Este artículo tiene varios problemas. Ayúdenos a mejorarlo o a discutir estos problemas en la página de discusión . ( Aprenda cómo y cuándo eliminar estos mensajes )
|
La autenticación multifactor ( MFA , por sus siglas en inglés ; autenticación de dos factores o 2FA , junto con términos similares) es un método de autenticación electrónica en el que se le otorga acceso a un usuario a un sitio web o aplicación solo después de presentar con éxito dos o más pruebas (o factores ) a un mecanismo de autenticación . La MFA protege los datos personales , que pueden incluir identificación personal o activos financieros , para que no sean accedidos por un tercero no autorizado que pueda haber descubierto, por ejemplo, una sola contraseña.
El uso de MFA ha aumentado en los últimos años, sin embargo, existen numerosas amenazas que constantemente hacen que sea difícil garantizar que MFA sea completamente seguro. [1]
La autenticación se produce cuando alguien intenta iniciar sesión en un recurso informático (como una red informática , un dispositivo o una aplicación). El recurso requiere que el usuario proporcione la identidad por la que el usuario es conocido en el recurso, junto con evidencia de la autenticidad de la afirmación del usuario sobre esa identidad. La autenticación simple requiere solo una de esas pruebas (factor), normalmente una contraseña. Para mayor seguridad, el recurso puede requerir más de un factor: autenticación multifactor o autenticación de dos factores en los casos en que se deben proporcionar exactamente dos pruebas. [2]
El uso de múltiples factores de autenticación para demostrar la identidad de una persona se basa en la premisa de que es poco probable que un actor no autorizado pueda proporcionar los factores necesarios para el acceso. Si, en un intento de autenticación, falta al menos uno de los componentes o se proporciona de forma incorrecta, la identidad del usuario no se establece con suficiente certeza y el acceso al activo (por ejemplo, un edificio o datos) que se protege mediante la autenticación multifactorial permanece bloqueado. Los factores de autenticación de un esquema de autenticación multifactorial pueden incluir: [3]
Un ejemplo de autenticación de dos factores es la retirada de dinero de un cajero automático ; sólo la combinación correcta de una tarjeta bancaria (algo que el usuario posee) y un PIN (algo que el usuario conoce) permite que se realice la transacción. Otros dos ejemplos son complementar una contraseña controlada por el usuario con una contraseña de un solo uso (OTP) o un código generado o recibido por un autenticador (por ejemplo, un token de seguridad o un teléfono inteligente) que sólo posee el usuario. [4]
Una aplicación de autenticación de terceros permite la autenticación de dos factores de una manera diferente, generalmente mostrando un código generado aleatoriamente y que se actualiza constantemente, que el usuario puede usar, en lugar de enviar un SMS o usar otro método. [5]
Los factores de conocimiento son una forma de autenticación. En esta forma, el usuario debe demostrar que conoce un secreto para poder autenticarse.
Una contraseña es una palabra secreta o una cadena de caracteres que se utiliza para la autenticación del usuario. Este es el mecanismo de autenticación más utilizado. [3] Muchas técnicas de autenticación multifactor se basan en contraseñas como un factor de autenticación. Las variaciones incluyen tanto las más largas formadas a partir de varias palabras (una frase de contraseña ) como el PIN más corto, puramente numérico, que se usa comúnmente para el acceso a cajeros automáticos . Tradicionalmente, se espera que las contraseñas se memoricen , pero también se pueden escribir en un papel o archivo de texto oculto.
Los factores de posesión ("algo que sólo el usuario tiene") se han utilizado para la autenticación durante siglos, en forma de una llave para una cerradura. El principio básico es que la llave encarna un secreto que se comparte entre la cerradura y la llave, y el mismo principio subyace a la autenticación por factores de posesión en los sistemas informáticos. Un token de seguridad es un ejemplo de un factor de posesión.
Los tokens desconectados no tienen conexión con el equipo cliente. Por lo general, utilizan una pantalla integrada para mostrar los datos de autenticación generados, que el usuario ingresa manualmente. Este tipo de token utiliza principalmente una contraseña de un solo uso que solo se puede utilizar para esa sesión específica. [6]
Los tokens conectados son dispositivos que están conectados físicamente a la computadora que se va a utilizar. Estos dispositivos transmiten datos automáticamente. [7] Hay varios tipos diferentes, incluidos tokens USB, tarjetas inteligentes y etiquetas inalámbricas . [7] Cada vez más, los tokens compatibles con FIDO2 , respaldados por la Alianza FIDO y el Consorcio World Wide Web (W3C), se han vuelto populares con el soporte de los navegadores principales a partir de 2015.
