Fatiga de contraseña

Sensación que experimentan las personas que requieren una cantidad excesiva de contraseñas como parte de su rutina.

La fatiga de las contraseñas es la sensación que experimentan muchas personas que deben recordar una cantidad excesiva de contraseñas como parte de su rutina diaria, como iniciar sesión en una computadora en el trabajo, deshacer el candado de una bicicleta o realizar operaciones bancarias desde un cajero automático . El concepto también se conoce como caos de contraseñas, o más ampliamente como caos de identidades . ^[1]

Causas

La creciente importancia de la tecnología de la información e Internet en el empleo, las finanzas , la recreación y otros aspectos de la vida de las personas, y la consiguiente introducción de tecnología de transacciones seguras , ha llevado a que las personas acumulen una proliferación de cuentas y contraseñas.

Según una encuesta realizada en febrero de 2020 por el administrador de contraseñas Nordpass, un usuario típico tiene 100 contraseñas. ^[2]

Algunos factores que causan la fatiga de las contraseñas son:

• demandas inesperadas de que un usuario cree una nueva contraseña
• Demandas inesperadas de que un usuario cree una nueva contraseña que utilice un patrón particular de letras, dígitos y caracteres especiales.
• exigir que el usuario escriba la nueva contraseña dos veces
• Demandas frecuentes e inesperadas para que el usuario vuelva a ingresar su contraseña a lo largo del día mientras navega por diferentes partes de una intranet.
• escritura a ciegas, tanto al responder a una solicitud de contraseña como al configurar una nueva contraseña.

Respuestas

Algunas empresas están bien organizadas a este respecto y han implementado métodos de autenticación alternativos ^[3] o han adoptado tecnologías para que las credenciales de un usuario se ingresen automáticamente. Sin embargo, es posible que otros no se centren en la facilidad de uso , o incluso empeore la situación, al implementar constantemente nuevas aplicaciones con su propio sistema de autenticación.

• El software de inicio de sesión único (SSO) puede ayudar a mitigar este problema al requerir que los usuarios solo recuerden una contraseña para una aplicación que a su vez dará acceso automáticamente a varias otras cuentas, con o sin la necesidad de un software agente en la computadora del usuario. Una posible desventaja es que la pérdida de una única contraseña impedirá el acceso a todos los servicios que utilizan el sistema SSO y, además, el robo o el uso indebido de dicha contraseña presenta al delincuente o atacante muchos objetivos.
• Software de gestión de contraseñas integrado : muchos sistemas operativos proporcionan un mecanismo para almacenar y recuperar contraseñas utilizando la contraseña de inicio de sesión del usuario para desbloquear una base de datos de contraseñas cifradas . Microsoft Windows proporciona Credential Manager para almacenar nombres de usuario y contraseñas utilizados para iniciar sesión en sitios web u otras computadoras en una red; iOS , iPadOS y macOS comparten una función de llavero que proporciona esta funcionalidad; y una funcionalidad similar está presente en los escritorios de código abierto GNOME y KDE . Además, los desarrolladores de navegadores web han agregado funciones similares a los principales navegadores. Sin embargo, si el sistema del usuario está dañado, robado o comprometido, también puede perder el acceso a sitios donde depende del almacenamiento de contraseñas o de las funciones de recuperación para recordar sus datos de inicio de sesión.
• El software de administración de contraseñas de terceros (complementario), como KeePass y Password Safe, puede ayudar a mitigar el problema de la fatiga de las contraseñas al almacenarlas en una base de datos cifrada con una sola contraseña. Sin embargo, esto presenta problemas similares al inicio de sesión único en el sentido de que perder la contraseña única impide el acceso a todas las demás contraseñas, mientras que otra persona que la obtenga tendrá acceso a ellas.
• Recuperación de contraseña : la mayoría de los servicios web protegidos con contraseña proporcionan una función de recuperación de contraseña que permitirá a los usuarios recuperar sus contraseñas a través de la dirección de correo electrónico (u otra información) vinculada a esa cuenta. Sin embargo, este sistema se ha convertido en el blanco de ataques de ingeniería social por parte de delincuentes. Estos delincuentes obtienen suficiente información sobre el objetivo para hacerse pasar por él y solicitar un correo electrónico de reinicio, que luego se redirige por otros medios a una cuenta bajo el control del atacante, lo que le permite secuestrar la cuenta.
• Autenticación sin contraseña : una solución para eliminar la fatiga de las contraseñas es deshacerse de ellas por completo. Los servicios de autenticación sin contraseña como Okta , Transmit Security y Secret Double Octopus reemplazan las contraseñas con métodos de verificación alternativos como la autenticación biométrica o tokens de seguridad . ^[4] A diferencia del SSO o el software de administración de contraseñas, la autenticación sin contraseña no requiere que el usuario cree o recuerde una contraseña en ningún momento. ^[5]

