Uno de los aspectos del ámbito de la administración de la identidad y el acceso sobre el que siempre me he preguntado es la diferencia entre las contraseñas y los PIN
¿Qué es una contraseña?. Las contraseñas siguen siendo el método más común para autenticar una cuenta. Una contraseña es lo que se conoce como un secreto compartido , que es información conocida solo por aquellos involucrados en una comunicación; Sirve para demostrar a una parte que la otra es quien dicen ser. Las contraseñas son el método más tradicional de protección de cuentas.
Sin embargo, las contraseñas apestan, para decirlo sin rodeos. Gracias a las equivocadas reglas de complejidad recomendadas en 2003 por NIST (algo de lo que trabajaron para rechazarlas en 2017 ), las contraseñas pueden ser difíciles de recordar para la mayoría de las personas a la vez que son lo suficientemente fáciles de descifrar. Esto ni siquiera tiene en cuenta que muchas personas simplemente reutilizan las contraseñas en múltiples sitios o utilizan las que se adivinan fácilmente. Por ejemplo, Troy Hunt, creador de Pwned Password, escribió acerca de cómo el 86% de las contraseñas utilizadas en un sitio aparecían en su base de datos de contraseñas robadas a través de violaciones de datos, ¡sin duda lo que hace la vida más fácil para los atacantes!
¿Qué es un PIN?
Entonces, las contraseñas no son excelentes para mantener las cuentas protegidas, pero ¿en qué se diferencian los PIN? Si bien un PIN puede parecer lo mismo que una contraseña cuando lo piensas por primera vez (ambos son algo que los usuarios deben recordar), tienen un propósito diferente.
Los PIN no son lo mismo que las contraseñas porque generalmente están vinculados a los dispositivos que usa. (En un momento raro, puede crear un PIN para una aplicación web, tuve que crear uno para Verizon), pero en general son para la autenticación local.)
Y ahí radica la diferencia entre los PIN y las contraseñas: la autenticación local frente a la autenticación remota. Utiliza un PIN para desbloquear su dispositivo, pero rara vez usa una contraseña para hacerlo. Los PIN son mucho más cortos que las contraseñas (generalmente de 4 a 6 caracteres en comparación con más de ocho), aunque es posible hacerlo más largo, si lo desea.
Autenticación local vs remota
Necesitamos discutir de qué trata realmente esta conversación entre PIN y contraseñas: autenticación local frente a autenticación remota. Porque, después de todo, una contraseña verificada de forma remota podría ser corta (si está permitida) y ser similar a un PIN, mientras que podría crear un PIN alfanumérico que sea largo y complejo.
Pero muchas veces, especialmente con dispositivos móviles, el cifrado de dispositivos locales utiliza secretos más cortos y memorizados. Mientras tanto, la autenticación remota implica el uso de un proveedor o directorio de identidad, que requiere el uso de la contraseña y la mayoría de las personas llaman a uno un PIN y el otro una contraseña.
La clave es entender lo que está haciendo: uno desencripta un dispositivo o lo autentica en un sistema local, mientras que el otro es autenticar a través de un servicio de IdP remoto. El modelo de amenaza para el dispositivo significa que un PIN más corto y menos complejo está bien, mientras que el servidor remoto significa que desea más complejidad. (Pero, de nuevo, ¡de todos modos quieres algo más que una contraseña !)
¿Cómo manejan los PIN de Microsoft, Apple y Android?
Microsoft recomienda a los usuarios crear un PIN para iniciar sesión en cualquier dispositivo a través de Windows 10 Hello, junto con el uso de la biométrica del dispositivo. El PIN está vinculado a un dispositivo específico (se le solicita que haga uno único para cada dispositivo ya que el PIN no se comparte) y sigue siendo local, lo que reduce el potencial de violación si alguien descubre la contraseña de un usuario.
La mayoría de los teléfonos inteligentes hacen que los usuarios creen un PIN (junto con la biométrica, si es posible) para desbloquear sus dispositivos. La longitud más corta hace que su PIN sea más fácil de descifrar que una contraseña debido a las opciones de combinación más limitadas (la mayoría de los números de uso, aunque con Windows Hello puede tener cualquier carácter). A primera vista, esto hace que los PIN parezcan menos seguros debido a su menor longitud y, por lo tanto, menos posibilidades de combinación (cuando se limita a números, es decir). Pero ese no es un problema tan grande ya que el PIN sigue siendo local, lo que significa que los atacantes necesitan acceso físico a su dispositivo. Además, la mayoría de los dispositivos limitan la cantidad de veces que uno puede adivinar su PIN antes de tomar una acción, lo que reduce la efectividad de un ataque de fuerza bruta.
Apple usa un PIN (aunque lo llaman código de acceso) para actuar como método de autenticación inicial antes de agregar datos biométricos para dispositivos iOS. Desde Configuración> ID de cara y Código de acceso, los usuarios pueden configurar un dispositivo iOS para eliminar todos los datos después de 10 intentos fallidos, lo que hace que un ataque de fuerza bruta en el dispositivo sea increíblemente difícil. (Ahora, si lo tienen a usted y al dispositivo, todo lo que necesitan es una llave barata ). Además, Apple implementó retrasos de tiempo entre múltiples inicios de sesión fallidos, que puede conocer en la Guía de seguridad de iOS [PDF] .
Android se refiere al método de autenticación local como una contraseña (o un patrón), que se maneja a través de Gatekeeper . El usuario crea un secreto compartido entre ellos y el entorno de ejecución de confianza. Al igual que iOS, Android puede ralentizar los ataques de fuerza bruta estableciendo un tiempo de espera después de varios intentos fallidos de inicio de sesión.
Fecha actualización el 2021-07-24. Fecha publicación el 2019-07-24. Categoría: passwords Autor: Oscar olg Mapa del sitio Fuente: brianmadden Version movil