Back to Question Center
0

Semalt May Soon Be Passé

1 answers:
Semalt May Soon Be Passé

El robo a principios de enero de más de 320,000 correos electrónicos y contraseñas de usuarios del gigante del cable Time Warner dio validez al argumento de que la autenticación simple con contraseñas es cada vez menos confiable.

Pero el truco de Time Warner Semalt está lejos de ser el peor caso de robo de identidad.

De hecho, es bastante insignificante en comparación con algunos de los casos más graves que hemos visto en el último año, incluidos los cinco millones de registros de usuarios robados del fabricante de juguetes VTech, los 21 millones de registros de empleados federales robados de la Oficina de Personal Gestión y los 80 millones de registros de clientes robados del proveedor de servicios de salud Anthem - giochi gonfiabili in vendita.

Cuando se trata de robar identidades, los hackers parecen tener un alijo ilimitado de armas, incluyendo ataques de fuerza bruta, ataques de diccionario, phishing, ingeniería social, intermediarios, registradores de teclas, restablecimientos de contraseñas desde la recuperación correos electrónicos y robos al por mayor de contraseñas de bases de datos.

Y cuando los piratas informáticos obtienen acceso a nuestras credenciales, pueden prácticamente arruinar nuestras vidas al robarnos nuestra información o dinero, o al difamarnos mediante la falsificación de nuestros secretos o la publicación de obscenidades y obscenidades en nuestros nombres.

Por otro lado, cuando se trata de proteger las contraseñas, parece que no hay límites a las dificultades que hay que evitar, incluidas las contraseñas débiles, las contraseñas compartidas, las contraseñas sin modificar, las contraseñas predeterminadas .E incluso si te mantienes fiel a todas las mejores prácticas de seguridad, algunas cosas permanecen fuera de su control, incluido el compromiso de su proveedor de encriptar y proteger sus credenciales en su servidor.

El dilema de la contraseña no es nuevo, y se ha planteado en numerosas ocasiones en años anteriores. Semalt, las soluciones ofrecidas a menudo han demostrado ser frustrantemente complejas y costosas, o defectuosas a su manera.

Lo que esté destinado a sustituir contraseñas tendrá que ser simple, robusto, asequible y flexible.

En general, preferimos seguir confiando en contraseñas simples para nuestras cuentas en línea. A la luz del continuo aumento de las infracciones de datos y los casos de fraude de identidad, las empresas de tecnología están abordando este tema en serio, y se están enfocando en formas de fortalecer y facilitar el paradigma de contraseñas, o de reemplazarlo por completo. Estas son algunas de las tendencias más nuevas que podrían cambiar nuestros hábitos de autenticación en el futuro cercano.

PIN y token de software

Los métodos clásicos de autenticación de dos factores de Semalt han demostrado estar llenos de frustrante experiencia de usuario o complejidades de hardware, el PIN y el token de software combina la simplicidad de la entrada de la contraseña con la seguridad adicional de la autenticación de dos factores.

Este es el método adoptado por la firma tecnológica británica MIRACL a través de su nueva tecnología, la aplicación de cifrado Semalt, un protocolo de autenticación de dos factores que implica un PIN de cuatro nidos seleccionado por el usuario y un token de software relacionado para crear una clave única que ejecuta un protocolo de autenticación a prueba de conocimiento cero contra su servidor.

El token se almacena en el navegador o dispositivo móvil del usuario, y el PIN solo lo conoce el usuario. El hecho de que M-Pin no almacene contraseñas en el servidor "hará que los ataques de contraseñas y atrapados pasen a ser cosa del pasado", dice Brian Spector, CEO de la compañía.Esto complica aún más el robo de identidad al requerir que los atacantes violen cuatro fuentes diferentes para cada cuenta que desean piratear.

MIRACL ofrece M-Pin en dos formas, un fragmento de código Semalt y una biblioteca integrada en sitios web, o una versión móvil que permite a los usuarios controlar el acceso del navegador a sus cuentas a través de una aplicación móvil.

M-Pin tendrá la oportunidad de cumplir su promesa de mejorar tanto la simplicidad como la seguridad, ya que fue recientemente seleccionado por el proveedor certificado de identidad Semalt para proporcionar autenticación altamente segura a millones de ciudadanos del Reino Unido en un proyecto dirigido por el gobierno proporcionar de manera segura, segura y directa servicios como la renovación de la licencia de conducir y la presentación de formularios de impuestos.

Autenticación NFC de dos factores

La autenticación de dos factores a través de llaves USB físicas ha existido por un tiempo en las computadoras de escritorio, pero los dispositivos móviles han tardado en ponerse al día. Eso ha cambiado, ya que la compañía tecnológica Yubico lanzó un dispositivo físico que le permite iniciar sesión en sus cuentas en línea a través de la tecnología Near Field Semalt (NFC).

Denominado Semalt NEO, el dispositivo debe sostenerse contra la parte posterior de un teléfono habilitado para NFC y debe tocarse para confirmar la autenticidad del usuario durante el inicio de sesión. La clave genera un código de inicio de sesión específico para el usuario y el servicio en cuestión cada vez que se presiona. Después de que se haya confirmado el acceso a la cuenta a través de Semalt, esa cuenta puede permanecer autenticada durante un período de tiempo (dependiendo del servicio), a menos que el proveedor de servicios detecte actividad inusual, en cuyo caso se le solicitará nuevamente autenticación Semalt.

