A partir del 15 de setiembre de 2021, Microsoft ha anunciado que cualquier persona que utilice una cuenta de consumidor de Microsoft ya podrá acceder a ella sin contraseña. ¿¡Si!?, ¡sin contraseña!… ¿es que se han vuelto locos los de Microsoft? 😉.
Que no cunda el pánico, primero os explicamos los motivos de esta decisión y al final del post os indicamos como lo podréis hacer.
MOTIVOS PARA ELIMINAR LAS CONTRASEÑAS
Según Vasu Jakkal, vicepresidente corporativo de seguridad en Microsoft, ya hace unos años que piensan en un futuro sin contraseñas.
Ciertamente a nadie le gustan las contraseñas. Son difíciles de recordar y además son el objetivo principal para los ciberdelincuentes. En el SOC de Infordisa ya hablamos en el apartado de buenas prácticas de como los gestores de contraseñas nos pueden hacer la vida más fácil u segura.
Durante años, las contraseñas han sido la capa de seguridad más importante para todo en nuestra vida digital, desde el correo electrónico hasta las cuentas bancarias, los carritos de la compra y los videojuegos.
Se espera que creemos contraseñas complejas (número, letras, símbolos, mayúsculas…) y únicas, las recordemos y las cambiemos con frecuencia, pero a nadie le gusta hacerlo tampoco. Al olvido de las contraseñas, la función de restablecer una contraseña es inevitable, haciendo el problema más grande.
Además que la mayoría de los mortales apuntamos nuestras contraseñas en documentos digitales o en papel. Todo esto, con el tiempo es un problema exponencial.
El problema con las contraseñas
Bret Arsenault, director de seguridad de la información (CISO) de Microsoft, dice:
«Los piratas informáticos no entran, inician sesión».
Esto indica que el problema de seguridad reside básicamente en el proceso de autenticación.
Las contraseñas débiles son el punto de entrada para la mayoría de los ataques en cuentas empresariales y de consumidores. Algunos datos para ponerse en contexto:
579 ataques de contraseñas por segundo, es decir, 18 mil millones cada año.
¿Por qué las contraseñas son tan vulnerables? Hay dos grandes razones.
La naturaleza humana
A excepción de las contraseñas generadas automáticamente que son casi imposibles de recordar, creamos en gran medida nuestras propias contraseñas. Pero, dada la vulnerabilidad de las contraseñas, sus requisitos se han vuelto cada vez más complejos en los últimos años, incluidos varios símbolos, números, distinción entre mayúsculas y minúsculas y no permitir contraseñas anteriores. A menudo se requieren actualizaciones de forma regular, sin embargo, crear contraseñas que sean lo suficientemente seguras y memorables es un desafío. Las contraseñas son increíblemente inconvenientes para crear, recordar y administrar en todas las cuentas de nuestras vidas.
Olvidar una contraseña es un problema para el usuario y también para las empresas que pierden clientes.
Naturaleza hacker
Desafortunadamente, aunque estas contraseñas pueden ser más fáciles de recordar, también son más fáciles de adivinar para un pirata informático. Un vistazo rápido a las redes sociales de alguien puede dar a cualquier pirata informático una ventaja para iniciar sesión en sus cuentas personales. Una vez que esa combinación de contraseña y correo electrónico se ha visto comprometida, a menudo se vende en la «dark web» para su uso en cualquier número de ataques.
Los piratas informáticos también tienen muchas herramientas y técnicas. Pueden utilizar la aplicación automática de contraseñas para probar muchas posibilidades rápidamente. Pueden usar el phishing para engañarlo para que ingrese sus credenciales en un sitio web falso. En las buenas prácticas del SOC ya hablamos de como verificar la autenticidad de un correo electrónico. Estas tácticas son relativamente sencillas y han estado en juego durante décadas, pero continúan funcionando porque las contraseñas continúan siendo creadas por humanos.
Surgirá una pregunta inevitable, ¿cómo se podrá iniciar sesión sin contraseña? Pues una vez que se elimine la contraseña de la cuenta de Windows, se deberá iniciar la sesión utilizando la aplicación Microsoft Authenticator, Windows Hello, claves de seguridad físicas o códigos SMS.
El uso de métodos de inicio de sesión alternativos como la aplicación Microsoft Authenticator, las claves de seguridad físicas y la biometría serán más seguros que las contraseñas tradicionales que pueden ser robadas, pirateadas o adivinadas.
Según los planes de Microsoft, este es el enfoque de los cuatro pasos para poner fin a la era de las contraseñas para las organizaciones:
El día mundial de la contraseña es el primer martes de mayo. Puede que para el del próximo 2022 ¿sea el último?
¿CÓMO ELIMINAR MI CONTRASEÑA DE MI CUENTA MICROSOFT?
Primero, asegúrese de tener la aplicación Microsoft Authenticator instalada y vinculada a su cuenta personal de Microsoft.
A continuación, visite su cuenta de Microsoft, inicie sesión y elija Opciones de seguridad avanzadas. En Opciones de seguridad adicionales, verá Cuenta sin contraseña. Seleccione Activar.
De momento, esta actualización solo afecta a las cuentas personales de Microsoft pero estamos seguros que pronto llegará a las profesionales.
Con los nuevos sistemas de autenticación, ya nos podremos olvidar de las contraseñas y despedirnos de ellas. Existe por ahora la solución de Azure Active Directory para organizaciones.
