Fatiga de contraseñas

Sentimientos de las personas que exigen contraseñas excesivas

La fatiga de contraseñas es la sensación que experimentan muchas personas que deben recordar una cantidad excesiva de contraseñas como parte de su rutina diaria, como para iniciar sesión en una computadora en el trabajo, abrir el candado de una bicicleta o realizar operaciones bancarias desde un cajero automático . El concepto también se conoce como caos de contraseñas o, de manera más amplia, como caos de identidad . ^[1]

Causas

La creciente importancia de la tecnología de la información e Internet en el empleo, las finanzas , la recreación y otros aspectos de la vida de las personas, y la consiguiente introducción de tecnología de transacciones seguras , ha llevado a que las personas acumulen una proliferación de cuentas y contraseñas.

Según una encuesta realizada en febrero de 2020 por el administrador de contraseñas Nordpass, un usuario típico tiene 100 contraseñas. ^[2]

Algunos factores que provocan fatiga de contraseñas son:

• Demandas inesperadas de que un usuario cree una nueva contraseña
• demandas inesperadas de que un usuario cree una nueva contraseña que utilice un patrón particular de letras, dígitos y caracteres especiales
• Exigir que el usuario escriba la nueva contraseña dos veces
• Solicitudes frecuentes e inesperadas para que el usuario vuelva a ingresar su contraseña a lo largo del día mientras navega por diferentes partes de una intranet
• escritura a ciegas, tanto al responder a una solicitud de contraseña como al establecer una nueva contraseña.

Respuestas

Algunas empresas están bien organizadas en este sentido y han implementado métodos de autenticación alternativos ^[3] o han adoptado tecnologías para que las credenciales de un usuario se ingresen automáticamente. Sin embargo, otras pueden no prestar atención a la facilidad de uso , o incluso empeorar la situación, al implementar constantemente nuevas aplicaciones con su propio sistema de autenticación.

• El software de inicio de sesión único (SSO) puede ayudar a mitigar este problema al requerir que los usuarios recuerden una sola contraseña para una aplicación que, a su vez, les dará acceso automáticamente a varias otras cuentas, con o sin necesidad de un software agente en la computadora del usuario. Una posible desventaja es que la pérdida de una sola contraseña impedirá el acceso a todos los servicios que utilicen el sistema SSO y, además, el robo o el uso indebido de dicha contraseña presenta a un delincuente o atacante con muchos objetivos.
• Software de gestión de contraseñas integrado : muchos sistemas operativos proporcionan un mecanismo para almacenar y recuperar contraseñas utilizando la contraseña de inicio de sesión del usuario para desbloquear una base de datos de contraseñas cifradas . Microsoft Windows proporciona Credential Manager para almacenar nombres de usuario y contraseñas utilizadas para iniciar sesión en sitios web u otras computadoras en una red; iOS , iPadOS y macOS comparten una función de llavero que proporciona esta funcionalidad; y una funcionalidad similar está presente en los escritorios de código abierto GNOME y KDE . Además, los desarrolladores de navegadores web han agregado una funcionalidad similar a todos los navegadores principales. Sin embargo, si el sistema del usuario está dañado, robado o comprometido, también puede perder el acceso a los sitios en los que confía en el almacenamiento de contraseñas o las funciones de recuperación para recordar sus datos de inicio de sesión.
• Los programas de administración de contraseñas de terceros (complementarios), como KeePass y Password Safe, pueden ayudar a mitigar el problema de la fatiga de contraseñas al almacenarlas en una base de datos cifrada con una sola contraseña. Sin embargo, esto presenta problemas similares a los del inicio de sesión único, ya que perder la contraseña única impide el acceso a todas las demás contraseñas, mientras que otra persona que la obtenga tendrá acceso a ellas.
• Recuperación de contraseñas : la mayoría de los servicios web protegidos con contraseñas ofrecen una función de recuperación de contraseñas que permite a los usuarios recuperar sus contraseñas a través de la dirección de correo electrónico (u otra información) vinculada a esa cuenta. Sin embargo, este sistema se ha convertido en un objetivo de ataques de ingeniería social por parte de delincuentes. Estos delincuentes obtienen suficiente información sobre el objetivo para hacerse pasar por él y solicitar un correo electrónico de restablecimiento, que luego se redirige por otros medios a una cuenta bajo el control del atacante, lo que le permite secuestrar la cuenta.
• Autenticación sin contraseñas : una solución para eliminar la fatiga de las contraseñas es deshacerse de ellas por completo. Los servicios de autenticación sin contraseñas como Okta , Transmit Security y Secret Double Octopus reemplazan las contraseñas con métodos de verificación alternativos como la autenticación biométrica o los tokens de seguridad . ^[4] A diferencia del SSO o el software de administración de contraseñas, la autenticación sin contraseñas no requiere que el usuario cree o recuerde una contraseña en ningún momento. ^[5]

