¿Qué es la autenticación sin contraseña?

Las contraseñas eran antes el único método de autenticación disponible para las personas que accedían a sus cuentas en línea. Incluso en aquellos tiempos más simples, las contraseñas eran un problema. Para recordarlas, los usuarios las hacían demasiado simples, demasiado fáciles de robar por actores maliciosos. Y la gente utilizaba las mismas contraseñas una y otra vez, lo que significa que, una vez robada una contraseña, los ciberdelincuentes sabían que había muchas posibilidades de que pudieran usarla para acceder a varias cuentas. 

Con la proliferación de cuentas en línea, los problemas con las contraseñas se han agravado mucho.

El consumidor promedio de Internet tiene ahora docenas de cuentas, tanto para uso personal como profesional, y la mayoría de los usuarios se sienten abrumados por el sinnúmero de combinaciones de nombre de usuario y contraseña que deben recordar. En un estudio de PC Magazine, 65 % de los encuestados afirma que olvidará su contraseña si no la escribe, y el 57 % olvidará su nueva contraseña inmediatamente después de restablecerla.

Para combatir el problema de las contraseñas simples y la reutilización de estas, algunas empresas requieren que la contraseña se cambie constantemente y se usen patrones complejos que contengan letras, números y caracteres especiales. Aunque estos requisitos resuelven algunos problemas, crean otros, como el bloqueo de la cuenta. El mismo estudio de PC Magazine demostró que el estadounidense promedio se queda sin acceso a diez cuentas al mes. El bloqueo de la cuenta crea una experiencia de usuario terrible, obviamente, pero también es costoso, ya que los centros de ayuda deben responder a las solicitudes frecuentes de restablecimiento de contraseñas.

Al eliminar las contraseñas, se descartan todas estas posibilidades.

Con la autenticación sin contraseña, una persona puede iniciar sesión en una cuenta en línea sin necesidad de ingresar una contraseña. En cambio, la labor de autenticación se asigna a los puntos finales, como los dispositivos móviles o las computadoras, en donde el usuario puede utilizar una huella dactilar o un escáner facial, lo que se conoce como autenticación "biométrica". También puede hacerse con aplicaciones del autenticador, tokens y tarjetas inteligentes, todas ellas cada vez más populares. El usuario no tiene que preocuparse de que se le olviden las contraseñas y, como no se "comparten" las credenciales en Internet, no hay amenaza de que se intercepten. 

Autenticación de dos factores y multifactor

Muchas aplicaciones y servicios ofrecen autenticación de dos factores (2FA) o autenticación multifactor (MFA). Estos métodos requieren que el usuario se autentique con una combinación de al menos dos factores únicos. El nombre de usuario y la contraseña son factores de "conocimiento" (algo que sabe). El dispositivo móvil, el token de hardware o la tarjeta inteligente son factores de "posesión" (algo que tiene). Y los datos biométricos, como las huellas dactilares o los identificadores de reconocimiento facial, son ejemplos de factores de “inherencia” (algo que es).

La 2FA requiere que un usuario se autentique primero con un nombre de usuario y contraseña y luego un segundo factor, como un código de acceso único (OTP) enviado a través de una aplicación de autenticación o un mensaje de texto SMS. Este enfoque se conoce como "factor sin contraseña", lo que significa que el segundo paso de autenticación, después del paso de nombre de usuario y contraseña, no utiliza una contraseña ni un factor de conocimiento. Aunque este enfoque añade una capa de protección, mantiene muchos de los problemas inherentes al uso de contraseñas.

La 2FA y la MFA pueden incorporar atributos contextuales, como el dispositivo del usuario, el navegador, la IP, la ubicación o la hora del día, pero la MFA tiende a ir más allá y puede añadir un tercer o cuarto factor. Algunos cambios de contexto, como la ubicación o el dispositivo del usuario, o incluso la sensibilidad de la aplicación a la que se accede, activarán una mayor autenticación, conocida como autenticación incrementada. Cuando todo el contexto es el esperado, el sistema puede requerir menos autenticación, lo que hace que el acceso sea fácil para el usuario.

La autenticación sin contraseña puede usarse por sí sola o como parte de una estrategia 2FA o MFA, y es cada vez más popular.

¿Es posible prescindir por completo de las contraseñas?

