La autenticación sin contraseña y la autenticación multi-factor ya no son sólo palabras de moda en el mundo de la informática, sino que forman parte de la vida cotidiana. Hoy en día, una persona normal desbloquea su teléfono con reconocimiento facial, inicia sesión en aplicaciones de trabajo con una aplicación de autenticación o consulta documentos confidenciales con un PIN que ha recibido en un mensaje de texto.
Y la tecnología no se detendrá ahí 一 tanto la MFA (o AMF, por sus siglas en español) como las soluciones sin contraseña están creciendo a un ritmo asombroso. Se prevé que el tamaño del mercado mundial de la AMF crezca hasta los $23.500 millones de dólares en 2026, y que el tamaño del mercado mundial de autenticación sin contraseña alcance los $456.790 millones de dólares en 2030.
Pero a pesar de todo el revuelo que se ha montado en torno a la autenticación sin contraseña y la MFA, sigue habiendo confusión sobre el propósito, la eficacia y los retos de cada protocolo de seguridad.
¿Qué es la autenticación sin contraseña?
La autenticación sin contraseña es exactamente lo que parece: confirmar la identidad de un usuario sin utilizar una contraseña. Puede sonar demasiado bueno para ser verdad; incluso podría usted preguntarse”¿Es segura la autenticación sin contraseña?” – pero la razón por la que funciona es que su identidad no tiene que verificarse mediante un factor de conocimiento como una contraseña.
En su lugar, puede comprobar su identidad presentando una parte de su cuerpo (un factor biometrico) o un código de acceso o enlace que haya recibido en un dispositivo o app de su propiedad (un factor posesivo); métodos que se han probado y aplicado de diversas maneras.
Como puede imaginar, la autenticación sin contraseña resulta popular entre los empleados porque ya no tienen que memorizar contraseñas largas y complicadas. En su lugar, inician sesión en el software utilizando algo que no pueden olvidar, como su huella dactilar o su teléfono.
La autenticación sin contraseña también facilita las cosas al departamento de TI. No necesitan almacenar contraseñas, enviar recordatorios de restablecimiento de contraseñas ni controlar posibles incidentes de seguridad debidos a violaciones de contraseñas. Y sin contraseñas que adivinar o robar, los ciberdelincuentes lo tienen mucho más difícil para recopilar los datos que desean.
¿Qué es la autenticación multi-factor?
La autenticación multi-factor (MFA, por sus siglas en inglés) es un sistema de verificación de identidad digital que requiere que los usuarios pasen varios puntos de control de autenticación. La MFA se parece a la autenticación sin contraseña ya que puede aprovechar factores biométricos o posesivos, pero la diferencia es que la MFA sigue utilizando nombres de usuario y contraseñas.
Para iniciar sesión en sistemas configurados con MFA, debe introducir su nombre de usuario y contraseña como lo haría normalmente. A continuación, se le pide que muestre o introduzca algo más, como un código de acceso de un solo uso enviado a través de una aplicación de autenticación, un enlace mágico enviado a su correo electrónico o una huella dactilar. Una vez superadas esas mini-pruebas, habrá iniciado sesión.
La MFA es como una puerta con cerradura, escáner de retina y código de acceso. Al igual que una contraseña, la cerradura puede ser más fácil de forzar, pero replicar un escáner de retina o piratear el dispositivo que recibe una contraseña de un solo uso resulta extremadamente difícil. Disponer de varias capas de protección limita enormemente el daño que pueden causar los delincuentes.
Diferencias entre la autenticación MFA y la autenticación sin contraseña
Aunque la autenticación sin contraseña tiene algunas similitudes con la autenticación multi-factor, también presenta algunas diferencias claras en términos de autenticación, seguridad, facilidad de uso, escalabilidad y costo.
Autenticación
La MFA aumenta la confianza de las organizaciones en que alguien es quien dice ser, añadiendo factores de autenticación adicionales a la contraseña. Por ejemplo, un sistema basado en MFA puede pedir al usuario que escriba su contraseña, utilizar el reconocimiento de voz como factor de autenticación secundario y emplear una contraseña de un solo uso como tercer factor de autenticación.
