La autenticación de múltiples factores (AMF), más comúnmente conocida por sus siglas en inglés MFA (Multi Factor Authentication), es un método de control de acceso informático en el que a un usuario se le concede acceso al sistema solo después de que presente dos o más pruebas diferentes de que es quien dice ser. Estas pruebas pueden ser diversas, como una contraseña, que posea una clave secundaria rotativa, o un certificado digital instalado en el equipo, biometría, entre otros.
La autenticación de dos factores (A2F), también usada la sigla inglesa 2FA (de two-factor authentication), es un método que confirma que un usuario es quien dice ser combinando dos componentes diferentes de entre: 1) algo que saben; 2) algo que tienen; y 3) algo que son. Es el método más extendido en la actualidad para acceder a cuentas de correo como las de iCloud o Gmail, pero generalmente se solicita que el usuario active voluntariamente esta capa de protección adicional.
Un ejemplo de la vida cotidiana de este tipo de autenticación es la retirada de efectivo de un cajero automático. Solo tras combinar una tarjeta de crédito —algo que el usuario posee— y un pin —algo que el usuario sabe— se permite que la transacción se lleve a cabo. Otro ejemplo ocurre en las redes sociales como Facebook, WhatsApp o Instagram, usar la verificación en dos pasos hace que prácticamente un hacker te pueda quitar tu cuenta. Pues, aunque entre en tu cuenta cambie tu mail y contraseña, tu tendrás la oportunidad de demostrar que la cuenta es tuya a través de esas 2 contraseñas.
La autenticación en dos pasos o verificación en dos pasos es un método de confirmar la identidad de un usuario utilizando algo que conocen (contraseña) y un segundo factor distinto a lo que sean o posean. Un ejemplo de un segundo paso es que el usuario tenga que introducir algo que le sea enviado a través de un medio alternativo, o que tenga que introducir una serie de dígitos generados por una aplicación conocida por el usuario y el sistema de autenticación.
El uso de múltiples factores de autenticación para demostrar la identidad propia se basa en la premisa de que un tercero no autorizado probablemente no pueda ser capaz de suministrar los factores requeridos para el acceso. Si en un intento de autenticación al menos uno de los componentes falta o se suministra incorrectamente, la identidad del usuario no se valida y no puede acceder a los recursos —p. ej., un edificio o dato—.
Los factores de autenticación de un patrón de autenticación de múltiples factores podría incluir:
Los factores de conocimiento son la forma más común de autenticación. El usuario necesita demostrar que conoce algo secreto para poder autenticarse, como por ejemplo una contraseña.
Muchos sistemas de autenticación de múltiples factores confían en las contraseñas como uno de los factores de autenticación. Estos sistemas pueden precisar que se utilicen contraseñas más largas de múltiples palabras, y otros una clave más corta, por ejemplo un pin —contraseña alfanumérica—.
Se espera que estas contraseñas sean memorizadas y no compartidas con nadie. El caso particular de las preguntas de seguridad como método de verificación es un ejemplo de poca seguridad puesto que suelen referirse a conocimientos más que probablemente conocidos por el entorno del usuario, de dominio público o que se pueden averiguar fácilmente investigando la vida del usuario.
Los factores físicos, algo que el usuario debe poseer, han estado en uso desde que se tiene conocimiento, ya que el ejemplo más básico es el de la llave de una cerradura. El principio básico es que la llave simboliza un secreto que se comparte con la cerradura, y el mismo principio subyace en los sistemas de computadoras que utilizan factores físicos de autenticación. Una cadena de caracteres o token de seguridad es un ejemplo de estos factores.
Los tókenes sin conexión son generados sin que el dispositivo tenga conexión a la computadora en la que el usuario se quiere autenticar. Normalmente utilizan una pantalla integrada para mostrar la información de autenticación que genera, y que luego el usuario debe introducir manualmente en la computadora.
Los tókenes conectados son dispositivos que están físicamente conectados a la computadora con la que se van a utilizar, y por tanto transmiten información automáticamente. Existen distintos tipos, como por ejemplo lectores de tarjetas, etiquetas inalámbricas y tókenes en USB. El Universal 2nd Factor es un estándar abierto que establece una forma sencilla de operar para este tipo de dispositivos.