Sí. Con la ausencia total de contraseñas, el usuario no tiene la experiencia de interactuar con una contraseña en absoluto porque no hay ninguna. Es posible usar una variedad de métodos, como: FIDO2 WebAuthn, passkeys, Autenticación abierta (OATH), notificaciones push, OTP, biometría y más. Debido a que el usuario no interactúa con la contraseña, elimina todos sus riesgos de seguridad y problemas de usabilidad.

Permitir la ausencia total de contraseñas es más fácil para los consumidores que para los empleados de las empresas. Si bien los consumidores interactúan principalmente con sitios web y servicios SaaS, los usuarios de la fuerza laboral tienen un entorno mucho más complejo, con sistemas de TI implementados que siempre requerirán contraseñas, como redes privadas virtuales (VPN), bases de datos e infraestructura heredada. Para estos entornos, usted puede proporcionar lo que se conoce como una experiencia sin contraseñas en la que los usuarios de la fuerza laboral no tienen que interactuar con las contraseñas, en su lugar, se pueden manejar de forma segura en segundo plano por el sistema IAM. Este enfoque es bueno para la seguridad, porque siempre que hay una contraseña conocida, hay un riesgo de que esta se vea comprometida. También puede resultar en una gran experiencia para el usuario empresarial. ForgeRock Enterprise Connect Passwordless permite experiencias sin contraseña para una variedad de casos de uso en las empresas.

Obtenga más información leyendo el blog Desmitificación del uso de contraseñas.

Los beneficios de la autenticación sin contraseña

According to a survey by ESG, 54% of organizations are implementing, testing, or evaluating passwordless authentication, and 31% of these organizations rank it as the top priority in their identity strategy.

Hay múltiples razones por las que las empresas están explorando soluciones de autenticación sin contraseña:

Better security: Passwords are a major vulnerability because of reuse and because passwords can be shared with others, so they cease to be controllable. According to the 2023 ForgeRock Identity Breach Report, unauthorized access was responsible for 91% of the records breached in 2022, impacting nearly 1.4 billion people. With passwordless authentication, login credentials are never transmitted over the internet, thus eliminating the threat of interception.

Better user experience: Passwords create a range of problems that translate to poor experiences, and most of us are familiar with them. But usability problems have real consequences that affect the bottom line. For example, if a customer can’t remember the right password used for your site, it’s likely that the customer will abandon their shopping cart rather than going through the forgotten password flow. By providing customers with passwordless authentication, you eliminate that frustration. Your customers can rely on convenient login mechanisms, such as push notifications to their mobile devices and facial recognition, which streamlines the process.

Cost-effective: Passwords increase help desk call volume and they require constant maintenance from IT teams. By removing passwords, you can reduce support tickets and free IT to address more important matters. Importantly, by streamlining the registration and checkout process, passwordless authentication reduces the likelihood of shopping cart abandonment.

¿Es segura la autenticación sin contraseña?

Si las contraseñas fueran seguras, no estaríamos leyendo informes constantes de violaciones de datos. Los hackers pueden inyectar un código malicioso en el software para infiltrarse en una red o crear una botnet que genere un ataque de denegación de servicio (DoS). Pero es mucho más fácil descifrar una credencial débil o aprovechar la ingeniería social contra un usuario final para obtener sus credenciales.

Parte del problema radica en que las personas no se dan cuenta de que sus credenciales débiles no suelen ser el objetivo de un ciberataque. Estas personas consideran que son de bajo riesgo porque no tienen nada que ocultar o robar. En muchos casos, eso puede ser cierto. Sin embargo, sus credenciales robadas se pueden utilizar para obtener acceso a una red mucho más grande en donde los hackers pueden propagar malware y robar datos valiosos. El destinatario de un correo electrónico de phishing (suplantación de identidad) no es más que un peldaño, pero rara vez es el objetivo previsto.

¿Cómo se roban y aprovechan las contraseñas?

According to LastPass, the password management company, hackers have an array of tools at their disposal for harvesting credentials.

Phishing attacks: One way credentials are stolen is when the recipient of the phishing email clicks a link to a site (that looks legitimate) and enters their username and password, which the hacker collects. Some phishing emails contain malicious links or attachments that contain malware. By downloading the malware to their computer, people can become infected with spyware or a keylogger that can capture keystrokes, including login credentials, and send them to the hacker.

Credential stuffing: Credential stuffing relies on the use of bots to automatically test every username and password combination in a (stolen) database to see if any of them successfully gain access to a website. In its 2021 State of the Internet (SOTI) Phishing for Finance report, Akamai revealed there were 193 billion credential stuffing attacks globally in 2020.

