23 d’agost de 2023
És el final de les contrasenyes? El nou enfocament IAM/CIAM
El món digital actual s'enfronta a problemes d'autenticació complexos que no poden continuar sent abordats mitjançant tècniques del passat com és el cas de l'ús de credencials basades en un nom d'usuari i una contrasenya.
Ha arribat el moment de deixar pas a nous mecanismes d'autenticació i parlar de la gestió d'identitats i l'autorització, és a dir, de CIAM.
Les contrasenyes són des de fa molt de temps un component essencial en l'àmbit de la seguretat moderna.
- La primera contrasenya digital. El 1961, el professor de ciències de la computació del MIT, Fernando Corbato, va crear la primera contrasenya digital per solucionar l'accés concurrent d'usuaris a l'ordinador de temps compartit que havia creat. Cada usuari necessitava accedir de manera privada als terminals. La solució? Proporcionar a cada usuari una contrasenya.
- Sobrecàrrega de contrasenyes. Avui en dia hi ha contrasenyes per a gairebé tot. Cadascun de nosaltres tenim de mitjana més de 100 contrasenyes i sovint les compartim amb familiars, amics o companys de feina (Netflix, us sona?). Intentar recordar-les totes pot ser esgotador.
Però siguem sincers, les contrasenyes són una nosa.
Un consens creixent
No és una opinió minoritària, sinó una perspectiva compartida per la gran majoria dels professionals de IT. El 2020, una enquesta de LastPass va revelar que el 95% dels professionals de IT creuen que les contrasenyes representen un risc de seguretat per a la seva organització.
Van destacar diverses males pràctiques, que van des de l'ús de contrasenyes poc fortes i la reutilització d'aquestes, fins a la falta de modificació de les credencials predeterminades en aplicacions i dispositius. Quants de vosaltres heu canviat la contrasenya del router que us va donar la vostra companyia telefònica?
Això no s'ha d'interpretar com un atac a la deixadesa dels usuaris; simplement hem d'assumir que els usuaris busquen la senzillesa:
- Les contrasenyes curtes són més fàcils de recordar, però també més senzilles d'endevinar.
- Les contrasenyes més llargues són més difícils de desxifrar, però també més difícils de recordar.
- Fins i tot la contrasenya més complexa i única ideada per un usuari manca de valor si una empresa no emmagatzema correctament les credencials.
Els principals atacs contra contrasenyes de l'actualitat
Aprofitant-se d'aquestes debilitats, aquestes són algunes de les tàctiques utilitzades pels malfactors per comprometre la seguretat de les nostres credencials.
- Phishing: una de les tècniques de robatori de contrasenyes més comunes en l'actualitat. Fa ús de tècniques d'enginyeria social, el seu èxit es basa en enganyar la víctima perquè reveli informació confidencial.
- Enginyeria social: aquest terme generalment es refereix al procés d'enganyar els usuaris perquè creguin que el hacker és un agent legítim, es basa en la manipulació psicològica de les persones perquè realitzin accions o divulguin informació confidencial.
- Atac de força bruta: aglutina diferents mètodes de pirateria basats en endevinar contrasenyes per accedir a un sistema. La majoria d'aquests atacs empren algun tipus de processament automatitzat, cosa que permet provar grans quantitats de contrasenyes en un sistema.
- Atac de diccionari: és un exemple una mica més sofisticat d'un atac de força bruta. Utilitza un procés automatitzat d'intents d'accés a un sistema que es nodreix d'una llista amb les contrasenyes i frases d'accés més comunes. Aquest diccionari de contrasenyes sol provenir de hacks anteriors, també sol contenir les contrasenyes més comunament utilitzades.
- Atac de taula arc de Sant Martí: cada vegada que s'emmagatzema una contrasenya en un sistema, generalment es xifra mitjançant un hash, cosa que fa impossible determinar la contrasenya original sense el hash corresponent. Per eludir això, els pirates informàtics mantenen i comparteixen directoris que registren contrasenyes i els seus hashes corresponents, sovint creats a partir d'atacs anteriors, cosa que redueix el temps que porta ingressar a un sistema. S'usa en atacs de força bruta.
Conclusió
L'autenticació tradicional mitjançant un nom d'usuari i una contrasenya ha estat la base de la identitat i la seguretat digital durant més de 50 anys. Avui dia, amb l'augment exponencial de comptes d'usuari, aquest mecanisme s'enfronta a nous problemes, com ara la gestió correcta de les credencials per part dels usuaris, els costos de suport i, el que és més important, els riscos de seguretat que plantegen les credencials compromeses.
Ha arribat el moment de començar a parlar de la gestió d'identitats i autorització, és a dir, parlar de CIAM, els principals beneficis del qual són:
- Aprovisionament automàtic de comptes d'usuari
- Gestió de fluxos de treball i autoservei
- Gestió de contrasenyes
- Inici de sessió únic (SSO)
- Control d'accés basat en rols (RBAC) / Governança d'accés
- Auditoria i Compliment
Descobreix com el CIAM pot donar suport a iniciatives que generin ingressos per al teu negoci, o posa't en contacte per obtenir més informació sobre com Okta pot donar suport a la teva organització.
Share
Jefe de proyecto
