Autenticación de múltiples factores

método de autenticación en el que se concede acceso a un usuario del equipo sólo después de presentar correctamente dos o más pruebas (o factores) a un mecanismo de autenticación

La autenticación de múltiples factores (AMF), más comúnmente conocida por sus siglas en inglés MFA (Multi Factor Authentication), es un método de control de acceso informático en el que a un usuario se le concede acceso al sistema solo después de que presente dos o más pruebas diferentes de que es quien dice ser. Estas pruebas pueden ser diversas, como una contraseña, que posea una clave secundaria rotativa, o un certificado digital instalado en el equipo, biometría, entre otros.

La autenticación de dos factores (A2F), también usada la sigla inglesa 2FA (de two-factor authentication), es un método que confirma que un usuario es quien dice ser combinando dos componentes diferentes de entre: 1) algo que saben; 2) algo que tienen; y 3) algo que son. Es el método más extendido en la actualidad para acceder a cuentas de correo como las de iCloud o Gmail, pero generalmente se solicita que el usuario active voluntariamente esta capa de protección adicional.

Un ejemplo de la vida cotidiana de este tipo de autenticación es la retirada de efectivo de un cajero automático. Solo tras combinar una tarjeta de crédito —algo que el usuario posee— y un pin —algo que el usuario sabe— se permite que la transacción se lleve a cabo.

La autenticación en dos pasos o verificación en dos pasos es un método de confirmar la identidad de un usuario utilizando algo que conocen (contraseña) y un segundo factor distinto a lo que sean o posean. Un ejemplo de un segundo paso es que el usuario tenga que introducir algo que le sea enviado a través de un medio alternativo, o que tenga que introducir una serie de dígitos generados por una aplicación conocida por el usuario y el sistema de autenticación.

Factores

editar

El uso de múltiples factores de autenticación para demostrar la identidad propia se basa en la premisa de que un tercero no autorizado probablemente no pueda ser capaz de suministrar los factores requeridos para el acceso. Si en un intento de autenticación al menos uno de los componentes falta o se suministra incorrectamente, la identidad del usuario no se valida y no puede acceder a los recursos —p. ej., un edificio o dato—.

Los factores de autenticación de un patrón de autenticación de múltiples factores podría incluir:

  • Algún objeto físico en posesión del usuario, como una memoria USB con un identificador único, una tarjeta de crédito, una llave, etc.
  • Algún secreto conocido por el usuario, como una contraseña, un pin, etc.
  • Alguna característica biométrica propia del usuario, como una huella dactilar, iris, voz, velocidad de escritura, patrón en los intervalos de pulsación de teclas, entre otros.

Conocimiento

editar

Los factores de conocimiento son la forma más común de autenticación. El usuario necesita demostrar que conoce algo secreto para poder autenticarse, como por ejemplo una contraseña.

Muchos sistemas de autenticación de múltiples factores confían en las contraseñas como uno de los factores de autenticación. Estos sistemas pueden precisar que se utilicen contraseñas más largas de múltiples palabras, y otros una clave más corta, por ejemplo un pin —contraseña alfanumérica—.

Se espera que estas contraseñas sean memorizadas y no compartidas con nadie. El caso particular de las preguntas de seguridad como método de verificación es un ejemplo de poca seguridad puesto que suelen referirse a conocimientos más que probablemente conocidos por el entorno del usuario, de dominio público o que se pueden averiguar fácilmente investigando la vida del usuario.

Físicos

editar

Los factores físicos, algo que el usuario debe poseer, han estado en uso desde que se tiene conocimiento, ya que el ejemplo más básico es el de la llave de una cerradura. El principio básico es que la llave simboliza un secreto que se comparte con la cerradura, y el mismo principio subyace en los sistemas de computadoras que utilizan factores físicos de autenticación. Una cadena de caracteres o token de seguridad es un ejemplo de estos factores.

Tókenes sin conexión

editar
 
El token SecurID de RSA es un ejemplo de generador de tókenes sin conexión.