Credential spraying: If an email address for an online account is known, credential spraying (also called password spraying) allows hackers to test common passwords (such as password123) to see if any of them work with that particular email address. The use of bots allows them to quickly test against many thousands of email addresses in a database.

Brute-force attacks: A brute-force attack is similar to credential spraying, but instead of testing passwords against many email addresses, it typically involves making multiple login attempts to a single, targeted account using a different password each time. Unfortunately, brute-force attacks are often successful because so many people use simple passwords that are easy to guess. (Read tips for avoiding brute-force attacks.)

¿Cómo funciona el acceso sin contraseña?

Todo empezó con el estándar Fast Identity Online 2 (FIDO2) WebAuthn para la autenticación sin contraseña, que fue aprobado en marzo de 2019 por el World Wide Web Consortium (W3C). WebAuthn permite a las empresas ofrecer autenticación sin contraseña y el estándar es cada vez más compatible con los principales navegadores, sistemas operativos y fabricantes de hardware, incluidos Apple, Google y Microsoft. La especificación WebAuthn delega la autenticación a claves privadas almacenadas en puntos finales, como dispositivos móviles o computadoras, lo que elimina, la amenaza de intercepciones por parte de un actor malicioso y elimina la necesidad de que un usuario recuerde las credenciales del sitio.

Más recientemente, FIDO2 amplió la norma WebAuthn para incluir passkeys, which allow private keys to be stored in a vault in the device vendor’s cloud instead of on the device itself. This means that if you have multiple devices, or you get a new device, you retain your passkey and your ability to use passwordless authentication, such as a fingerprint or facial scan.

Autenticación sin contraseña para consumidores

Las cifras varían según la encuesta, pero ha habido una clara tendencia que muestra un aumento en las cuentas en línea desde el inicio de la pandemia. TechRadar informó que las cuentas en línea han aumentado en un 25 por ciento y que los consumidores tienen, en promedio, 100 de ellas para hacer un seguimiento. A medida que los consumidores pasan más tiempo comprando productos y servicios en línea, las empresas se han enfocado en crear experiencias (también conocidas como "recorridos") para los clientes que son tanto satisfactorias como seguras. Si los clientes tienen dificultades para iniciar sesión en sus cuentas o para completar una transacción, se irán a otro lugar. Con la autenticación sin contraseña, los clientes pueden evitar muchos de los problemas que causan fricción, como el restablecimiento de la contraseña y el bloqueo de la cuenta.

Mantener a los clientes seguros en el mundo digital con fraude en cada esquina está impulsando a las empresas a modernizar su enfoque para la gestión de identidad y acceso (IAM) e incorporar la ausencia de contraseñas en sus recorridos del cliente. La ausencia de contraseñas refuerza la seguridad al reducir el riesgo de muchas amenazas basadas en identidad, como la suplantación de identidad, llenado de credenciales y ataques de fuerza bruta. También reduce los costos al reducir el volumen de llamadas a soporte técnico, muchas de las cuales están relacionadas con las contraseñas. Tal vez el beneficio más importante para las organizaciones orientadas al consumidor, es que la ausencia de contraseñas, elimina experiencias frustrantes de inicio de sesión y ayuda a incorporar a los clientes más rápido y a retenerlos por más tiempo.

Autenticación sin contraseña para el personal

A medida que las aplicaciones empresariales se trasladan a la nube, las organizaciones han estado implementando soluciones de gestión de identidad y acceso (IAM) con inicio de sesión único (SSO) con el objetivo de mantener la productividad alta y la fricción de los usuarios baja. Las soluciones de SSO modernas pueden incluir inicios de sesión sin contraseña y otros métodos de autenticación que simplifican el acceso sin sacrificar la seguridad.

La ausencia de contraseñas elimina el intercambio de contraseñas entre usuarios y aplicaciones e infraestructura empresariales. La eliminación de contraseñas reduce el riesgo del tipo de ataques basados en contraseñas, como la suplantación de identidad, que pueden dar a los atacantes un punto de apoyo en su red, en donde pueden moverse lateralmente y robar o exponer datos confidenciales. Además, con opciones de autenticación más convenientes y seguras, los usuarios empresariales obtienen un acceso más rápido y fácil a los recursos que necesitan para hacer su trabajo. Al mismo tiempo, la autenticación sin contraseña reduce los costos al eliminar los bloqueos de cuentas y los tickets de ayuda relacionados con la contraseña.