Seguridad digital: ¿Deben las empresas confiar en las contraseñas?

El 2016 sin lugar a duda, ha sido el año donde las fugas de información y la exposición de perfiles digitales ha llegado a ser la noticia principal de tecnología en el mundo entero, casos como el de Dropbox, Yahoo, MySpace, LinkedIn, entre otros de los casos más sonados donde cuentas de correos, contraseñas, nombres, direcciones e información personal ha sido puesta a la venta o simplemente expuesta para demostrar las vulnerabilidades en la seguridad de estas organizaciones.

Un ejemplo donde esta información puede generar un gran impacto en la vida de los usuarios es el caso de AdultFriendFinder, donde se ha expuesto la información de preferencias sexuales y contactos de relaciones extramatrimoniales de más de 412 millones de sus usuarios.

Y como siempre después de que este tipo de información es expuesta, se realiza un análisis sobre las contraseñas más usadas, sobre los dominios de los correos electrónicos y otras informaciones, donde es usual encontrar que en el top 10 son contraseñas simples y que no brindan ninguna seguridad. En esa fuga no es la excepción

contrasen%cc%83as-mas-usadas

Tabla contraseñas más usadas

Aunque esto es una constante en todas las fugas de información que se han presentado, las empresas siguen confiando la seguridad de la información de sus usuarios en un mecanismo que ha demostrado ser inseguro y que no brinda ninguna garantía en el manejo de la identidad, como que es más que clara con este ejemplo donde información muy sensible de la vida personal de más de 900 mil personas es resguardada tras los números del 1 al 6.

¿Qué se ha hecho en temas de autenticación y contraseñas?

Las empresas han implementado mecanismos de doble factor de autenticación, como los token, para que sus usuarios tengan que colocar este valor variable antes de ingresar y otros han optado por diagramas de identificación o por preguntas “personales”, sin embargo los índices de fraude y suplantación no bajan en estos sitios.

Además de causar problemas con las unidades de atención al cliente, que han visto un incremento sustancial por inconvenientes de autenticación o que el usuario no recuerda la contraseña o que no sabe como ingresar.

Otra solución que se ha planteado es la de permitir que los servicios sean accedidos con la validación de un tercero, casos como el de regístrese con Twitter o con Facebook, son cada vez más comunes, generando que la vida digital de los usuarios dependa de la seguridad de la contraseña de su red social, lo cual ha sido varias veces vulnerado y expuesto en todas las redes sociales.

Esto demuestra que las empresas no han encontrado una solución al problema de identificación y validación de identidad de los usuarios y manteniendo la vulnerabilidad de que los usuarios por facilidad usan la misma contraseña en la mayoría de sus servicios digitales y con las fugas de información se vena en riesgo no solo los servicios asociados sino toda la identidad digital de las personas.

¿Qué opciones se tienen?

Es necesario tener en cuenta que la validación de la identidad se debe basar en al menos dos de tres características del usuario, basadas en algo que conozca, en algo que tenga o en algo que sea. La mezcla de estas características le permite a los sistemas garantizar la identificación plena del usuario.

Teniendo en cuenta, que las estadísticas indican que el 67% de los usuarios no continua los procesos de inscripción en los sitios web cuando estos piden datos personales y la creación de una contraseña es necesario optar por mecanismos de autenticación simples y ágiles pero seguros, donde el usuario no tenga la capacidad de interactuar con la información con al que se valida su identidad, con el fin de garantizar que no es modificada.

En la actualidad el dispositivo móvil es el medio más usado para aprovechar los diferentes servicios que se brindan en Internet, por lo que debería convertirse también en nuestro mecanismo de identificación principal para nuestra vida digital, simplificando el proceso y permitiendo entregar garantías a las empresas que ofrecen estos servicios.

El dispositivo móvil puede ser esa característica de algo que se tenga, combinado con algún PIN simple se puede tener la característica de algo que se conozca y tomando los datos de la SIM para su validación se puede tener la característica de algo que sea y que no esta al alcance de modificación de ningún usuario.

Conclusión

Es importante que las empresas empiecen a migrar a soluciones que el mercado brinda y que cambian los mecanismos tradicionales por la implementación de la innovación y del aprovechamiento completo de los mecanismos tecnológicos de la actualidad, como lo es Mobile Connect o LATCH que nos permiten un aseguramiento simple pero efectivo a los problemas de autenticación e identificación de nuestros usuarios digitales.

Imagen @TheDigitalWay, distribuida con licencia Creative Commons BY-SA 2.0

Déjanos un comentario

SUSCRÍBASE A NUESTRO NEWSLETTER