¿Por qué no hemos logrado resolver el inicio de sesión seguro sin contraseñas en las empresas?

¿Por qué no hemos logrado resolver el inicio de sesión seguro sin contraseñas en las empresas?
1 comentario

Hoy es el día mundial de la contraseña. Como siempre este tipo de efemérides están pensadas para concienciar a los usuarios de la necesidad de llevar a cabo buenas prácticas en la protección de sus credenciales, que al fin y al cabo en muchos casos custodian su identidad digital. En las empresas llevamos años utilizando usuario y contraseña para identificarnos en los sistemas y poder trabajar, pero ¿por qué no hemos logrado resolver el inicio de sesión seguro sin contraseñas en las empresas?

Si cada vez que he tenido que cambiar una credencial de acceso a una persona me hubieran dado un euro por cada queja expresada: "no se que poner", "¿no puedo poner la de siempre?", "seguro que luego se me olvida", "¿y la tengo que cambiar cada mes?", "¿Tengo que poner mayúsculas, minúsculas y números?", "¿No puedo poner 123456? Seguro que a nadie se le ha ocurrido antes..." y podría seguir hasta el infinito.

La realidad es que el usuario y la contraseña no es una buena solución de seguridad, pero ¿tenemos otras alternativas mejores? Esta es la cuestión, porque hoy en día es una cuestión que está superada ampliamente en los dispositivos móviles y la biometría.

Sin embargo este tipo de soluciones no se acaban de imponer del todo en las empresas. En parte porque necesitan integrarse en muchos casos con sistemas que ya están en marcha, con aplicaciones de terceros, etc. Y todo esto implica inversión y un alto coste para mejorar la seguridad, algo a lo que muchas empresas tampoco es que presten demasiada atención. Lo mismo podríamos decir de otras soluciones como la autentificación por doble factor. A corto y medio plazo, la contraseña seguirá siendo el método básico de identificación en la mayoría de las organizaciones.

En este sentido la contraseña sigue siendo el método de identificación más utilizado y universal. Existen un buen puñado de buenas prácticas para intentar lograr que sea una fórmula segura, aunque la realidad nos dice que cuanto más complicado se lo pones a los trabajadores, más fácil es que se acaben por apuntar la contraseña en una nota adhesiva en la pantalla de su ordenador.

Por lo tanto hay que llegar a un compromiso entre seguridad y usabilidad. Que sea fácil trabajar, pero que a la vez se pueda hacer de forma segura. Y ante todo, dejar que cada uno trabaje con el mínimo privilegio, es decir, que solo tenga acceso a aquello que necesita, para que en caso de que se produzca una brecha de seguridad se intente aislar el problema.

Por último todo cambia si lo que se busca en la empresa, además de seguridad, es trazabilidad. Que cada usuario conozca su contraseña, pero no la de sus compañeros. Y esto es algo muy habitual, el uso de patrones para crear credenciales, de manera que al final, todo el mundo conoce la contraseña de los demás. En este caso los controles tienen que ser más estrictos, cambiar las contraseñas con más frecuencia, no dejar repetir las últimas, ni admitir la creación de esos patrones.

Temas
Inicio