Uno de los pasos más cruciales para proteger un entorno informático empresarial moderno es agregar autenticación multifactor (MFA), de modo que un atacante que robe credenciales no pueda acceder a los recursos protegidos. Según un estudio de Microsoft de 2019, requerir el uso de un factor de autenticación adicional además de una contraseña bloquea el 99,9% de los ataques automatizados a servicios basados en la nube. Un informe separado de Google de aproximadamente la misma época llegó a una conclusión similar.
Ese hecho explica por qué los desarrolladores de software de gestión de contraseñas están creando vínculos más estrechos entre sus productos y las tecnologías MFA. El último participante es el ampliamente utilizado LastPass, que hoy anunció el lanzamiento de una nueva aplicación móvil LastPass Authenticator.
La nueva aplicación, que es gratuita para todos, incluidos los clientes de LastPass con cuentas gratuitas, consolida la funcionalidad que anteriormente estaba dividida en dos aplicaciones, con una aplicación LastPass MFA separada para clientes comerciales. Según Akhil Talwar, director de gestión de productos de LogMeIn, empresa matriz de LastPass, la disponibilidad de dos aplicaciones confundió a algunos clientes consumidores, que sin darse cuenta descargaron la solución incorrecta.
La aplicación actualizada está disponible para dispositivos Android hoy y debería estar disponible para dispositivos iOS la próxima semana. La aplicación LastPass MFA seguirá funcionando para los clientes empresariales que la hayan implementado, aunque la empresa espera que esos clientes migren a la nueva aplicación con el tiempo.
LastPass no es la primera empresa de tecnología que realiza este tipo de movimiento. Microsoft también ofreció dos aplicaciones de autenticación, una para cuentas de Microsoft y otra para cuentas comerciales y empresariales que se ejecutan en Azure Active Directory, antes de lanzar una aplicación de autenticación unificada en 2016.
La nueva aplicación LastPass debería resultarle familiar a cualquiera que haya utilizado aplicaciones similares como Google Authenticator o Authy. (Para obtener una descripción general de la tecnología, consulte “Mejor que la mejor contraseña: cómo utilizar 2FA para mejorar su seguridad”).
En comparación con la solución básica de Google, el LastPass Authenticator actualizado ofrece algunas ventajas de usabilidad, incluida la capacidad de ordenar, buscar y filtrar una larga lista de proveedores de MFA guardados. Al igual que Authy y Microsoft Authenticator, la aplicación LastPass también incluye la capacidad de realizar copias de seguridad y restaurar configuraciones y guardar códigos de copia de seguridad manuales en la bóveda de LastPass.
La nueva aplicación también admite inicios de sesión sin contraseña en cuentas que admiten el lenguaje de marcado de afirmación de seguridad (SAML). Entonces, por ejemplo, un usuario que ha vinculado la aplicación LastPass con una cuenta de Azure AD puede iniciar sesión en una estación de trabajo Windows respondiendo a un mensaje en lugar de ingresar un código TOTP, similar al mecanismo que utiliza Microsoft Authenticator.
Para las empresas, LastPass también puede actuar como una plataforma de identidad completa, ofreciendo funciones de inicio de sesión único de estilo empresarial para empresas más pequeñas, implementadas con la ayuda de un proveedor de servicios gestionados. Ese tipo de configuración facilita la incorporación de nuevos empleados y cierra de forma segura su acceso a recursos protegidos cuando abandonan la empresa.
Una característica que no verá en la nueva aplicación LastPass es el acceso combinado a contraseñas y códigos MFA. Esa funcionalidad está disponible en administradores de contraseñas de la competencia como 1Password y recientemente debutó en Microsoft Authenticator. Por ahora, dice Talwar, los clientes de LastPass desconfían de combinar ambas funciones en la misma aplicación.