Cap a un món sense contrasenyes per protegir la informació
Blog Detail Page
Blog Detail Page
Blog Detail Page

Cap a un món sense contrasenyes per protegir la informació

Blog Detail Page
Blog Detail Page
Blog Detail Page

T'expliquem els avenços en matèria de seguretat de la informació enfocats a reforçar els sistemes d'autenticació sota la filosofia passwordless.

Recentment nombrosos mitjans de comunicació s’han fet ressò de l’esforç de les grans tecnològiques per disposar de sistemes d’autenticació que pretenen resoldre els problemes de seguretat inherents als mecanismes tradicionals d’autenticació basats en contrasenyes per millorar la seguretat de la informació.

Aquest esforç comença a donar fruit i, a banda de les grans tecnològiques, també nombroses empreses de diferents sectors, incloent-hi el bancari, ja estem incorporant solucions d’autenticació als nostres sistemes en comptes de la contrasenya tradicional.

A l’article indagarem en els fonaments d’aquestes solucions i analitzarem en detall les passkeys, nom que rep un nou tipus de credencial basat en criptografia de clau pública i verificació biomètrica proposat per la FIDO Alliance i el World Wide Web Consortium.

Debilitats dels sistemes d’autenticació basats en contrasenyes

Les contrasenyes són, per antonomàsia, el mecanisme d’autenticació més estès actualment per protegir la informació, i atesa la seva naturalesa, són dels més vulnerables que hi ha avui dia.

Tot i que és cert que la majoria dels sistemes requereixen que els usuaris compleixin certs requeriments a l’hora de definir les contrasenyes (nombre mínim de caràcters, caràcters especials, nombres, majúscules, etc.) i que, a més, s’apliquen polítiques per renovar-les cada cert temps, el fet és que hi ha nombrosos vectors d’atac que permeten sostraure aquestes credencials i incorre en fallades de seguretat de la informació que permeten a usuaris malintencionats accedir a sistemes i dades no autoritzats.

Entre els diferents vectors d’atac hi ha:

1. Atacs a les contrasenyes: força bruta

Mètode que, mitjançant prova i error, genera contrasenyes de manera seqüencial amb una longitud determinada i intenta aconseguir la clau d’accés corresponent a un usuari.

2. Atacs a les contrasenyes: diccionari

Semblant a l’atac de força bruta, però en comptes de generar contrasenyes es fan servir diccionaris de contrasenyes ja predefinits i que habitualment contenen les més utilitzades pels usuaris o contrasenyes que s’han sostret d’altres sistemes mitjançant atacs previs.

3. Atacs a les contrasenyes: sniffers/keyloggers

Extracció de credencials mitjançant l’escolta del tràfic de xarxa (sniffers) o bé mitjançant el registre de les tecles que premen els usuaris a través del teclat de l’ordinador (keyloggers).

4. Atacs a les contrasenyes: phishing/smishing/vishing

Atac que, mitjançant la suplantació de la identitat, aconsegueix, a través de comunicacions enviades a clients (SMS, e-mail, trucada telefònica), obtenir credencials d’accés als serveis als quals l’usuari està subscrit o claus per dur a terme operacions fraudulentes.

5. Atacs a les contrasenyes: reutilització de credencials

Aquest mètode consisteix a fer servir dades de credencials d’exfiltracions prèvies per aconseguir accés no autoritzat a altres serveis on els usuaris han utilitzat les mateixes credencials.

6. Atacs a les contrasenyes: exposició de credencials

Finalment, aquesta mena d’atac aprofita una protecció indeguda dels recursos informàtics que contenen informació de les credencials dels usuaris i que són accessibles per part de tercers a través d’internet, com ara publicació en motors de cerca de fitxers en text pla amb credencials d’usuaris o dels mateixos sistemes.

Passkeys, el sistema passwordless al rescat.

Les passkeys són l’alternativa tecnològica que proposa l’aliança FIDO per acabar amb les contrasenyes i crear un estàndard comú d’autenticació molt més fiable. Estan basades en criptografia de clau pública i ja estan disponibles en la major part dels sistemes operatius i navegadors.

L’únic requisit per als usuaris serà disposar d’un dispositiu amb capacitats criptogràfiques com ara smartphones, equips informàtics amb lectors biomètrics o claus USB de seguretat, ja que l’accés a les credencials locals estarà protegit mitjançant biometria (local o remota), PIN, patrons (en el cas dels smartphones) o fins i tot smartcards.

