Obviamente, las contraseñas por sí solas no son suficientes para proteger los activos, redes, aplicaciones y datos de la compañía. Según los analistas de Verizon, en 2017, el 81% de las filtraciones de datos en todo el mundo se debieron al uso indebido de credenciales, contraseñas robadas o débiles. El número de fugas junto con los costos de las empresas y las consecuencias de estas violaciones aumentan anualmente. Para mitigar estos riesgos, la empresa en ningún caso debe olvidarse de garantizar la seguridad de sus datos.
La autenticación multifactorial sigue siendo un elemento indispensable en el entorno digital actual. La tasa de crecimiento anual total del mercado de tokens de hardware es del 8%. La autenticación ayuda a aumentar la seguridad al combinar uno o más "factores", ayudando a identificar a la persona que solicita acceso y verificar que él es exactamente quien dice ser. Estos factores incluyen lo que tiene (una tarjeta inteligente o un identificador móvil almacenado en un teléfono inteligente u otro dispositivo); lo que sabes (por ejemplo, PIN) y algo que eres (datos biométricos).
Un número cada vez mayor de empresas se esfuerza por garantizar el cumplimiento normativo, y la autenticación sólida con un registro de eventos se está convirtiendo en un requisito bastante urgente. Dos ejemplos sorprendentes son las reglas de la Unión Europea con respecto a la directiva de pago PSD2 para instituciones financieras y los requisitos de confidencialidad del Reglamento General de Protección de Datos (GDPR) para los ciudadanos. Sin embargo, tales requisitos se aplican no solo a las empresas de la UE, sino también a muchas organizaciones de otras partes del mundo. La mayoría de las empresas se verán afectadas por el GDPR, así como por las iniciativas gubernamentales en sus países, como HIPAA para la atención médica de los EE. UU.
Uno de los métodos confiables para implementar la autenticación multifactor para los empleados es el uso de un token de hardware. Este es a menudo un pequeño dispositivo portátil que calcula una secuencia de números válida por un período limitado de tiempo y se utiliza como una contraseña de un solo uso (OTP). El usuario ingresa este código (algo que tiene) más un código PIN (algo que él sabe) para confirmar su identidad para obtener acceso. De hecho, este valor se compara con el valor calculado en la plataforma de autenticación del servidor interno utilizando las mismas técnicas y datos de origen, incluidos contadores de tiempo y eventos, claves de autenticación y algoritmos. Si la OTP coincide con el valor recibido, el usuario obtiene acceso y este evento se registra en el registro de auditoría de la plataforma.
Los tokens de hardware han existido durante más de una década, y siguen siendo populares entre muchas organizaciones. Los empleados entienden cómo usarlos, y los tokens no fallan por mucho tiempo. Además, los tokens ya han ido más allá del factor de forma estándar en forma de un llavero. Hoy en día hay dispositivos que caben en una billetera. Son lo suficientemente duraderos para operar, e incluso las personas con discapacidad visual pueden usarlos.
El alcance de la aplicación de tokens de hardware puede ser completamente diferente:
- Autenticación para acceder a trabajos, aplicaciones en la nube, acceso remoto a recursos;
- Realización de transacciones financieras, actualización de datos, ejecución de órdenes;
- Cifrado de firmas, discos duros, correo electrónico, etc.
No todos los requisitos de autenticación son iguales para las empresas, y muchas organizaciones buscan un "compromiso" entre los diferentes tipos de autenticadores. Para la conveniencia de los negocios, actualmente hay muchos tipos diferentes de tokens en el mercado. Entre ellos están:
- Generadores de contraseñas de un solo uso. Los tokens OTP generan una contraseña aleatoria que no se puede reutilizar. El uso de estos dispositivos puede ser parte de una estrategia de cumplimiento de PSD2 y GDPR.
- Fichas de BlueTooth. Estos dispositivos envían un código seguro único a través de Bluetooth y NFC, para facilitar su uso y seguridad. Ayuda a cumplir con los requisitos de PSD2, GDPR y FIPS 140.
- Tokens USB inteligentes. Admiten todas las funciones de una tarjeta inteligente basada en una infraestructura de clave pública (PKI), sin la necesidad de utilizar lectores de tarjetas. Garantizar el cumplimiento de FIPS 140.
Los dispositivos modernos que se ofrecen actualmente en el mercado también tienen una serie de ventajas:
- Seguridad Los dispositivos son autónomos y resistentes a roturas, admiten varias variantes de estándares de seguridad, como 3DES, OATH y FIDO.
- Flexibilidad Hoy en día, hay muchos factores de forma simbólicos. Son convenientes de usar (con el clic de un botón del mouse), y su vida útil es bastante larga.
- Complejidad Por lo general, se proporciona un ecosistema completo de tokens junto con la infraestructura para proporcionar un soporte efectivo.
- Cumplimiento de requisitos. Muchas organizaciones en todo el mundo requieren una autenticación fuerte para proporcionar acceso seguro y proteger información confidencial. El uso de tokens de hardware ayudará a garantizar el cumplimiento de los requisitos reglamentarios complejos.
En el entorno dinámico actual, para confiar en los usuarios que presentan sus datos personales y para administrar de manera efectiva el acceso a los recursos, se requiere una solución integral para la identificación personal, cuya base es una autenticación sólida. La introducción de tales soluciones aumentará la confiabilidad de la identificación del usuario y proporcionará una protección efectiva para la empresa contra las amenazas actuales y futuras.
Olivier Firion, director de marketing de soluciones globales, IAM Solutions HID Global