en una base de datos”, comentó McDowell. “En lugar de una contraseña almacenada en un servidor, sólo la llave pública para esa cuenta es compartida con la aplicación en línea para que pueda ser utilizada para verificar lo que se conoce como la “firma criptográfica” desde el dispositivo del usuario durante futuros retos de autenticación”. Este proceso confirma la “prueba de posesión” de la llave privada sin tener que compartirla, menciona, “de este modo, se elimina el phishing de credenciales y/o la reutilización de credenciales robadas durante una brecha de seguridad”.
“Utilizas una credencial criptográfica vinculada a un dispositivo, desbloqueada por un reto biométrico en el dispositivo”, comenta McDowell. “Y justo así es como funciona el sistema Windows Hello de Microsoft”.
Mientras Windows Hello y FIDO son clave para extender las soluciones libres de contraseña al público en general, en muchas formas, empresas como Microsoft llevan la batuta en este movimiento. Con la utilización de la protección de identidad integrada en Azure Active Directory en conjunto con Windows Hello, Microsoft ha otorgado a los clientes comerciales un nuevo enfoque hacia la seguridad, que utiliza inteligencia contra amenazas y aprendizaje automático para cambiar el foco de asegurar el perímetro corporativo a asegurar a los individuos y sus identidades.
«Asegurar los dispositivos es importante, pero no es suficiente. Deberíamos también enfocarnos en asegurar a los individuos.»
Esta nueva manera de pensar permite a TI proteger mejor datos y documentos, a la vez que, de manera simultánea, reduce la fricción para el usuario final con un ingreso más simple y libre de contraseñas, además de acceso a las aplicaciones y servicios corporativos donde sea que se encuentren.
Arsenault menciona mucho que lo que Microsoft ha aprendido sobre lo que toma mover a la gente más allá de las contraseñas “viene de nuestras experiencias en asegurar a los propios 125 mil empleados de Microsoft en más de 100 subsidiarias a nivel mundial, que atienden a más de mil millones de personas a nivel mundial cada día”.
“Como cualquier otra empresa y hogar, el error humano y las contraseñas débiles son los blancos más sencillos para los criminales”, menciona Arsenault.
Hoy en día, “la mayoría de los empleados de Microsoft ya ingresan a sus computadoras con Windows Hello for Business en lugar de utilizar contraseña”, menciona. “Muy pronto, esperamos que todos nuestros empleados sean capaces de ser libres de contraseñas”.
Microsoft tiene una larga historia de crear tecnología futurista que esté disponible para todos. Entregar tecnología con menos contraseñas a través del sistema operativo más popular del mundo y de software comercial inteligente, construir soluciones de compañía para un creciente rango de dispositivos, y la voluntad de compartir aprendizajes con la industria durante todo el camino, brinda a Microsoft una capacidad única de acelerar de manera importante la transición lejos de la fuente número 1 de robo de datos – las contraseñas.
Lefferts comenta que Microsoft está comprometido en ayudar a todos clientes a vivir en “un mundo con menos contraseñas”.
“Va a tomar un tiempo para que todas las partes, todos los sitios web importantes y todas las aplicaciones importantes de línea de negocios para adoptar esta tecnología, y tomará aún más tiempo para los usuarios, clientes y organizaciones realizar el cambio cultural requerido para que la gente en verdad pueda vivir en este nuevo mundo”, menciona. “Pero tenemos los planos para acelerar este movimiento y alejarlo de las contraseñas. La clave para tener éxito es asegurarnos que la experiencia de usuario en verdad sea más sencilla y mejor que la que tienen hoy con las contraseñas”.