Per Douglas Wagner,
Responsable tècnic de Ciberseguretat
Llarga vida de la contrasenya
A la Bíblia, i més concretament al capítol 12 del Llibre dels Jutges de l’antic testament, es descriu l’ús de la contrasenya “shibboleth” pels galaadites per distingir-se dels seus enemics efraïmites. Més recentment, a l’època romana, el tesserarius era l’oficial de cada unitat militar que fixava diàriament una nova contrasenya que utilitzaven els soldats romans per facilitar els seus moviments a la zona.
Així que, a l’antiguitat, si un sabia la contrasenya, s’identificava la persona com un camarada legítim i, alhora, autentificava aquesta identificació, en saber la contrasenya actual del dia (en el cas dels romans) o en pronunciar-la correctament (en el cas dels galaadites).
Hi ha molts més exemples al llarg de la història de com s’han identificat i autenticat les persones en situacions d’accés o pas restringit. Un cop establert el mecanisme, en general no calia modificar-lo, i en molts casos podrien passar anys abans d’haver de canviar aquest mecanisme en trobar-lo feble o compromès. Això és perquè en una situació on aquesta comprovació es realitza entre dues persones cara a cara, és complicat repetir i repetir el procés fins a encertar la contrasenya, sense aixecar les sospites i el rebuig de qui fa la comprovació.
No obstant això, en temps moderns digitals, la utilització de contrasenyes no és entre dues persones, sinó entre una persona i un entorn informàtic, o fins i tot entre dos entorns informàtics. A més, el “mecanisme” d’autenticació de la contrasenya d’un usuari s’ha convertit en molts casos en un algorisme matemàtic, on un ordinador amb prou capacitat i temps podria esbrinar una contrasenya en cada cop menys temps, gràcies a la “Llei de Moore ” que observa que els processadors informàtics dupliquen la seva capacitat cada dos anys.
Com actuar davant dels riscos associats a l’accés amb contrasenya
Ja no hi ha prou només tenir una Política de Seguretat que exigeixi regles complexes de composició de contrasenyes (p.ex. un nombre cada vegada més gran de caràcters; una barreja de caràcters alfanumèrics i de caràcters especials; lletres majúscules i minúscules; contrasenyes no fàcilment endevinables ni repetits; etc.); ni que es canviïn cada cop més freqüentment.
Ha mort la contrasenya? No, encara és molt útil per autenticar l’usuari d’un sistema informàtic; no obstant això, mitjançant un Anàlisi de riscos per a la informació, hauríem d’avaluar si hi pot haver un motiu perquè un actor malèvol intenti accedir a un entorn informàtic i a més disposi dels mitjans per forçar aquest accés, sobretot mitjançant “atacs de força bruta”.
D’allà, l’organització en pot identificar les mesures preventives que redueixen aquests riscos. Sovint, aquestes mesures són de naturalesa tecnològica, com, per exemple, una cosa senzilla com limitar el nombre d’intents de connexió, o, una mica més complexa com utilitzar un servei Ciber SOC per identificar esdeveniments de seguretat crítics incloent atacs massius, i les mesures reactives a prendre.
Autenticació més enllà de les contrasenyes
Si bé el grau de seguretat que ofereix l’ús de contrasenyes ha estat afectat negativament per l’evolució de les amenaces als nostres sistemes i la capacitat creixent d’actors malèvols d’atacar-nos, el concepte bàsic darrere de l’ús de contrasenyes continua vigent: per permetre l’accés a informació o un entorn restringit, cal identificar qui vol entrar, i autenticar que sigui qui diu que és. En aquells casos on una simple contrasenya no ens dóna prou confiança en aquest procés, hem de cercar altres mecanismes alternatius o complementaris per assolir aquesta confiança.
Per exemple, si busquem un objectiu físic (com un telèfon mòbil) o digital (com un token) que només pot tenir la persona que vol accedir al nostre sistema informàtic, podem tenir la confiança que no és un hacker a l’altra banda del món que està intentant accedir a la nostra informació.
A més, si la contrasenya o una part de la mateixa es genera sobre la marxa, es pot lliurar de manera segura a l’usuari, i aquesta dura només segons o pocs minuts, també podem reforçar i donar confiança al procés d’identificació i autenticació de l’usuari.
Aquests mecanismes es coneixen com a Autenticació Multifactorial (MFA per les sigles en anglès) o d’autenticació forta/robusta (strong authentication) i ens proporcionen un nivell de més seguretat en entorns on hi ha un risc elevat d’intents d’accés no autoritzats.
La Història es repeteix, però es millora
Per concloure, el Dia Internacional de la Contrasenya ens pot suscitar diferents reflexions sobre el seu ús:
- Serveixen per alguna cosa les contrasenyes?: sí, serveixen i molt, el propòsit de validar els usuaris que es connecten a un sistema. Com a usuaris hem de realitzar una bona gestió de les nostres contrasenyes, complint amb les nostres polítiques de seguretat i, protegint les contrasenyes perquè no es desvetllin.
- S’estan desfasant a causa de les capacitats tecnològiques dels atacants?: en part és veritat, i segons el grau de risc que pateixen els nostres sistemes, ens podem trobar amb la necessitat d’introduir altres mecanismes complementaris a la validació d’usuaris. No obstant això, amb mecanismes més o menys complets, sempre es tracta d’identificar i autenticar l’usuari.
Des d’ABAST som conscients que la gestió d’accessos i identitats és una de les àrees de més preocupació per a les empreses a causa dels riscos de seguretat creixents. Per abordar aquests desafiaments, oferim des de la nostra àrea de Ciberseguretat diverses solucions i serveis per assegurar els accessos i evitar bretxes de seguretat degut a la suplantació d’identitats, des de la revisió o definició de polítiques a la implantació de solucions específiques.
Per exemple, podem ajudar en el desplegament de solucions que permetin implementar una política de Zero Trust, basada en la premissa que no cal confiar en cap usuari o dispositiu per defecte. Per a aquest objectiu podem fer servir tecnologies com l’esmentada d’autenticació multifactorial (MFA), la segmentació de xarxa i solucions específiques de gestió d’identitats i accessos (IAM). D’altra banda, combinar la gestió d’accés a aplicacions amb l’Azure AD facilita la gestió centralitzada de les identitats dels usuaris i els permisos d’accés als recursos de l’empresa. També proporcionar als usuaris un inici de sessió únic (SSO) redueix el risc que s’utilitzin contrasenyes febles o que es comparteixin credencials. Finalment, com també hem comentat, hi ha solucions i serveis que poden detectar comportaments anòmals i alertar l’equip de seguretat perquè pugui investigar i mitigar l’incident, i que són solucions i serveis que també podem oferir des d’ABAST.
La implementació de solucions de seguretat adequades pot marcar una gran diferència en l’eficàcia i l’eficiència de les operacions de seguretat de l’empresa.