Los tókenes sin conexión son generados sin que el dispositivo tenga conexión a la computadora en la que el usuario se quiere autenticar. Normalmente utilizan una pantalla integrada para mostrar la información de autenticación que genera, y que luego el usuario debe introducir manualmente en la computadora.

Tókenes conectados
editar

Los tókenes conectados son dispositivos que están físicamente conectados a la computadora con la que se van a utilizar, y por tanto transmiten información automáticamente. Existen distintos tipos, como por ejemplo lectores de tarjetas, etiquetas inalámbricas y tókenes en USB. El Universal 2nd Factor es un estándar abierto que establece una forma sencilla de operar para este tipo de dispositivos.[1]

Inherentes

editar

Son factores que están asociados al usuario, y generalmente son métodos biométricos, como los lectores de huellas dactilares, de retina o reconocimiento de voz.

Ubicación

editar

Otro tipo de factor es la ubicación del usuario que se está intentando autenticar. Por ejemplo, si la autenticación se inicia mientras el equipo está conectado físicamente a la red de una organización, esta podría completarse simplemente con otro factor (como un PIN). Sin embargo, si no está en el lugar, tendrá que aportar otro factor (por ejemplo, insertando una tarjeta con un certificado electrónico). La ubicación puede ser un factor válido si las instalaciones cuentan con una seguridad y control de accesos suficientes.

Factores según la UIT

editar

Instituciones como la UIT establecen un paradigma de la tipología de los factores de autenticación basándolos en los tipos de atributos que puede tener una entidad/identidad.[2]​ De esta forma se dividirían en los siguientes bloques, que se pueden explicar según lo que:

  • la entidad conoce. Este factor incluye cualquier cosa que pueda comprometer el conocimiento. Las contraseñas en sí entran en esta categoría. Por ejemplo, aquella pregunta de desafío-respuesta para recordar la posible contraseña, cuando la hemos olvidado.
  • la entidad tiene. Algo que tiene (físicamente), como por ejemplo un número de teléfono o un token físico que podría haber recibido de su banco y que muestra una contraseña de un solo uso (OTP).
  • la entidad es. La que tiene que ver con la biometría (reconocimiento facial, reconocimiento de voz, lectura del iris, etc.), es algo que simplemente no se puede separar de su identidad física fundamental.
  • la entidad hace. Son sus matices de comportamiento, cómo se comporta día a día con las cosas y las personas con las que interactúa.
  • es la localización de la entidad. La tecnología de seguimiento de direcciones como las IP o la geolocalización GPS se utilizan para validar la autenticidad o incluso la posibilidad de un intento de acceso.
  • se pida que sea la combinación de los anteriores.

Para realizar una autenticación se utilizan uno o varios de estos atributos de una identidad, de forma que se pueda asegurar que la entidad reclamadora sea la identidad que dice ser.

Mediante teléfono móvil

editar

La mayor desventaja de la autenticación empleando algo que el usuario posea y otro factor cualquiera es que el token físico utilizado —una memoria USB, tarjeta bancaria, llave o similar— debe ser llevado siempre encima. Además, si se lo roban, se pierde, o si el usuario simplemente no lo tiene consigo, el acceso es imposible. También tiene costes relacionados con el reemplazo de los objetos perdidos necesarios para la autenticación. Por último, existen conflictos y concesiones a realizar para encontrar el equilibrio entre la usabilidad y la seguridad.

La autenticación móvil de dos factores fue creada para proporcionar un método alternativo que evitara los problemas derivados de usar un token físico. Esta aproximación utiliza dispositivos móviles como teléfonos móviles para servir como algo que el usuario posea. Si los usuarios se quieren autenticar, pueden utilizar su licencia de acceso personal —por ejemplo, algo que sólo el usuario individual sabe— más una contraseña de un solo uso y no reutilizable constituida por varios dígitos. El código puede ser enviado a su dispositivo móvil por SMS o a través de una aplicación especial.