La autenticación sin contraseña elimina por completo la necesidad de una contraseña, sustituyéndola por un factor posesivo o biométrico. En el ejemplo anterior, alguien podría autenticarse únicamente mediante reconocimiento de voz.
Seguridad
No hay duda de que tanto la autenticación MFA como la autenticación sin contraseña aportan un nivel añadido de seguridad a su organización, pero tienen limitaciones. Dado que los sistemas MFA utilizan un nombre de usuario y una contraseña como método de autenticación principal, son susceptibles de ataques de phishing y de fuerza bruta. Los segundos o terceros métodos de autenticación pueden impedir que los ciberdelincuentes lleguen mucho más lejos, pero tienen que ser herméticos para evitar un ataque potente.
Incluso la autenticación sin contraseña puede ser presa de ataques de troyanos, man-in-the-browser o malware si se interceptan contraseñas de un solo uso o enlaces mágicos. Y, aunque es raro, los atacantes han recreado las huellas dactilares y la voz de las personas para eludir la autenticación biométrica.
Facilidad de uso
La autenticación sin contraseña suele considerarse más rápida y cómoda que la MFA. Los usuarios no tienen que memorizar contraseñas y sólo tienen que utilizar un método de autenticación. La MFA requiere más tiempo y es más sensible al tiempo (algunos códigos caducan en tan solo 10 segundos), lo que puede provocar la frustración de los empleados, sobre todo si inician sesión en varias aplicaciones al día.
Al mismo tiempo, los factores de autenticación biométricos y posesivos utilizados con la autenticación sin contraseña no siempre son fáciles de usar. Por ejemplo, un empleado que recibe claves privadas a través de una unidad USB tiene que llevar el dispositivo consigo en todo momento, y no puede iniciar sesión en ninguna aplicación si el USB se daña o se pierde. La capacidad de leer huellas dactilares y rostros también puede variar en función de la sofisticación de los escáneres.
Costo y escalabilidad
Implantar la autenticación sin contraseña es un gran compromiso y un gran gasto. Seleccionar el software adecuado, elegir métodos de autenticación, instalar nuevos dispositivos, crear un plan de proyecto y gestionar los cambios son sólo algunos de los muchos componentes de un proyecto de autenticación sin contraseña.
La MFA, por otro lado, puede ser tan sencilla como pedir a los empleados que se descarguen una aplicación de autenticación o que registren su correo electrónico para recibir enlaces mágicos.
Lo mejor de dos mundos
Dado que la autenticación sin contraseña es posiblemente más segura, pero lleva más tiempo implantarla, muchas empresas utilizan primero la MFA. Esto no solo acostumbra a los usuarios a los distintos métodos de autenticación, sino que también da tiempo al departamento informático a elaborar un plan de proyecto completo.
Una vez que todo el mundo se siente cómodo y preparado, la organización pasa a un entorno totalmente sin contraseña. Algunas organizaciones van un paso más allá y combinan ambos métodos en una MFA sin contraseña.
Pero utilizar cualquier solución MFA puede no ser el mejor punto de partida para la autenticación sin contraseña. La autenticación multi-factor en todo el entorno de JumpCloud es fácil de usar para sus usuarios finales, y aún más fácil de configurar para usted. Con el clic de un botón, puede habilitar MFA para restringir el acceso a redes, aplicaciones, dispositivos y más.
También puede elegir los mejores métodos de autenticación para su empresa, ya sean notificaciones push, segundo factor universal (U2F, por sus siglas en inglés) o incluso TOTP MFA. Lo mejor es que cuando JumpCloud MFA está activado, funciona en toda la organización, independientemente de dónde trabajen los empleados. Para obtener más información sobre qué hace que el producto MFA de JumpCloud sea la mejor base para un futuro sin contraseñas, solicite una demostración gratuita.