Enfoques innovadores

A medida que la fatiga de las contraseñas continúa desafiando a los usuarios, han surgido avances notables en las técnicas de administración de contraseñas para aliviar esta carga. Estos enfoques innovadores ofrecen alternativas a los sistemas tradicionales de autenticación basados ​​en contraseñas. Aquí hay algunas estrategias notables:

Autenticación biométrica

Los métodos de autenticación biométrica ofrecen una alternativa segura y sencilla a las contraseñas tradicionales, incluido el reconocimiento de huellas dactilares, el reconocimiento facial y el escaneo del iris. Los usuarios pueden autenticar sus identidades sin recordar contraseñas complejas aprovechando características biológicas únicas. Empresas como Okta y Transmit Security han desarrollado sólidas soluciones de autenticación biométrica, reduciendo la dependencia de las contraseñas tradicionales. ^[6]

Fichas de seguridad

Los tokens de seguridad, también conocidos como tokens de hardware o tokens de autenticación, añaden una capa adicional de seguridad más allá de las contraseñas. Estos dispositivos físicos generan un código de acceso único o una clave criptográfica que los usuarios ingresan junto con sus contraseñas para la autenticación. Este método de autenticación de dos factores (2FA) mejora la seguridad al tiempo que reduce la carga cognitiva de administrar múltiples contraseñas. Secret Double Octopus es un destacado proveedor de soluciones de tokens de seguridad. ^[6]

Autenticación sin contraseña

Los servicios de autenticación sin contraseña representan un cambio significativo en los métodos de autenticación al eliminar por completo la necesidad de contraseñas. En cambio, estos servicios utilizan métodos de verificación alternativos, como autenticación biométrica, claves de seguridad o enlaces mágicos de correo electrónico. Al eliminar las contraseñas de la ecuación, la autenticación sin contraseña simplifica significativamente la experiencia del usuario y reduce el riesgo de violaciones de seguridad relacionadas con las contraseñas. Okta, Transmit Security y Secret Double Octopus son proveedores pioneros de soluciones de autenticación sin contraseña. ^[6]

Biometría del comportamiento

Las tecnologías emergentes en biometría del comportamiento analizan patrones de comportamiento únicos, como la velocidad de escritura, los movimientos del mouse y las interacciones con la pantalla táctil, para la autenticación del usuario. Al monitorear continuamente estas señales de comportamiento, el sistema puede verificar con precisión la identidad de un usuario sin requerir una acción de autenticación explícita. La biometría del comportamiento proporciona una experiencia de autenticación perfecta y al mismo tiempo minimiza la carga cognitiva asociada con los sistemas tradicionales basados ​​en contraseñas. ^[6]

Estos enfoques innovadores ofrecen alternativas prometedoras a las técnicas tradicionales de administración de contraseñas, brindando mejoras en seguridad, usabilidad y conveniencia para el usuario. A medida que avanza la tecnología, mayores avances en los métodos de autenticación abordarán de manera efectiva el desafío actual de la fatiga de las contraseñas. ^[6]

Ver también

• ErrorMeNo
• Fatiga de decisiones
• Gestión de identidad
• Administrador de contraseñas
• Seguridad de la contraseña
• Pregunta de seguridad
• Usabilidad de los sistemas de autenticación web.

Notas

1. "Caos de contraseñas" en TheFreeDictionary
2. Williams, Shannon. "Una persona promedio tiene 100 contraseñas: estudio". seguridadbrief.co.nz . Consultado el 26 de abril de 2021 .
3. Como certificados digitales , tokens OTP , autenticación de huellas dactilares o sugerencias de contraseña.
4. Murphy, Hannah (3 de septiembre de 2021). "Las empresas emergentes que intentan eliminar la contraseña". Tiempos financieros . Consultado el 2 de noviembre de 2021 .
5. "¿Qué es la fatiga de las contraseñas y cómo superarla?". Transmitir seguridad . 13 de octubre de 2021 . Consultado el 4 de noviembre de 2021 .
6. Al-Slais, Yaqoob; El-Medany, Wael (1 de enero de 2022). "Políticas de contraseñas adaptables centradas en el usuario para combatir la fatiga de las contraseñas". La Revista Árabe Internacional de Tecnología de la Información .

enlaces externos

• Noguchi, Yuki. Acceso denegado, Washington Post, 23 de septiembre de 2006.
• Catón, Josh. Mala forma: el 61% usa la misma contraseña para todo, 17 de enero de 2008.