La ventaja de este método es que no hay ninguna necesidad para tener un token físico adicional, ya que los usuarios tienden a llevar sus móviles encima en todo momento. Algunas soluciones profesionales de autenticación de dos factores también se aseguran de que siempre haya una contraseña válida disponible para el usuario. Si ya ha utilizado una contraseña válida, se borra automáticamente y el sistema envía un nuevo código al dispositivo móvil. Si el nuevo código no se utiliza en un periodo de tiempo determinado, el sistema lo reemplaza automáticamente. Esto asegura que los códigos viejos o utilizados no sean almacenados en el dispositivo. Para añadir más seguridad, es posible especificar cuántas veces se puede introducir el código erróneamente antes de que el sistema se bloquee.

La seguridad de los tókenes entregados a dispositivos móviles depende totalmente de la seguridad de la operadora y de los protocolos implicados, ya que podría ser rota mediante un pinchazo, clonando la SIM o aprovechando las vulnerabilidades de SS7.

Ventajas

  • Es una verificación extra.

Desventajas

  • El teléfono móvil debe ser portado por el usuario, estar cargado y cerca de una señal de red telefónica en el momento en que se pueda necesitar autenticarse. Si el teléfono no puede mostrar mensajes, el acceso suele ser imposible sin algún plan de contingencia.
  • El usuario debe compartir su número móvil personal con el proveedor del servicio, reduciendo su privacidad y potencialmente facilitando que le llegue información basura.
  • Los mensajes de texto a los teléfonos móviles utilizando SMS son inseguros y pueden ser interceptados. Por tanto, el token puede ser robado y utilizado por terceros.
  • Los mensajes de texto pueden no ser entregados instantáneamente, añadiendo retardos adicionales al proceso de autenticación.
  • La recuperación de cuentas normalmente se salta la autenticación de dos factores.
  • Los teléfonos inteligentes actuales son utilizados para enviar correos electrónicos como recibir SMS. El correo suele estar autenticado permanentemente. Por tanto, si el teléfono se extravía o es robado, todas las cuentas para las que el correo sea la clave pueden ser pirateadas puesto que el teléfono puede recibir el segundo factor. Los teléfonos inteligentes combinan los dos factores en un solo factor.
  • Los teléfonos móviles pueden ser robados, permitiendo potencialmente al ladrón obtener acceso a las cuentas del usuario.

Obligación

editar

Algunos sitios web obligan o planean obligar el uso de la autenticación de múltiples factores. Google comenzó a exigirla en algunas cuentas en 2021.[3]​ En Github será necesario su uso en 2023.[4]​ Otros servicios incentivan el uso de AMF restringiendo las cuentas que no la usan, como es el caso de Steam: aquellas cuentas sin Steam Guard tienen un retardo de 14 días antes de que sus intercambios con otros usuarios se ejecuten.[5]

También existe legislación que obliga al público general a usarla en determinados ámbitos, como la Directiva de Servicios de Pago de la Unión Europea de 2015.[6]

En el sector público también existe obligación en algunos sistemas según su nivel de seguridad. Por ejemplo, el Esquema Nacional de Seguridad de España lo obliga en determinadas situaciones.[7]

Véase también

editar

Referencias

editar
  1. «U2F - FIDO Universal 2nd Factor authentication | YubiKey». Yubico (en inglés estadounidense). Consultado el 29 de enero de 2021. 
  2. «X.1252 : Términos y definiciones sobre gestión de identidad de referencia». www.itu.int. Consultado el 30 de agosto de 2019. 
  3. published, Paul Wagenseil (5 de noviembre de 2021). «Google is forcing people to use 2FA — what that means for you». Tom's Guide (en inglés). Consultado el 9 de mayo de 2022. 
  4. «Software security starts with the developer: Securing developer accounts with 2FA». The GitHub Blog (en inglés estadounidense). 4 de mayo de 2022. Consultado el 9 de mayo de 2022. 
  5. «Steam Support :: Steam Trade and Market Holds». help.steampowered.com (en inglés). Consultado el 9 de mayo de 2022. 
  6. Comisión Europea. «Payment services». ec.europa.eu (en inglés). Consultado el 9 de mayo de 2022. 
  7. «Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad». Boletín Oficial del Estado. 4 de mayo de 2022. ISSN 0212-033X. BOE-A-2022-7191. 
  NODES
admin 1
todo 10