El ser humano tiene grandes arraigos por sus costumbres y hábitos, y el aspecto tecnológico no es la excepción. Estamos acostumbrados a ingresar a diferentes sistemas con nuestras credenciales que básicamente son un usuario y una contraseña.
Precisamente este conocimiento de las personas sobre el funcionamiento de la autenticación mediante credenciales, es lo que ha permitido que se mantenga vigente en el tiempo. No obstante, a nivel de seguridad, operación y mantenimiento este proceso presenta grandes riesgos y desafíos para los equipos de tecnología, y los sistemas de información en las organizaciones.
Ampliemos un poco lo referente a los riesgos y desafíos. No es un secreto que la mayoría de personas usa contraseñas débiles, que son muy fáciles de obtener. Esto representa un primer riesgo en la seguridad de acceso al sistema de información.
Por esta razón, los equipos de tecnología establecen políticas para que lo usuarios cambien sus contraseñas con regularidad y fijan criterios que se deben cumplir para generar contraseñas más fuertes (longitud, inclusión de caracteres alfanuméricos, uso de mayúsculas y minúsculas, entre otros).
En el mismo sentido: ¿qué ocurre cuando un usuario no cambió su contraseña tal como se estableció en la política de seguridad? ¿o qué sucede si el usuario cambió su contraseña un viernes al finalizar la jornada, se tomó un fin de semana con día feriado y retorna al siguiente día laboral intentando autenticarse varias veces con contraseña anterior? En ambos escenarios lo más probable es que su cuenta sea bloqueada por seguridad.
Este será un momento de dolor para el usuario que seguramente tendrá la necesidad de ingresar a su equipo o sistema a realizar sus actividades cotidianas. Todas sus tareas se retrasaran hasta que solucione el problema por los medios que tenga definidos: hacer una llamada al helpdesk, enviar un correo o crear un caso en la herramienta de gestión de servicios de la organización. Estas dos últimas alternativas se pueden convertir en una tarea difícil de lograr si por ejemplo, no puede iniciar sesión en su equipo.
En ese momento de la operación del día a día cobra sentido tener alternativas para que el mismo usuario pueda realizar autoservicio y resuelva rápidamente su bloqueo, obteniendo mayor productividad y liberando la carga del equipo de TI. El autoservicio es útil para resolver solicitudes frecuentes y sencillas, pero que demandan recursos y tiempo.
La misma herramienta que brinda las capacidades de autoservicio ayuda a la organización y los usuarios en muchos otros aspectos. Puede enviar notificaciones de vencimiento para (de forma proactiva) evitar bloqueos de cuentas por no realizar el cambio de contraseña.
También el administrador puede crear un políticas de reforzamiento de contraseñas con más parámetros (lo que brinda más seguridad) y puede mostrar estas reglas al usuario para que los utilice al hacer uso del autoservicio de restablecimiento de contraseña.
Para mejorar la seguridad aparece un concepto llamado MFA (Múltiple factor de autenticación) que agrega una capa adicional al proceso de autenticación. Escribo mis credenciales, pero requiero otra validación (un token, un código enviado vía SMS o mail, mis huellas dactilares, etc.).
La evolución nos lleva al passwordless o autenticación sin contraseña, que consiste en poder controlar el acceso a los sistemas de información o a la red corporativa de la organización sin usar las tradicionales credenciales.
Las tendencias para la gestión de identidades y de autenticación seguirán cambiando en la medida en que las necesidades de las compañías y usuarios muten. En la actualidad, herramientas como ADSelfService Plus, facilitan el restablecimiento de contraseñas por autoservicio.
Sin embargo, la nueva normalidad, el trabajo híbrido y la migración a la nube seguirán moldeando las nuevas funcionalidades tecnológicas para desarrollar sistemas de autenticación cada vez más seguros y eficientes.