En lo que va de 2022 se confirma que las contraseñas aún no están muertas. Tampoco lo serán en el corto plazo. Aunque Microsoft y Apple defienden los métodos de autenticación sin contraseña, la mayoría de las aplicaciones y los sitios web no eliminarán esta opción durante mucho tiempo.
Piénselo, es posible que las aplicaciones internas que no desea integrar con proveedores de identidad de terceros, servicios gubernamentales, aplicaciones heredadas e incluso proveedores de SaaS no deseen invertir en nuevas integraciones o restringir sus métodos de autenticación existentes. Después de todo, las empresas en línea están interesadas en la tracción del usuario, y la seguridad generalmente genera fricciones. Por ejemplo, hace unos días, Kickstarter envió millones de restablecimientos de contraseña correos electrónicos «simplificando su proceso de inicio de sesión», incluso para las personas que usaron el inicio de sesión social sin contraseña.
Aunque es posible que pueda eliminar las contraseñas de muchos componentes empresariales, una gran parte de los proveedores externos, los portales gubernamentales, los proveedores comerciales y los servicios SaaS seguirán dependiendo principalmente de las cuentas basadas en contraseñas. No es de extrañar que Gartner crea que el riesgo de la cadena de suministro digital es uno de los mayores desafíos de 2022.
Siempre que cualquier parte de su infraestructura o huella en la nube use contraseñas, en última instancia, se convertirán en el vector de ataque económico y fácil que también conducirá al 80% de las infracciones en 2022.
¿Por qué las contraseñas son difíciles de proteger?
La mayoría de las organizaciones no supervisan en absoluto el uso de contraseñas en línea. No existe una política obvia para evitar la reutilización de contraseñas LDAP (Active Directory) corporativas en servicios en línea, o compartir las mismas contraseñas en varias cuentas web. Los administradores de contraseñas son opcionales y rara vez están disponibles o se usan en todos los empleados y cuentas porque es una sobrecarga para la productividad de la mayoría de los trabajadores que no son de TI.
Una vez que las contraseñas de las cuentas importantes se reutilizan en los servicios en línea, o se guardan y sincronizan en los navegadores, no se sabe cómo ni dónde se almacenan. Y cuando se violan, las contraseñas filtradas darán lugar a tomas de control de cuentas, relleno de credenciales, compromiso de correo electrónico comercial y varios otros vectores de ataque desagradables.
Este fue exactamente el caso recientemente con Cisco, que se violó usando una contraseña VPN guardada que se sincronizó entre navegadores, según los informes. Aunque MFA también debía verse comprometida en el proceso, solo tiene sentido proteger todos los factores involucrados en nuestro proceso de autenticación.
Para empeorar las cosas, con todos los datos sociales públicos para la correlación, la reutilización de contraseñas en cuentas personales (usar correos electrónicos privados con contraseñas corporativas) también puede ser una vulnerabilidad devastadora y no supervisada. Después de todo, la gente no son demasiado creativos en encontrar sus contraseñas.
Entonces, ¿cómo evitar filtraciones de contraseñas y dejar de preocuparse por las amenazas relacionadas con contraseñas?
Afortunadamente, hay una cura. La mayoría de las cuentas basadas en la web se crean individualmente y forman una gran parte de su huella de TI en la sombra, por lo que la educación sin duda debe ser parte de ella. Pero la única solución difícil es verificar rigurosamente la higiene de las contraseñas en todas las cuentas que se crean y usan en línea.
El navegador es el único punto en el proceso de uso de la contraseña, donde se puede lograr la visibilidad del texto claro. Es su aplicación número uno que proporciona la puerta de entrada a casi todos los servicios y recursos internos y externos, y la mayor brecha no supervisada para defender sus cuentas.
Scirge usa una extensión de navegador como componente de punto final que sea transparente para los empleados. Proporciona verificaciones de higiene de contraseñas personalizables sin ninguna acción del usuario. Esto da como resultado que se verifique que todas las contraseñas tengan suficiente complejidad y seguridad. Además, su hash seguro se usa para comparar cada contraseña para reutilizarla, compartirla e incluso con listas negras personalizadas o contraseñas violadas conocidas.
¿Reutilizar su contraseña AD/LDAP en línea? Entendido. ¿Utiliza sus contraseñas corporativas seguras para una cuenta privada? Scirge puede ver eso.
Scirge le permite monitorear cuentas corporativas e incluso la reutilización de contraseñas privadas en función de políticas granulares administradas de forma centralizada, sin comprometer los datos de PII. Todos los hashes e indicadores de contraseña se almacenan en su servidor en el sitio del que usted tiene el 100% de control. Más de 25 indicadores revelan cuentas y empleados riesgosos con poca higiene de contraseñas y permiten notificaciones educativas altamente específicas y personalizadas.
Además de todo, Scirge crea inventarios personales de todos los usos de aplicaciones y cuentas, proporcionando visibilidad de las cuentas de ex empleados a las que podrían acceder incluso después de irse. Se puede identificar el uso de correo electrónico de servicio o de privilegios elevados para mitigar los intentos de phishing selectivo. Scirge también puede recopilar cuentas guardadas en el navegador y detectar amenazas internas. Alguien que usa cuentas que pertenecen a otros en la organización es inmediatamente detectado por motivos de cumplimiento, segregación de funciones y otros fines de seguridad.
¿Tienes curiosidad por saber más? clic aquí para saber máso Regístrese para una evaluación gratuita aquí.