Son factores que están asociados al usuario, y generalmente son métodos biométricos, como los lectores de huellas dactilares, de retina o reconocimiento de voz.
Otro tipo de factor es la ubicación del usuario que se está intentando autenticar. Por ejemplo, si la autenticación se inicia mientras el equipo está conectado físicamente a la red de una organización, esta podría completarse simplemente con otro factor (como un PIN). Sin embargo, si no está en el lugar, tendrá que aportar otro factor (por ejemplo, insertando una tarjeta con un certificado electrónico). La ubicación puede ser un factor válido si las instalaciones cuentan con una seguridad y control de accesos suficientes.
Instituciones como la UIT establecen un paradigma de la tipología de los factores de autenticación basándolos en los tipos de atributos que puede tener una entidad/identidad. De esta forma se dividirían en los siguientes bloques, que se pueden explicar según lo que:
Para realizar una autenticación se utilizan uno o varios de estos atributos de una identidad, de forma que se pueda asegurar que la entidad reclamadora sea la identidad que dice ser.
La mayor desventaja de la autenticación empleando algo que el usuario posea y otro factor cualquiera es que el token físico utilizado —una memoria USB, tarjeta bancaria, llave o similar— debe ser llevado siempre encima. Además, si se lo roban, se pierde, o si el usuario simplemente no lo tiene consigo, el acceso es imposible. También tiene costes relacionados con el reemplazo de los objetos perdidos necesarios para la autenticación. Por último, existen conflictos y concesiones a realizar para encontrar el equilibrio entre la usabilidad y la seguridad.
La autenticación móvil de dos factores fue creada para proporcionar un método alternativo que evitara los problemas derivados de usar un token físico. Esta aproximación utiliza dispositivos móviles como teléfonos móviles para servir como algo que el usuario posea. Si los usuarios se quieren autenticar, pueden utilizar su licencia de acceso personal —por ejemplo, algo que sólo el usuario individual sabe— más una contraseña de un solo uso y no reutilizable constituida por varios dígitos. El código puede ser enviado a su dispositivo móvil por SMS o a través de una aplicación especial.
La ventaja de este método es que no hay ninguna necesidad para tener un token físico adicional, ya que los usuarios tienden a llevar sus móviles encima en todo momento. Algunas soluciones profesionales de autenticación de dos factores también se aseguran de que siempre haya una contraseña válida disponible para el usuario. Si ya ha utilizado una contraseña válida, se borra automáticamente y el sistema envía un nuevo código al dispositivo móvil. Si el nuevo código no se utiliza en un periodo de tiempo determinado, el sistema lo reemplaza automáticamente. Esto asegura que los códigos viejos o utilizados no sean almacenados en el dispositivo. Para añadir más seguridad, es posible especificar cuántas veces se puede introducir el código erróneamente antes de que el sistema se bloquee.
La seguridad de los tókenes entregados a dispositivos móviles depende totalmente de la seguridad de la operadora y de los protocolos implicados, ya que podría ser rota mediante un pinchazo, clonando la SIM o aprovechando las vulnerabilidades de SS7.
Ventajas
Desventajas
Algunos sitios web obligan o planean obligar el uso de la autenticación de múltiples factores. Google comenzó a exigirla en algunas cuentas en 2021. En Github será necesario su uso en 2023. Otros servicios incentivan el uso de AMF restringiendo las cuentas que no la usan, como es el caso de Steam: aquellas cuentas sin Steam Guard tienen un retardo de 14 días antes de que sus intercambios con otros usuarios se ejecuten.
También existe legislación que obliga al público general a usarla en determinados ámbitos, como la Directiva de Servicios de Pago de la Unión Europea de 2015.
En el sector público también existe obligación en algunos sistemas según su nivel de seguridad. Por ejemplo, el Esquema Nacional de Seguridad de España lo obliga en determinadas situaciones.
Escribe un comentario o lo que quieras sobre Autenticación de doble factor (directo, no tienes que registrarte)
Comentarios
(de más nuevos a más antiguos)