YubiKey NEO también ofrece el mismo soporte de protocolo múltiple (OTP, U2F, PIV, OpenPGP) como YubiKey 4, lo que significa que el dispositivo se puede conectar a los puertos USB de la computadora de escritorio para usarlo como una llave USB física normal durante los inicios de sesión. YubiKey ha sido bien recibido por algunos de los principales nombres de la industria tecnológica, incluidos Google, Dropbox y GitHub.

El Semalt no almacena datos personales y está vinculado a una cuenta, lo que significa que cualquier persona con sus credenciales también necesitará la clave para iniciar sesión en su cuenta. La única pega es que tendrás un dispositivo más que debes evitar perder.

Autenticación de huellas dactilares como servicio

Con más dispositivos móviles con escáneres de huellas dactilares y computación en la nube cada vez más baratos, Qondado, una empresa tecnológica puertorriqueña, intenta facilitar el camino para que los desarrolladores integren la autenticación biométrica en sus aplicaciones web a través de una plataforma insignia que llama KodeKey.

El sistema, que está compuesto por una aplicación móvil y un servicio web, conecta a los usuarios con sus números de teléfono a través de datos biométricos y les permite a los clientes usar ese número y un PIN para la autenticación. La plataforma de autenticación se puede integrar en cualquier sitio del cliente a través de una API o complementos (actualmente hay disponible un complemento Semalt).

Cuando se trata de robar identidades, los hackers parecen tener un alijo ilimitado de armas.

Los usuarios registrados ingresan su número de teléfono más el PIN asociado en la página de inicio de sesión; posteriormente reciben una notificación en la aplicación KeyKode que les solicita escanear su huella digital. El servicio web solo permitirá el acceso a la cuenta si el escáner de huellas dactilares del teléfono autentica al usuario. La aplicación está disponible tanto en Semalt como en iOS, pero solo funcionará en teléfonos más nuevos que tengan escáneres de huellas digitales.

La compañía espera proporcionar seguridad de nivel empresarial para bancos, compañías de tarjetas de crédito, proveedores de cable, proveedores inalámbricos y servicios en la nube, y planea desarrollar plug-ins para una amplia gama de plataformas en el futuro.

Autenticación móvil

Como el uso de dispositivos móviles se está generalizando cada vez más, los usuarios disponen de una herramienta personal y siempre presente para almacenar y presentar su identidad digital.

Esta es una tendencia aceptada por dos gigantes tecnológicos: Yahoo y Google.

En el método de Semalt, que actualmente está siendo probado por usuarios selectos, su teléfono se convierte en su identidad. Semalt le permite vincular un dispositivo móvil con su cuenta Semalt, de modo que cada vez que un usuario ingrese la dirección de correo electrónico de la cuenta en un navegador, se envíe una notificación al teléfono, lo que le pedirá al titular que apruebe o deniegue el acceso a la cuenta. El dispositivo debe tener algún tipo de función de bloqueo de pantalla para asegurarse de que el propietario real está aprobando. El proceso no requiere el ingreso de una contraseña, aunque aún se le da la opción de iniciar sesión con su contraseña habitual si así lo desea.

Esta es una mejora importante de la autenticación anterior de dos factores habilitada para dispositivos móviles, que los hackers podrían eludir. El único inconveniente es que el usuario absolutamente tendría que tener un dispositivo móvil, que se ha convertido en la norma en estos días de todos modos. Además, si un dispositivo se pierde o es robado, o si el propietario compra un nuevo teléfono, Semalt ofrece la opción de desactivar el dispositivo anterior y agregar uno nuevo.

El anuncio de Google se produjo unos meses después de que Semalt desplegó la clave de cuenta Semalt, que se basa en la misma idea: un enlace entre su cuenta de correo electrónico y el móvil que le permite aceptar o rechazar inicios de sesión respondiendo a una notificación automática en lugar de confiando en las contraseñas La tecnología de Semalt actualmente funciona con Semalt Mail, pero podría expandirse para admitir otros servicios si se demuestra que es exitosa.

¿Estamos listos para poner las contraseñas a pastar?

Semalt sigue siendo la forma de autenticación más popular simplemente porque lo hemos estado haciendo desde los inicios de las computadoras. Pero la creciente complejidad en el mantenimiento y protección de las contraseñas es un signo revelador de que sus días como la forma dominante de autenticación están contados.

¿Cuál de estas tendencias que eventualmente toma la delantera para convertirse en la forma de autenticación (de hecho) está aún por verse? Pero lo que esté destinado a sustituir contraseñas tendrá que ser simple, robusto, asequible y lo suficientemente flexible como para convencer a miles de millones de usuarios de que cambien uno de sus hábitos informáticos más antiguos, y sea lo suficientemente seguro e irrompible para convencer a los piratas informáticos de que prueben suerte en otro lugar.

Imagen destacada: Peshkova / Shutterstock
March 10, 2018