En pocas palabras, la autenticación es el acto de probar que eres quien dices ser. Para acceder a información, sistemas o ubicaciones protegidas. El usuario deberá acreditar su identidad proporcionando determinadas credenciales de acceso.
El sistema pregunta: “¿Quién eres? Pruébalo.” Cuando el usuario se autentica con éxito (y dependiendo de los permisos asociados a su cuenta) el sistema le permite realizar acciones específicas, acceder a información específica o ubicaciones físicas específicas.
La identificación requiere una identificación de usuario (por ejemplo, un nombre de usuario). Para probar su identidad, los usuarios proporcionan una contraseña u otro factor de autenticación que luego se empareja con el nombre de usuario. La combinación puede o no dar como resultado que el usuario obtenga acceso al sistema.
La autenticación multifactor (MFA) es el proceso en el que el usuario debe proporcionar dos o más piezas de evidencia (factores) a un sistema o ubicación para poder ingresar. MFA protege un sistema, ubicación o datos confidenciales de ser accedido por un usuario no autorizado (y posible actor de amenazas).
Tipos de factores de autenticación
Hay varias categorías principales de factores de autenticación:
Factores de conocimiento (algo que el usuario sabe): por ejemplo una contraseña, una frase de contraseña o un PIN. Las preguntas de seguridad entran en esta categoría pero ya no se reconocen como un factor de autenticación aceptable porque el uso generalizado de las redes sociales hizo que los atacantes pudieran obtener fácilmente las respuestas.
Factores de posesión (algo que tiene el usuario): el usuario puede verificar su identidad con un objeto en su posesión como una tarjeta de acceso, un llavero u otro token de seguridad físico. Los sistemas MFA también consideran una contraseña/código de un solo uso recibido por el usuario a través de SMS o una aplicación de autenticación como un factor de posesión (un token de software).
Factores de inherencia (algo que el usuario es o hace de una manera particular): este tipo de factor de autenticación se basa en una característica biométrica del usuario (huella dactilar, palma, iris, rostro) o en cómo el usuario realiza una acción de manera única (por ejemplo su tipeo o timbre y patrón vocal).
En una configuración de MFA si un factor no se puede proporcionar o es incorrecto el usuario no tendrá acceso.
Información contextual
La información contextual también puede influir en el éxito de un intento de autenticación. Es posible que esta información no sea un factor de autenticación en sí misma pero puede ayudar a los sistemas de autenticación a evaluar si un intento de inicio de sesión/acceso es legítimo.
Esta información incluye:
Ubicación: la ubicación física del usuario/dispositivo cuando inicia sesión. Por ejemplo si todos los empleados están en los EE. UU. y la solicitud de inicio de sesión proviene de una ubicación o red desconocida/no autorizada el sistema puede denegar el acceso en función de esa información ( porque cree que las credenciales y los factores de autenticación se han visto comprometidos).
Tiempo: el tiempo específico de una solicitud de inicio de sesión puede indicar su naturaleza potencialmente maliciosa. Se puede programar un sistema para denegar los intentos de inicio de sesión fuera del horario comercial habitual o para denegar una solicitud de inicio de sesión aparentemente realizada por el mismo usuario que inició sesión momentos antes, si esa segunda solicitud de inicio de sesión aparentemente proviene de otro país.
¿Qué es 2FA?
La autenticación de dos factores (2FA) es una configuración de autenticación que requiere que el usuario proporcione dos factores de autenticación para obtener acceso.
El retiro de dinero de un cajero automático es un ejemplo de 2FA en acción: el usuario puede retirar dinero solo con la combinación correcta de tarjeta bancaria (factor de posesión) y PIN (factor de conocimiento).
Otro ejemplo: el usuario quiere acceder a una cuenta en línea protegida por 2FA. Deben proporcionar la contraseña correcta (factor de conocimiento) y la contraseña de un solo uso (factor de posesión) disponibles solo en el dispositivo/teléfono inteligente de los usuarios (ya sea enviada por SMS o proporcionada a través de una aplicación de autenticación).
2FA es actualmente el método MFA más utilizado pero a medida que la tecnología evoluciona y los atacantes encuentran formas efectivas de eludir la protección que ofrece, las empresas tendrán que implementar 3FA, 4FA, etc.
¿Qué es 3FA?
La autenticación de tres factores (3FA) es un proceso de autenticación más seguro que agrega una tercera capa de protección a las cuentas de los usuarios. Requiere que los usuarios proporcionen tres factores de autenticación distintos.
Por ejemplo: una contraseña, una tarjeta de seguridad y su huella digital (para escanear y comparar con un registro creado previamente). O un PIN, una contraseña OTP y su voz (para comparar con un archivo de audio grabado).
Con 3FA implementado , las contraseñas robadas se vuelven mucho menos problemáticas.
3FA generalmente lo implementan empresas y organizaciones que requieren un alto nivel de seguridad, por ejemplo, bancos, agencias gubernamentales, aeropuertos, hospitales, etc.
¿Por qué necesitamos la autenticación multifactor?
El panorama de amenazas está en constante evolución. Los atacantes han notado que más personas trabajan de forma remota que nunca y que las soluciones basadas en la nube se han vuelto estándar en diferentes sectores. Como resultado, asegurar el acceso a varios sistemas y activos se ha vuelto primordial.
Las credenciales de usuario comprometidas representan uno de los mayores riesgos para las organizaciones. Para proteger mejor los recursos personales, comerciales y públicos del acceso no autorizado, el empleo de la autenticación de múltiples capas (multifactor) se está volviendo normal.
Las contraseñas tradicionales simplemente ya no son suficientes especialmente porque los usuarios suelen reutilizar las mismas contraseñas débiles en diferentes sitios web y servicios.
Consejos para organizaciones y usuarios finales
Las empresas deben:
- Implemente políticas sólidas de administración de contraseñas
- Implemente MFA, en combinaciones de factores que tengan sentido para casos de uso específicos y una base de usuarios específica
- Utilice el inicio de sesión único (SSO). Un inicio de sesión para varias cuentas reduce la superficie de ataque general y facilita el trabajo de los empleados
- Implemente la autenticación sin contraseña, si es posible
- Adopte un enfoque de confianza cero para la autenticación y validación de usuarios
Dado que las medidas de seguridad extremadamente estrictas y complejas a menudo “animan” a los usuarios a violar las políticas oficiales por ello es importante lograr un buen equilibrio entre la seguridad y la facilidad de uso.
Por otro lado, se recomienda a los usuarios finales:
- Use contraseñas complejas y únicas para varias cuentas, de modo que varias cuentas no puedan verse comprometidas después de que uno de estos sitios o servicios en línea sufra una violación de datos.
- Verifique si alguna de sus cuentas aparece en violaciones de datos existentes (p. ej., en Have I Been Pwned?). Si lo hacen, deben cambiar la contraseña comprometida por una compleja y única.
- Use un administrador de contraseñas para generar contraseñas seguras y almacenarlas de forma segura
- Habilite MFA en las cuentas que lo permitan. Deben optar por OPT basados en aplicaciones o una clave de seguridad FIDO si sospechan que pueden ser atacados específicamente por atacantes.
- Use el inicio de sesión único (SSO) junto con MFA para reducir el riesgo de compromiso de la cuenta