Google introducirá MFA obligatorio. ¿Cómo será el futuro de las contraseñas?
Mark Risher, director de Identidad de Google, quiere abandonar la utilización de contraseñas en favor de medidas más fiables como la Autenticación Multifactor: ¿a qué se debe esta decisión y cómo pueden los MSP implementar las bondades del MFA en las organizaciones?
El Día mundial de las contraseñas celebrado el pasado 6 de mayo fue el día elegido para realizar este anuncio que causó cierto revuelo entre los usuarios y la comunidad de ciberseguridad: van a prescindir de ellas. La justificación de Risher fue la siguiente:
“Puede que no te des cuenta, pero las contraseñas son la mayor amenaza para tu seguridad online: son fáciles de robar, difíciles de recordar y administrarlas es tedioso. Mucha gente cree que una contraseña debe ser lo más larga y complicada posible, pero en muchos casos, ponerla así aumenta los riesgos de ciberseguridad. Las contraseñas complicadas incitan a los usuarios a utilizarlas para más de una cuenta; de hecho, el 66% de los estadounidenses admite usar la misma contraseña en varios sitios, lo que hace que sus cuentas sean vulnerables con que solo una de ellas caiga”.
2SV y otras medidas
Risher también aportó un dato revelador para apoyar el anuncio: en 2020, las búsquedas en Google con los términos “¿Es fuerte mi contraseña?” crecieron hasta un 300%. Afirma que todo ello les lleva a invertir en una gestión de contraseñas cada vez más simplificada con el objetivo de que en el futuro ya no exista ninguna. Pero entonces, ¿Cómo podrán los usuarios autenticarse con seguridad?
La medida que están promoviendo por ahora es la autenticación multifactor (MFA) y en particular, una autenticación en 2 pasos (2SV). Así, aseguró que reducen enormemente el riesgo de que las cuentas se vean comprometidas mucho más que si solo se basan en una contraseña de acceso.
Por el momento, la 2SV será obligatoria para los usuarios que ya habían empezado el proceso para implementarla, aunque Risher lo recomienda encarecidamente para que todos protejan sus cuentas. Mientras tanto, también están introduciendo otras medidas de seguridad complementarias, como las security keys, que ya se encuentran como una funcionalidad directa en los dispositivos Android, y para los usuarios de iOS, la aplicación Google Smart Lock.
Fiabilidad y sencillez de gestión
En materia de ciberseguridad, siempre hay que partir de la base de que ninguna medida o sistema puede garantizar una protección absoluta del 100%. Eso también incluye a la MFA, tal y como abordamos anteriormente en el blog en nuestro post ¿Son todos los sistemas MFA seguros?. Sin embargo, Mark Risher tiene razón en que si está bien diseñada, reduce enormemente las posibilidades de éxito para los ciberatacantes.
Es lo que también consigue la autenticación multifactor Authpoint de Watchguard. Gracias a sus herramientas, los MSPs puedan proteger adecuadamente las identidades y las cuentas de las organizaciones. Con métodos como la Autenticación por Push, la autenticación basada en Código QR todos los empleados podrán obtener sus accesos con facilidad en una cómoda aplicación móvil: no conllevará la introducción de tediosas claves y una vez autorizados, tan solo tendrán que seguir un rápido paso para autenticarse. Además, los administradores pueden estar tranquilos sabiendo que esos móviles son los que cuentan con su permiso: con la tecnología de “ADN Móvil” se verifica en cada acceso que ese dispositivo es el permitido y así, se bloquea cualquier intento de introducirse en los sistemas con una SIM clonada y utilizada desde otros aparatos.
Por otro lado, si la organización prefiere que los accesos no dependan de los móviles, Watchguard AuthPoint también cuenta con la opción de los Tokens de Hardware: se trata de unos pequeños dispositivos electrónicos sellados que generan contraseñas automáticamente, pero de un solo uso (OTP) y tan solo 30 segundos de duración. Por último, y elijan lo que elijan, los administradores tendrán una carga de trabajo menor: todos los permisos y autenticaciones resultan muy sencillos de gestionar mediante el portal de AuthPoint en Watchguard Cloud.
En definitiva, no sabemos si llegará pronto el futuro que desea Risher en el que todas las contraseñas hayan desaparecido; pero mientras tanto, de lo que sí estamos convencidos es de que las organizaciones deben apoyarse en las prácticas que han demostrado poner las cosas más difíciles a los ciberatacantes: ahí se encuentra la Autenticación Multifactor.