Llegamos a ustedes gracias a:



Reportajes y análisis

5 maneras de escapar del infierno de las contraseñas

[03/12/2014] La seguridad puede ser un círculo vicioso. Ocurre una violación y las empresas añaden un nuevo nivel de seguridad, aumentando las molestias de los usuarios, quienes a su vez buscan soluciones por su cuenta. Luego hay otra infracción y el ciclo comienza de nuevo.

"Cada vez que tenemos un incumplimiento, añadimos otros tres pies de rejas de seguridad, y esperamos que los usuarios simplemente los trepen", señala Andre Boysen, director de identidad en SecureKey Technologies con sede en Ontario.

Uno de los mecanismos de ayuda que los usuarios adoptan es compartir las contraseñas a través de múltiples sitios; pero, una vez que cualquiera de estos sitios está en peligro, todas las cuentas están potencialmente comprometidas, incluidas las relacionadas al trabajo.

"Y por mucho que estamos en el infierno de las contraseña en este momento, el segundo factor (que está por llegar) es aún peor", agrega. Mensajes de texto, apps de smartphones, llaveros USB, escáneres de voz, video y huella digital; las tecnologías del segundo factor se multiplican sin fin a la vista, y sin claros ganadores.

"Está confundiendo muchísimo a los usuarios", anota.

Las empresas están tratando este problema mediante la reducción del número de contraseñas que sus usuarios necesitan, la implementación de herramientas de gestión de contraseñas para ayudarlos a manejar las que tienen, y el cambio a sistemas del segundo factor más fáciles de usar como apps de smartphones.

Aquí tenemos cinco maneras que las empresas utilizan para abordar el problema de las contraseñas:

1. Servicios de administración de contraseñas basadas en la nube

Implementar una estrategia de sesión única es suficientemente difícil en una organización de manejo centralizado. Puede ser casi imposible cuando se trata de imponerlo en unidades autónomas.

Este era el tipo de problema por el que estaba pasando el Rotary International. La organización de servicio global tiene 1,2 millones de miembros, que son parte de 34 mil diferentes clubes.

Dado que los clubes son autónomos, un miembro podría tener un login y contraseña para la página web del club, otro para el sitio regional, otro para el nacional, y muchas más para aplicaciones móviles y otros servicios desarrollados por los compañeros rotarianos.

"Era una mezcolanza de cosas de nuestra propia cosecha", anota Peter Markos, CIO de Evanston, con sede en Illinois, Rotary International, la organización matriz.

El reto consistía en actualizar la seguridad en toda la organización, incluyendo los sitios web de los clubes autónomos. "Eso nos llevó a la nube", señala. Específicamente, los llevó a Octa, un proveedor de identidad bajo demanda y gestión de acceso.

Además, el lanzamiento de la nube significó que Rotary mejoraría constantemente. "Ahora podemos ofrecer seguridad como un servicio", señala. El club local puede enviar la solicitud de inicio de sesión a la organización principal, que actúa como el eje central al que todos los clubes y usuarios pueden conectarse.

"Simplifica la vida del club, ya que ellos no tienen que gestionar a sus propios usuarios. Simplifica la vida de los miembros, y hace que la riqueza de los recursos en todo el mundo sea más fácil de acceder", señala Markos.

La parte más difícil del proceso es conseguir que los clubes individuales se sumen a la iniciativa. Alrededor de ocho mil clubes utilizan el software de gestión del club off-the-shelf; la seguridad como servicio ya está disponible a través de ese canal. Otros mil (o más) clubes han decidido cambiarse por su cuenta. Markos señala que la tasa de adopción está comenzando lentamente, pero que espera que acelere a medida que la tecnología demuestre su capacidad, y alcance una masa crítica. "Hay un montón de reticencia en ceder el control", añade.

Además, el Rotary también está pensando en cambiar la forma en la que las contraseñas se ven, lejos del formato estándar de ocho caracteres. "Estamos pensando en deshacernos del carácter especial, la letra mayúscula, el número, y centrarnos en aumentar la longitud, animándolos a utilizar una frase", anota. "Es la longitud la que va a proporcionar realmente la seguridad y hacer frente a los ataques con fuerza bruta -y nuestros miembros estarán agradecidos por algo más fácil de recordar".

