La fatiga de contraseñas se conoce en inglés como Credential Fatigue y sucede cuando hay un exceso de métodos de acceso, normalmente nombres de usuario y contraseñas que las personas deben de recordar para muchas aplicaciones de su trabajo.
Así, por ejemplo, se usa un método para acceder a su computadora, otro para los sistemas administrativos, otro para el acceso a la banca y así sucesivamente.
El resultado es que las personas terminan por desgastarse en tener que estar al pendiente de tantas formas de acceso, lo cual provoca muchas veces frustración y como consecuencia muy malas prácticas que pueden provocar problemas de seguridad.
Impacto en las personas
Así podemos ver que, desde un enfoque de las personas, la fatiga de contraseñas provoca frustración y estrés al tener que estar recordando tantos medios de acceso, que en momentos de mucha presión pueden provocar inclusive que no se recuerde una contraseña o nombre de usuario, lo cual tiene como consecuencia una pérdida en la productividad, por tener que dejar de hacer el trabajo para iniciar un proceso de recuperación de accesos, resetear la cuenta o pedir ayuda al área de sistemas para resolver el problema y esto al repetirse tiende a motivar acciones muy inseguras, como anotar las contraseñas, o hacerlas muy elementales o fáciles de averiguar.
Finalmente, todo esto provoca un desgaste en la usabilidad de la tecnología, porque para hacer un trabajo, se tiene que pensar más en cómo acceder a los sistemas en vez de profundizar en cómo usarlos mejor.
Impacto en el negocio
Al saberse que una empresa tiene este tipo de fatiga, se puede anticipar que está en un riesgo más alto de seguridad, precisamente porque será más fácil robar o adivinar las contraseñas de sus internos.
Peor aún es que puede incurrirse en un incumplimiento normativo, ya sea en fallar en diversos tipos de auditorías o de mal manejo de datos confidenciales.
Es común que no se cuantifique el gasto de estar teniendo que acudir a las áreas de soporte técnico para resetear contraseñas, lo cual implica que una persona especializada deje de hacer algo de mas valor para estar resolviendo situaciones que no deberían de tener problema.
¿Por qué sucede la fatiga de contraseñas?
Casi siempre, el problema fundamental es la no integración entre los diferentes sistemas, donde cada uno tiene su propio método de acceso.
Esto permite anticipar que esa empresa no tiene una estrategia integral de gestión de identidad de acceso, que es una práctica de ciberseguridad que garantiza que las personas adecuadas tengan el acceso correcto a los datos y recursos de una organización, y que los no autorizados sean bloqueados, esto solo una vez, y con validez para todo lo que se tenga que usar.
En vez de esto, es “cómodo” responsabilizar a las personas sin ofrecer soluciones prácticas que mejoren su experiencia digital.
¿Cómo evitar la fatiga de contraseñas?
Hay varias opciones tales como:
- Empleo de single sign on: Se establece una contraseña única muy robusta y con ella ya no sea necesario volverse a firmar en ninguna de las aplicaciones que tiene permitidas usar esa persona
- Autentificación multifactorial: Da un segundo nivel de seguridad a una contraseña, típicamente mandando un correo a la persona con una clave temporal adicional
- Biometría: Consiste en servicios que identifican el iris, huella o cara de la persona que pide el acceso
- Llaves físicas: Son dispositivos similares a una memoria USB que deben de ingresarse a la computadora para identificar de forma única a cada persona.
Hacer lo anterior puede ser la diferencia entre mitigar o motivar un problema, donde lo más importante es no culpar a las personas que usan la tecnología de malas estrategias de seguridad por desidia, pues marginalmente el precio de este tipo de tecnología es mucho menor que cualquier problema de seguridad.
Mpolishuk's Blog 