¿Qué es la autenticación sin contraseña?
- Glosario IAM
- ¿Qué es la autenticación sin contraseña?
La autenticación sin contraseñas es un método de verificación de identidad del usuario que no requiere una contraseña tradicional. En su lugar, los usuarios verifican su identidad a través de otros medios como la biometría, claves de acceso, enlaces mágicos o contraseñas de un solo uso (OTP).
¿Cómo funciona la autenticación sin contraseñas?
En lugar de confiar en algo que el usuario "conozca", como una contraseña, la autenticación sin contraseñas se basa en algo que el usuario "es" o algo que el usuario "tiene". Cuando el usuario inicia sesión en una cuenta que utiliza autenticación sin contraseñas, primero ingresa su nombre de usuario o dirección de correo electrónico. A continuación, se le pedirá que proporcione algo que tiene para verificar su identificación. Esto puede ser una llave de seguridad o un enlace mágico enviado a su dispositivo. Si el método de autenticación del usuario depende de algo que el usuario "es", presentaría sus datos biométricos mediante un escaneo facial, ocular o de huellas dactilares, o por reconocimiento de voz.
Tipos de autenticación sin contraseñas
La autenticación sin contraseñas puede dividirse en dos categorías: factores de posesión e inherencia.
Factores de posesión
El factor de autenticación por posesión depende de algo que el usuario tiene. Las llaves de seguridad por hardware son excelentes ejemplos del factor de posesión, puesto que se trata de llaves físicas similares a un USB a las que solo el usuario tiene acceso. Otros métodos de autenticación sin contraseñas que pueden incluirse en esta categoría son los enlaces mágicos, las claves de paso y las contraseñas de un solo uso basadas en el tiempo (TOTP).
Factores de inherencia
Los factores de autenticación por inherencia se basan en rasgos de carácter físico del usuario. Los factores de inherencia incluyen cualquier tipo de biometría, como huellas dactilares, reconocimiento facial y escaneos de retina.
¿Es segura la autenticación sin contraseñas?
La autenticación sin contraseñas es más segura que la autenticación basada en contraseñas. Esto se debe a que los métodos de autenticación sin contraseñas no son susceptibles de ser vulnerados mediante ataques comunes basados en contraseñas como el relleno de credenciales y la fuerza bruta.
La autenticación tradicional basada en contraseñas se sirve del conocimiento como factor de autenticación. Los sistemas de autenticación sin contraseñas reconocen este factor de conocimiento como posible vector de ataque a través de ataques de phishing, ransomware y basados en contraseñas, dado que "lo que usted sepa" puede también puede ser algo que otro pueda averiguar, y potencialmente usar, en su contra o en contra de su organización.
Ventajas de la autenticación sin contraseñas
Aquí tiene dos ventajas de usar la autenticación sin contraseñas.
Aumenta la seguridad
Dado que la autenticación sin contraseñas es más segura que el uso de contraseñas tradicionales, se termina con la amenaza que representan las credenciales débiles y el potencial de sufrir ataques basados en contraseñas. Esto no solo reduce la superficie de ataque de las organizaciones, sino que también fortalece su seguridad general.
Mejora la experiencia del usuario
Con tantas contraseñas, es complicado recordarlas todas, lo que a menudo conduce a un restablecimiento de contraseñas. Estos restablecimientos no solo son costosos para las organizaciones, sino que también pueden provocar pérdidas de productividad. La implementación de la autenticación sin contraseñas reduce los costos de soporte TI relacionados con las contraseñas y fomenta la productividad, al mismo tiempo que proporciona una experiencia de inicio de sesión sin contratiempos para los usuarios.
Desventajas de la autenticación sin contraseñas
Una de las principales desventajas de implementar la autenticación sin contraseñas es que puede ser costosa para las organizaciones. Esto se debe a que puede exigir a las organizaciones la compra de hardware y software adicionales para apoyar su implementación. Si bien puede resultar costosa, el retorno de la inversión (ROI) de la organización será alto porque se están tomando medidas para minimizar las posibilidades de sufrir un ciberataque exitoso que podría derivar en graves pérdidas financieras y daños a su reputación.