2. Software de gestión de contraseñas off-the-shelf

Secure-24, una empresa de hosting con sede en Detroit que presta servicios a compañías de automoción, manufactura y salud, tiene un problema similar: la empresa tiene que administrar las contraseñas en representación de sus clientes, quienes necesitan su propio acceso seguro al sistema. Y ahí está la disyuntiva.

"Ellos hacen que nosotros creemos contraseñas para los diferentes usuarios y tecnologías; pero no quieren que las sepamos, guardemos o recordemos", agrega Eric Zehnder, ingeniero de mejora de los sistemas de la empresa.

Para resolver este problema, Secure-24 eligió cambiarse al software de gestión de contraseñas de empresas Secret Server de Thycotic. Este proporciona un manejo de contraseñas automatizado para múltiples clientes, en múltiples dominios.

Además, no existe el riesgo de que las contraseñas caigan en manos equivocadas. "Los usuarios ni siquiera saben las contraseñas", señala Kevin Jones, arquitecto de seguridad de información de la empresa Thycotic.

3. Apps de smartphones para la autenticación de dos factores

Por supuesto, los usuarios tienen que autenticarse en el sistema en algún momento para poder empezar a trabajar. Eliminar el número total de logins significa que el primero se vuelve más importante.

Secure-24 utiliza la autenticación de dos factores para identificar a los usuarios de manera segura; pero aquí, también, la compañía está trabajando para simplificar el proceso.

En el pasado, el segundo factor era usualmente un llavero, RSA Security ID o Vasco Digipass dependiendo de las preferencias del cliente. Eso funcionó correctamente para aquellos empleados que mantenían su llavero junto con sus llaves.

"¿Cómo iban a ir a trabajar sin sus llaves?", anota Zehnder de Secure-24. Pero algunos empleados mantenían las suyas en cuerdas de seguridad, que eran más fáciles de olvidar en casa.

Además, los teletrabajadores pueden no tener las llaves junto con ellos durante el trabajo. "Yo suelo tener mi teléfono conmigo, pero no mis llaves", añade Zehnder.

La compañía ahora se está alejando de los llaveros a las aplicaciones que se ejecutan en iPhones y Androids. "Me doy cuenta de que hay más números también -nuestros tokens suaves tienen un PIN de ocho dígitos, mientras que antes contaban con seis", añade.

Además, señala que los sistemas basados en el teléfono pueden ser un poco menos caros. Secure-24 solía comprar grandes bastidores de llaveros, de alrededor de 100 dólares cada uno. "Pero eran llaveros diminutos ", agrega Zehnder. "Un cliente que los usaba con nuestra tecnología se enojaba cada vez que alguien perdía el suyo, porque era costoso reemplazarlo. La aplicación es gratuita -así que es un poco más barato".

Además, añade que si se pierde un teléfono, es fácil desactivar la aplicación de forma remota. Y ahora hay aún mejores noticias para los fans de los sistemas de segundo factor basados en smartphones. Como parte de la actualización de iOS en septiembre, Apple ha abierto su sensor de Touch ID para los desarrolladores de terceros.

"No me sorprendería ver que en las apps se tenga que utilizar la huella digital para generar una contraseña o código aleatorio", indica Charles Tendell, fundador de la firma de consultoría de seguridad Azorian Cyber Security. "Y con esto siendo más sencillo, veremos una acogida más amplia".

Esta área de la tecnología de seguridad está evolucionando rápidamente, señala María Horton, fundadora de EmeSec, una consultora de seguridad. Anteriormente, Horton era el CIO del National Naval Medical Center, y ahora trabaja con varios clientes de las agencias federales.

Por otro lado, el sector financiero va a ser muy influyente en lo que respecta al desarrollo de esta tecnología, y el sector de gobierno también lo será.

Ella cuenta que hace dos años el principal problema a nivel del gobierno federal era el intercambio de conocimientos. "Pero parte del intercambio de conocimientos era difícil debido al control de acceso de identidad", anota. Por lo tanto, esta primavera fue lanzada una nueva iniciativa sobre acreditación y gestión de la identidad.

"Se aspira llegar a esas etapas", agrega, pero el gobierno federal ha reconocido que este es un problema, así que ya comenzó a explorar posibles estrategias. "Yo creo que habrá un puñado de ganadores", señala. "Si alguna vez tratamos de tener un solo ganador, en realidad aumentaremos el riesgo en el sistema, ya que el ganador será fichado -y entonces no habrá razón para aumentar la funcionalidad o capacidad".