Enfoques innovadores

A medida que la fatiga por el uso de contraseñas continúa siendo un desafío para los usuarios, han surgido avances notables en las técnicas de gestión de contraseñas para aliviar esta carga. Estos enfoques innovadores ofrecen alternativas a los sistemas de autenticación tradicionales basados ​​en contraseñas. A continuación, se presentan algunas estrategias destacadas:

Autenticación biométrica

Los métodos de autenticación biométrica ofrecen una alternativa segura y sin inconvenientes a las contraseñas tradicionales, como el reconocimiento de huellas dactilares, el reconocimiento facial y el escaneo del iris. Los usuarios pueden autenticar su identidad sin tener que recordar contraseñas complejas aprovechando características biológicas únicas. Empresas como Okta y Transmit Security han desarrollado soluciones de autenticación biométrica sólidas que reducen la dependencia de las contraseñas tradicionales. ^[6]

Tokens de seguridad

Los tokens de seguridad, también conocidos como tokens de hardware o tokens de autenticación, añaden una capa adicional de seguridad más allá de las contraseñas. Estos dispositivos físicos generan un código de acceso de un solo uso o una clave criptográfica que los usuarios introducen junto con sus contraseñas para la autenticación. Este método de autenticación de dos factores (2FA) mejora la seguridad y reduce la carga cognitiva que supone gestionar varias contraseñas. Secret Double Octopus es un destacado proveedor de soluciones de tokens de seguridad. ^[6]

Autenticación sin contraseña

Los servicios de autenticación sin contraseña representan un cambio significativo en los métodos de autenticación al eliminar la necesidad de contraseñas. En su lugar, estos servicios utilizan métodos de verificación alternativos, como la autenticación biométrica, claves de seguridad o enlaces de correo electrónico mágicos. Al eliminar las contraseñas de la ecuación, la autenticación sin contraseña simplifica significativamente la experiencia del usuario y reduce el riesgo de violaciones de seguridad relacionadas con las contraseñas. Okta, Transmit Security y Secret Double Octopus son proveedores pioneros de soluciones de autenticación sin contraseña. ^[6]

Biometría del comportamiento

Las tecnologías emergentes en biometría del comportamiento analizan patrones de comportamiento únicos, como la velocidad de escritura, los movimientos del mouse y las interacciones con la pantalla táctil, para la autenticación del usuario. Al monitorear continuamente estas señales de comportamiento, el sistema puede verificar con precisión la identidad de un usuario sin requerir una acción de autenticación explícita. La biometría del comportamiento proporciona una experiencia de autenticación fluida al tiempo que minimiza la carga cognitiva asociada con los sistemas tradicionales basados ​​en contraseñas. ^[6]

Estos enfoques innovadores ofrecen alternativas prometedoras a las técnicas tradicionales de gestión de contraseñas, y aportan mejoras en la seguridad, la facilidad de uso y la comodidad del usuario. A medida que avance la tecnología, los avances en los métodos de autenticación permitirán abordar eficazmente el problema actual de la fatiga de las contraseñas. ^[6]

Véase también

• No me engañes
• Fatiga de decisión
• Gestión de identidad
• Administrador de contraseñas
• Fuerza de la contraseña
• Pregunta de seguridad
• Usabilidad de los sistemas de autenticación web

Notas

1. "Caos de contraseñas" en TheFreeDictionary
2. Williams, Shannon. "La persona promedio tiene 100 contraseñas - estudio". securitybrief.co.nz . Consultado el 26 de abril de 2021 .
3. Como certificados digitales , tokens OTP , autenticación de huellas dactilares o sugerencias de contraseñas.
4. Murphy, Hannah (3 de septiembre de 2021). "Las empresas emergentes que intentan acabar con las contraseñas". Financial Times . Consultado el 2 de noviembre de 2021 .
5. "¿Qué es la fatiga de contraseñas y cómo superarla?". Transmit Security . 13 de octubre de 2021 . Consultado el 4 de noviembre de 2021 .
6. Al-Slais, Yaqoob; El-Medany, Wael (1 de enero de 2022). "Políticas de contraseñas adaptativas centradas en el usuario para combatir la fatiga de contraseñas". Revista Árabe Internacional de Tecnología de la Información .

Enlaces externos

• Noguchi, Yuki. Acceso denegado, Washington Post , 23 de septiembre de 2006.
• Catone, Josh. Mala conducta: el 61 % usa la misma contraseña para todo, 17 de enero de 2008.