lunes, 23 de septiembre de 2013

¿QUIERE MÁS SEGURIDAD?

ABANDONE LAS CONTRASEÑAS
Por Andrew Blackman

El "Token" de Yubico

El problema fundamental con las contraseñas radica en que tienen su máxima efectividad para proteger a una empresa cuando son largas, complicadas y se cambian con frecuencia. En otras palabras, cuando es menos probable que los empleados las recuerden.

Como consecuencia, las firmas de tecnología se apresuran a brindar soluciones que sean más seguras y convenientes.

Muchas computadoras portátiles ahora vienen con lectores para huellas digitales incorporados. Los teléfonos inteligentes y otros aparatos, también están abriendo opciones biométricas como reconocimiento facial y de voz.

El año pasado Apple Inc. adquirió AuthenTec Inc., un desarrollador de tecnología de sensores de huellas digitales, y la semana pasada anunció que su nuevo iPhone tendrá un sensor para huellas digitales. Microsoft Corp. sostiene que su sistema operativo Windows 8.1, que se conocerá el mes próximo, está "optimizado para datos biométricos basados en huellas digitales". La comprobación de autenticidad por medio de datos biométricos se podrá usar para más fines dentro del sistema, dice la compañía.

Mientras tanto, Google Inc., PayPal Inc., Lenovo Group Ltd. y otras empresas unieron fuerzas en una organización conocida como la Alianza FIDO (siglas en inglés para Identidad rápida en línea), que busca crear estándares para la industria con datos biométricos y otras formas de la llamada autenticación fuerte.

Google también está experimentando con una nueva clase del dispositivo de hardware conocido como token, creado por la firma californiana Yubico Inc. Al igual que los token tradicionales que generan contraseñas numéricas al azar y que las empresas usan desde hace años, los aparatos de Yubico generan contraseñas temporales que son usados como segunda forma de autenticación de identidad.

Pero en lugar de tener que leer la contraseña del token y teclearla, los empleados pueden simplemente conectar el token a un puerto USB o apoyarlo sobre un aparato móvil con comunicación de campo cercano, una tecnología a través de la cual se comunican los aparatos electrónicos al hacer contacto físico.

Google está probando dispositivos token con sus empleados este año, y planea ofrecerlos a los consumidores a comienzos del año próximo como una forma de ingresar a Gmail y otras cuentas de Google con mayor seguridad.

Mayank Upadhyay, director de ingeniería de seguridad de Google, afirma que los token son fáciles de usar y tienen un sólido cifrado.

Otra opción nueva, de RSA, la división de seguridad de EMC Corp. y la creadora de los populares token SecurID, es la autenticación basada en el riesgo.

Esta tecnología analiza grandes cantidades de datos de usuarios de varios grupos en una empresa para establecer el comportamiento "normal" y luego le asigna calificaciones de riesgo a cada usuario. Si un empleado hace algo poco habitual, como conectarse desde otra ubicación, usar una computadora distinta o intentar acceder a un sistema distinto al habitual, la calificación de riesgo aumentará, y el empleado podría tener que ingresar información extra de autenticación, como por ejemplo verificar su identidad por teléfono.

Muchas personas prevén que el panorama de la seguridad cambie rápidamente a medida que más y más empleados llevan sus propios teléfonos inteligentes y otros aparatos al trabajo. Aunque la proliferación de estos aparatos suele considerarse una amenaza para la seguridad, algunos analistas sugieren que los aparatos móviles pueden mejorar la seguridad al facilitar el uso de la autenticación biométrica. La mayoría de los aparatos incluyen un micrófono y una cámara, y pueden también señalar la ubicación geográfica de un empleado.

De cara al futuro, investigadores de la Universidad de California en Berkeley estudian el uso de las ondas cerebrales como autenticación. En las pruebas, los sujetos usaron unos auriculares que midieron las señales de sus ondas cerebrales mientras se imaginaban que hacían una tarea en particular, y los investigadores pudieron distinguir entre personas distintas con 99% de precisión. En teoría, una tarea imaginada de este tipo podría convertirse en el "contrapensamiento" de un empleado.

La mayoría de los expertos prevé que las empresas usen una variedad de parámetros. El Hospital Saratoga, en el estado de Nueva York, por ejemplo, usa lectores de huellas digitales como una alternativa más segura que las contraseñas. Pero aunque solucionaron muchos de los problemas de seguridad del hospital, los lectores no funcionan para todos. Algunos trabajadores voluntarios de edad avanzada tienen problemas para mantener la mano quieta, y los lectores no funcionan cuando la gente tiene puestos guantes, o cuando sus manos están muy secas, indica Gary Moon, analista de seguridad del hospital. Además, algunos empleados se negaron a entregar sus huellas digitales.

Como consecuencia, señala Moon, el hospital aún usa contraseñas como sistema de seguridad de respaldo.

Las empresas necesitan acceso a una combinación de distintas tecnologías, sostiene Vance Bjorn, fundador de DigitalPersona Inc., con sede en California. "Una tecnología resuelve ciertos problemas, pero podría no ser la mezcla adecuada de seguridad, conveniencia, costo y facilidad de implementación para todo el mundo".

WSJ ONLINE

No hay comentarios: