Los profesionales de la nube deberían reconsiderar su confianza en las contraseñas para proteger sus sistemas, según una nueva investigación.
Una encuesta reciente de Beyond Identity (se abre en una pestaña nueva) encontró que más de cuatro quintas partes confían en la efectividad y seguridad de las contraseñas, y más de un tercio afirma tener mucha confianza.
Sin embargo, Beyond Identity cree que esta confianza está fuera de lugar, ya que las contraseñas tienen «vulnerabilidades de seguridad inherentes, valor como objetivo para los actores de amenazas y [there are] frustraciones generalizadas en torno a los requisitos de higiene de contraseñas».
exceso de confianza
La firma también citó investigaciones (se abre en una pestaña nueva) que encontró que los malos hábitos de contraseñas son explotados rutinariamente por los actores de amenazas, y el 80% de todas las infracciones se logran utilizando identidades que han sido comprometidas.
A pesar de la confianza, la encuesta también encontró descontento entre los profesionales de la nube con respecto a los requisitos de higiene para los sistemas basados en contraseñas. Sus frustraciones se debieron a tener que recordar varias contraseñas (60 %), cambiarlas regularmente (52 %) y elegir cadenas largas y complejas (52 %).
Una cuarta parte usa entre 4 y 5 contraseñas al día y una décima parte usa 10 o más. Más de un tercio de las organizaciones también recomiendan que las contraseñas se cambien trimestralmente, mientras que algo menos de un tercio recomienda cambios mensuales y el 6 % recomienda cambios diarios o semanales. Y a pesar del esfuerzo involucrado, Beyond Identity afirma que tales prácticas resultan en «beneficios de seguridad mínimos».
Aunque el uso de un administrador de contraseñas y el mejor generador de contraseñas pueden mejorar en gran medida estos problemas, el otro problema de seguridad grave con las contraseñas es su vulnerabilidad al phishing. Más de un tercio de los profesionales de la nube dijeron que habían marcado entre uno y tres correos electrónicos de phishing que recibieron, mientras que el 18 % había marcado entre cuatro y seis y cerca de una cuarta parte había marcado siete o más.
Más preocupante fue el hecho de que el 11% dijo que no marcó un correo electrónico de phishing que recibió y una quinta parte no estaba segura de si había hecho clic por error en un enlace malicioso en un correo electrónico. Un quinto también informó que sabía de colegas que habían hecho clic en ellos, y una cuarta parte dijo que ellos mismos habían hecho clic en ellos, y algunos lo hacían regularmente.
En lo que respecta a la autenticación multifactor (MFA), el 82 % de las empresas en la nube la emplearon, siendo el método más popular el uso de una aplicación de autenticación móvil. Más de la mitad también tenían mucha confianza en MFA como medida de seguridad.
Una vez más, sin embargo, Beyond Identity afirma que MFA puede no ser tan seguro como creen los profesionales, refiriéndose a las infracciones sufridas por empresas como Reddit y Uber, donde MFA se vio comprometida.
La solución, entonces, es utilizar sistemas sin contraseña, como claves de paso, que son resistentes al phishing ya que no hay credenciales que buscar. Una clave criptográfica se almacena en el dispositivo de un usuario y se combina con la clave pública del servicio dado para brindar acceso al usuario. Nadie, ni siquiera el usuario, sabe cuál es la clave privada.
“Si desea eliminar el riesgo de una infracción, necesita estos sistemas fundamentales en su lugar. Esta investigación destaca la necesidad crítica de que las organizaciones en la nube actualicen sus sistemas prehistóricos y se centren en la autenticación sin contraseña y MFA resistente al phishing”, dijo Patrick McBride, cofundador de Beyond Identity.