Cal destacar que les possibilitats de les passkeys no es limiten exclusivament a protegir els accessos als serveis d’internet, sinó que l’ús es pot estendre també a processos d’autenticació per dur a terme autoritzacions d’operacions de risc en línia, la qual cosa reforça encara més la seguretat.

El funcionament de les passkeys consta de dos passos:

  1. El primer és que l’usuari es registri fent servir l’autenticador FIDO que tingui disponible i que coincideixi amb la política d’acceptació del servei en qüestió. Un cop desbloquejat l’autenticador FIDO, es creen un parell de claus pública-privada únic per al dispositiu local, el servei en qüestió i el compte de l’usuari. La clau pública s’emmagatzema en el servei en línia i s’associa amb el compte de l’usuari, i la clau privada s’emmagatzema en el dispositiu de l’usuari i l’accés queda protegit perquè sigui accessible mitjançant el mètode d’autenticació local segur que tingui definit l’usuari.

2. El segon pas ja és la mateixa autenticació quan l’usuari vol accedir al servei en línia. Se sol·licita a l’usuari iniciar la sessió amb un dispositiu registrat  prèviament i que coincideixi amb la política d’acceptació del servei. Quan l’usuari desbloqueja l’autenticador FIDO, se selecciona la clau privada local corresponent al servei i se signaria el desafiament FIDO, que s’envia al servei perquè dugui a terme les verificacions oportunes.

El procés de “Registre” està representat per l’esquema següent:

Cap a un món sense contrasenyes per protegir la informació

Passwordless: informació més protegida, amb punts febles

Sens dubte podem dir que l’arribada d’aquest mecanisme d’autenticació marcarà un abans i un després en la seguretat, ja que passem a no dependre d’una dada que l’usuari “sap”, sinó que ara depenem d’alguna cosa que l’usuari “és” (empremta biomètrica) o “sap” (patró, PIN) i, a més, “té” (clau criptogràfica al dispositiu local).

Aquest canvi de paradigma incrementa la seguretat de manera exponencial, ja que perquè un usuari malintencionat pugui accedir de manera il·lícita a un servei, hauria de tenir el dispositiu de l’usuari i, a més, demanar-li que s’autentiqués mitjançant l’empremta biomètrica o fer servir el mecanisme d’accés al magatzem de claus criptogràfiques definit per l’usuari.

No obstant això, continua havent-hi punts febles en els quals cal posar una atenció especial per garantir el màxim nivell de seguretat, com seria el pas inicial de registre (enrolament) que, en la major part dels casos, probablement requerirà una autenticació basada igualment en contrasenyes amb un segon factor d’autenticació, o els processos de recuperació de credencials en cas de pèrdua dels dispositius que les emmagatzemen.

Serà clau per garantir la seguretat del sistema en conjunt que, precisament, aquests processos es dissenyin de manera que permetin garantir l’autenticitat de l’usuari que els està duent a terme, i també la integritat del procés en si, alhora que reduïm a la mínima expressió el risc de possibles suplantacions o robatori de credencials per part d’usuaris malintencionats.

Serà passwordless el sistema d’autenticació definitiu?

En absolut. Segons avanci la tecnologia, arribaran nous sistemes d’autenticació que aprofitaran noves capacitats que avui dia ni coneixem o que potser són tan experimentals que ni tan sols ens permeten tenir-los en compte com una realitat plausible a curt termini.

Tot i això, la transició a sistemes d’autenticació passwordless suposa un gran avenç en matèria de seguretat i de protecció respecte de mecanismes tradicionals d’autenticació, per la qual cosa, ja sigui per seguretat o, fins i tot, per la comoditat d’autenticar-se sense haver d’estar recordant i introduint contrasenyes, l’esforç que es requereix per implementar-ho està plenament justificat i suposarà un avantatge competitiu que, sens dubte, les empreses posaran en valor de cara als usuaris.

Esperem que d’aquí uns anys (com menys, millor) quan parlem de contrasenyes tinguem la mateixa sensació que tenim avui quan recordem els disquets de 5,25 polzades on emmagatzemàvem tot just 1 MB d’informació als nostres vells ordinadors.


Comparteix:

Segueix llegint...