Las contraseñas pueden desaparecer antes de lo que piensas

ed. nota: Este es el último de la serie de artículos, Ciberseguridad: consejos desde las trincheras, por nuestros amigos de Empresas Senseiun proveedor boutique de servicios de TI, ciberseguridad y análisis forense digital.

Los abogados odian las contraseñas

Los abogados han odiado las contraseñas desde que aparecieron por primera vez. Se resistieron a tenerlos hasta que su empleador (o compañía de ciberseguros) los obligó. Luego construyeron contraseñas simples y demasiado cortas, 123456 y similares, fáciles de adivinar o descifrar. Usaron los nombres de sus mascotas, sus hijos, sus equipos deportivos favoritos, and many others. Se prepararon para el fracaso en cada punto.

Dejaron notas Submit-It en sus monitores, debajo de los teclados y en los cajones de sus escritorios. Reutilizaron sus contraseñas en todo Web. Compartieron sus contraseñas con colegas de sus bufetes de abogados. Incluso aquellos que aceptaron, después de mucho rechinar de dientes, usar un administrador de contraseñas, los odiaron, y aún así reutilizaron y compartieron contraseñas.

La miseria de las violaciones de datos también es un argumento convincente para deshacerse de las contraseñas. Según el Informe de investigaciones de violación de datos de 2022 de Verizon, el 61% de todas las violaciones se rastrearon hasta credenciales comprometidas. Mix esa estadística con la estimación de IBM de que el costo promedio de un ataque de phishing exitoso fue de aproximadamente $ 4.9 millones en 2022 y las malas noticias para su empresa están en el horizonte.

Llegó la IA para facilitar el descifrado de contraseñas

En este punto, la IA puede descifrar la mayoría de las contraseñas en menos de un minuto. Las contraseñas de siete letras se pueden descifrar en menos de seis minutos a pesar de tener números, letras mayúsculas y minúsculas y símbolos. Si todavía usa contraseñas en su bufete de abogados, debe tener contraseñas de al menos 15 caracteres y hacer obligatorio el uso de letras mayúsculas y minúsculas, números y símbolos.

La fatiga de la seguridad es actual y, en la period de la autenticación obligatoria de dos factores, está empeorando. Pero espere, hay un movimiento creciente para deshacerse de las contraseñas para siempre.

Sin contraseña

No nos quedaremos sin contraseña de la noche a la mañana, pero está en el horizonte y los abogados deberían aceptarla. Se produjo un gran revuelo en mayo de 2023 cuando Google comenzó a permitirle iniciar sesión en los sitios internet de Google utilizando claves de acceso.

Ha tardado mucho en llegar, pero Apple, Microsoft, Google y otros han estado trabajando para no usar contraseñas usando claves de acceso en lugar de contraseñas. Las claves de acceso suelen utilizar datos biométricos: las huellas dactilares o el reconocimiento facial son los más comunes.

Google ya contaba con soporte de clave de acceso para su teléfono Android y navegador Chrome, pero se han agregado sitios internet de Google. ¿No convencido? Ningún problema. En un movimiento muy inteligente, Google hizo que sus claves de acceso funcionaran, pero retuvo su capacidad de usar otros métodos de inicio de sesión para que pueda realizar una prueba de manejo y asegurarse de que esta nueva tecnología es excelente, y lo es.

En última instancia, verá desaparecer las contraseñas a medida que más sistemas admitan claves de paso. No todo a la vez, pero cuando suficientes personas hayan visto lo fácil que es usar claves de acceso y comprendan el aumento monumental de la seguridad, los días de las contraseñas estarán contados.

Los bufetes de abogados se están calentando a Passwordless

Los bufetes de abogados han comenzado a sentirse cómodos con los estándares criptográficos que subyacen a las claves de paso. Los bufetes de abogados están plagados de violaciones de datos, en explicit esos molestos correos electrónicos/textos de phishing que intentan que comparta sus credenciales u otra información confidencial.

Las empresas están especialmente encantadas de que algunos administradores de contraseñas (como Dashlane) puedan almacenar claves de acceso; Dashlane incluso le permite iniciar sesión con una clave de acceso en lugar de una contraseña. ¡Hurra! Otros administradores de contraseñas están siguiendo su ejemplo.

Otra ventaja es que las claves de acceso son bastante fáciles de entender. Su teléfono o computadora portátil crea una clave criptográfica privada y única que está vinculada al dispositivo. En el caso de Google, su cuenta emitirá un “desafío digital” que la clave de paso puede firmar, desbloqueando el acceso. Luego, solo necesita un escaneo de huellas dactilares o un PIN de bloqueo de pantalla para asegurarse de que es usted quien está iniciando sesión. Un punto a tener en cuenta es que la clave de paso permanece en el dispositivo y no se transmite como parte del proceso de autenticación. En otras palabras, no se envía a Google.

Probemos otra forma de pensar acerca de las claves de paso. Inicia sesión en su dispositivo como siempre lo ha hecho, utilizando un PIN o datos biométricos (reconocimiento facial o de huellas dactilares). Configuras tus cuentas para que confíen en tu computadora o teléfono. Esto es lo que lo hace tan seguro. Un ciberdelincuente tendría que poseer físicamente su dispositivo Y tener una forma de iniciar sesión en él.

¿Qué pasa si pierdes tu teléfono? Buena pregunta. Su clave de acceso se puede almacenar de forma segura en la nube con los demás datos de su teléfono, que (sin duda lo habrá adivinado) se pueden restaurar en un teléfono nuevo.

Los malos son burlados y los buenos tienen un medio más easy de acceso seguro. Ahora que es un ganar-ganar para el abogado y el bufete de abogados.

Ultimas palabras

Hay una razón por la que puedes ir a Amazon y comprar una camiseta que diga “Odio las contraseñas”.

Sharon D. Nelson (snelson@senseient.com) es abogada en ejercicio y presidenta de Sensei Enterprises, Inc. Fue presidenta del Colegio de Abogados del Estado de Virginia, el Colegio de Abogados de Fairfax y la Fundación Authorized de Fairfax. Es coautora de 18 libros publicados por la ABA.

John W. Simek (jsimek@senseient.com) es vicepresidente de Sensei Enterprises, Inc. Es un profesional certificado en seguridad de sistemas de información (CISSP), un hacker ético certificado (CEH) y un experto reconocido a nivel nacional en el área de análisis forense digital. . Él y Sharon brindan tecnología authorized, seguridad cibernética y servicios forenses digitales desde su firma de Fairfax, Virginia.

Michael C. Maschke (mmaschke@senseient.com) es el CEO/Director de ciberseguridad y análisis forense digital de Sensei Enterprises, Inc. Es examinador certificado de EnCase, examinador informático certificado (CCE n.º 744), hacker ético certificado y un examinador certificado de AccessData. También es un profesional certificado en seguridad de sistemas de información.