La Crisis de la Contraseña

Tal vez una o más de estas pantallas le resulten familiar. Tienen, por decirlo de modo simple, un denominador común: todas son ventanas para Validar Aplicaciones y que requieren de un UserID y, a lo menos, una contraseña.

Publicado el 31 May 2003

Tal vez una o más de estas pantallas le resulten familiar. Tienen, por decirlo de modo simple, un denominador común: todas son ventanas para Validar Aplicaciones y que requieren de un UserID y, a lo menos, una contraseña.

El uso de la tecnología y la incorporación de ésta al core business de las empresas ha obligado a los desarrolladores de aplicaciones a considerar mecanismos de validación, con el propósito de evitar el acceso no autorizado a la información que manejan los usuarios de estas aplicaciones.

Con ello, se logra mantener algún grado de control sobre la seguridad de la información. Entiéndase por seguridad a los “medios-mecanismos” utilizados para controlar el acceso a los datos de las organizaciones.

No obstante a alcanzar el objetivo de mejorar los niveles de seguridad, lo cierto es que la incorporación de uno o más medios de validación a las aplicaciones hace que los usuarios consuman importantes cantidades de tiempo en sólo ingresar su respectiva identidad y contraseña.

Adicional al consumo de tiempo que los usuarios de tecnologías emplean para validarse, se presenta una segunda problemática que surge como producto de elevar los mecanismos de seguridad. En efecto, importantes recursos deben destinar las empresas en dar atención a los usuarios cuando estos olvidan sus contraseñas o se bloquean los sistemas que utilizan cuando ingresan incorrectamente sus contraseñas.

Según estudios realizados por Gartner Group, las empresas destinan entre US$300 y US$400 anuales por usuario en dar soporte por concepto de cambio de contraseña. De hecho, entre un 70% y 80% de las llamadas que reciben las mesas de ayuda por problemas relacionados con contraseñas corresponden a passwords olvidadas. Esto se traduce en considerables costos ocultos para las empresas.

Para resumir, los problemas típicos de los usuarios en las empresas son:

• En empresas medianas a grandes, entre 6 y 10 sistemas requieren contraseña.• Utilización de contraseñas previsibles, como nombre de familiares, mascotas, etc.• Los usuarios no contribuyen, en su mayoría, con las políticas de seguridad que las empresas definen, como cambiar sus passwords cada 30 días o aceptar que sus contraseñas deben ser de 7 o más caracteres.• El tiempo estimado que anualmente utiliza un usuario en validarse a sus aplicaciones asciende de 25 a 45 horas.

Básicamente, utilizando la tecnología. Aunque existen algunas opciones, la que resulta más interesante de revisar es la solución conocida como SecureLogin ©. Esta es bastante simple y muy transparente para los usuarios.

Una consideración importante en la solución es “¿de qué manera se establece el control sobre esta solución, de modo de simplificar la administración?”.

Su base tecnológica radica en el uso de un Directorio, eDirectory ©, que sirve para identificar a los usuarios, el que a su vez actúa como repositorio para almacenar las contraseñas que utilizan para sus diversas aplicaciones.

Señalamos anteriormente que la base de esta efectiva solución es eDirec-tory, el Servicio de Directorio por excelencia. Es en este MetaDirec-torio donde se establece todo el control de la solución con SecureLogin, es decir, en él están los usuarios, las contraseñas (encrip-tadas), la base para establecer las políticas de seguridad corporativas y, por su naturaleza, puede administrarse centrali-zadamente.

Finalmente, se requiere de componentes de software en la estación de trabajo del usuario, por ejemplo, un agente capaz de conectar lógicamente o “interfacear” la estación de trabajo con eDirectory y el agente de SecureLogin, capaz de identificar aplicaciones y realizar la función de “ir a buscar” las credenciales del usuario validado por única vez en eDirectory para proporcionarlas, automáticamente, a las respectivas aplicaciones.

Este simple mecanismo funciona mediante el reconocimiento de las ventanas de cada aplicación en que se requiere que los usuarios ingresen su identidad (y contraseña.) Una vez que éstas son provistas, la siguiente vez que el usuario enfrente el proceso de validación, será el agente de SecureLogin quién proporcionará la información evitando así que el usuario digite los datos requeridos. Ello redunda en dos importantes beneficios: ahorro de tiempo cada vez que haya que validarse y la garantía que no habrá un error de digitación.

Mayor información solicitar a Asesorías ADL Ltda. a casilla@adl.cl o al fono 4417771.

Junio de 2003

¿Qué te ha parecido este artículo?

¡Síguenos en nuestras redes sociales!

Redacción

Artículos relacionados

Artículo 1 de 3