4. Primero los usuarios privilegiados

La conversión de toda una organización a un nuevo sistema de gestión de contraseñas o de autenticación puede ser extremadamente difícil, especialmente cuando los usuarios tienen que cambiar sus comportamientos.

Ken Ammon, director de estrategia de la empresa de seguridad con sede en Virginia, Xceedium, sugiere que las empresas comiencen con sus usuarios privilegiados. Es un grupo más pequeño, y la mejora de la seguridad aquí tendrá la mayor repercusión en la inversión.

Por ejemplo, algunas compañías utilizan acceso basado en roles, o tienen una cuenta de administrador compartida por varias personas, o permiten los usuarios root. "No hay manera de saber quién está haciendo qué", señala.

Si un hacker se mete en los sistemas de la empresa, y es capaz de encontrar el camino hacia las credenciales, también puede hacer un daño muy importante.

En efecto, eso es exactamente lo que sucedió con muchos de las fallas de seguridad a lo largo del año pasado, incluyendo el incumplimiento de eBay a principios de año, donde los hackers se llevaron alrededor de 145 millones de registros de usuarios.

EBay reportó en un comunicado que los ciberatacantes comprometieron una pequeña cantidad de credenciales de login de los empleados, lo que permitió el acceso sin autorización a la base de datos de clientes de la empresa.

5. Contraseñas con frases en lugar de palabras

Otro aspecto relativamente sencillopara empezar es alejarse del tipo de contraseña estándar -ocho caracteres, símbolos, números y letras mayúsculas-, y en su lugar, permitir que los usuarios usen frases largas pero fáciles de recordar.

"Basándonos en todo el entrenamiento que les hemos dado a los usuarios durante los últimos años, las únicas buenas contraseñas son las que pueden recordar", anota Keith Palmgren, miembro del equipo de plan de estudios de la defensa cibernética en SANS. "Una contraseña más larga, algo que puede recordar fácilmente -como 'fui de pesca el sábado pasado por la noche"- es una muy buena contraseña, incluso si es en minúsculas. No va a aparecer en el diccionario de ningún hacker. Si una empresa está tratando de hacer lo correcto, pero no puede permitirse el lujo de pasar a los sistemas de dos factores de autenticación basados en tokens o biométricos, deberían echar un vistazo más de cerca a sus políticas de contraseñas y empezar a cambiarlas un poco, haciéndolas más realistas".

Otra cosa que las empresas pueden realizar es ofrecer a sus empleados el uso de herramientas de gestión de contraseñas personales, de modo que no se ven tentados a utilizar las mismas contraseñas en el trabajo como lo hacen en los sitios web personales.

Palmgren utiliza LastPass. "Tengo una contraseña de banca en línea que es de 30 y tantos caracteres de longitud", anota. "Es muy compleja, pero no necesito recordarla porque LastPass lo hace por mí".

Además, señala que algunas empresas han comenzado a ofrecer la versión empresarial de LastPass para sus empleados. LastPass es un servicio basado en la nube que funciona en conjunto con una aplicación de escritorio o smartphone instalada localmente, encargada del cifrado. "Lo único que se almacena en nuestros servidores es la burbuja cifrada, de la cual no tenemos la clave", anota la portavoz de LastPass, Cid Ferrara.

Ella señala que más de 5.500 organizaciones utilizan LastPass; de las pequeñas y medianas empresas a las Fortune 500. Contraseñas personales y de trabajo se mantienen separadas, pero están vinculadas para que los usuarios no tengan que cambiar entre sus cuentas LastPass personales y laborales.

Las compañías pueden utilizar la plataforma en conjunto con una amplia gama de tecnologías de autenticación de dos factores, o con sistemas de inicio de sesión único basado en SAML.

Permite a las empresas a gestionar los miembros de un equipo que, dice, comparten el acceso a las cuentas. Estas carpetas de contraseñas compartidas son una de las principales diferencias entre las versiones para consumidores y empresas.

"Puede que tenga un equipo de cinco vendedores, pero todos necesitan compartir esa credencial", anota Ferrara. "Las carpetas compartidas pueden hacerlo de forma segura, sin perder ninguna capacidad de seguimiento".