Un token de software (también conocido como token blando ) es un tipo de dispositivo de seguridad de autenticación de dos factores que se puede utilizar para autorizar el uso de servicios informáticos. Los tokens de software se almacenan en un dispositivo electrónico de uso general, como una computadora de escritorio , una computadora portátil , una PDA o un teléfono móvil , y se pueden duplicar. (En contraste con los tokens de hardware , donde las credenciales se almacenan en un dispositivo de hardware dedicado y, por lo tanto, no se pueden duplicar, a menos que se produzca una invasión física del dispositivo). Un token blando puede no ser un dispositivo con el que el usuario interactúa. Por lo general, se carga un certificado X.509v3 en el dispositivo y se almacena de forma segura para cumplir este propósito. [ cita requerida ]
La autenticación multifactor también se puede aplicar en sistemas de seguridad física. Estos sistemas de seguridad física se conocen y se denominan comúnmente control de acceso. La autenticación multifactor se implementa normalmente en sistemas de control de acceso mediante el uso, en primer lugar, de una posesión física (como un llavero, una tarjeta de acceso o un código QR que se muestra en un dispositivo) que actúa como credencial de identificación y, en segundo lugar, una validación de la identidad de una persona, como la biometría facial o el escaneo de retina. Esta forma de autenticación multifactor se conoce comúnmente como verificación facial o autenticación facial.
Se trata de factores asociados al usuario y suelen ser métodos biométricos , entre los que se encuentran el reconocimiento de huellas dactilares , rostro , [8] voz o iris . También se pueden utilizar métodos biométricos de comportamiento como la dinámica de pulsaciones de teclas .
Cada vez más, entra en juego un cuarto factor relacionado con la ubicación física del usuario. Mientras esté conectado a la red corporativa, se le podría permitir a un usuario iniciar sesión utilizando solo un código PIN. Mientras que si el usuario estuviera fuera de la red o trabajando de forma remota, también podría requerirse un método de autenticación multifactor más seguro, como ingresar un código desde un token de software. Adaptar el tipo de método de autenticación multifactor y la frecuencia a la ubicación de los usuarios le permitirá evitar los riesgos comunes del trabajo remoto. [9]
Los sistemas de control de admisión a la red funcionan de manera similar, donde el nivel de acceso a la red puede depender de la red específica a la que está conectado un dispositivo, como Wi-Fi o conectividad por cable. Esto también permite que un usuario se mueva entre oficinas y reciba dinámicamente el mismo nivel de acceso a la red [ aclaración necesaria ] en cada una. [ cita requerida ]
La autenticación de dos factores a través de mensajes de texto se desarrolló ya en 1996, cuando AT&T describió un sistema para autorizar transacciones basado en un intercambio de códigos a través de buscapersonas bidireccionales. [10] [11]
Muchos proveedores de autenticación multifactor ofrecen autenticación basada en teléfonos móviles. Algunos métodos incluyen autenticación basada en push, autenticación basada en código QR, autenticación con contraseña de un solo uso (basada en eventos y en tiempo) y verificación basada en SMS. La verificación basada en SMS presenta algunos problemas de seguridad. Los teléfonos se pueden clonar, las aplicaciones se pueden ejecutar en varios teléfonos y el personal de mantenimiento de teléfonos móviles puede leer mensajes de texto SMS. No menos importante, los teléfonos móviles pueden verse comprometidos en general, lo que significa que el teléfono ya no es algo que solo el usuario tiene.
El principal inconveniente de la autenticación que incluye algo que el usuario posee es que el usuario debe llevar consigo el token físico (la memoria USB, la tarjeta bancaria, la llave o similar) prácticamente en todo momento. La pérdida y el robo son riesgos. Muchas organizaciones prohíben llevar dispositivos USB y electrónicos dentro o fuera de las instalaciones debido a los riesgos de malware y robo de datos, y la mayoría de las máquinas importantes no tienen puertos USB por la misma razón. Los tokens físicos no suelen escalar, por lo general se requiere un nuevo token para cada nueva cuenta y sistema. La adquisición y posterior sustitución de tokens de este tipo implica costos. Además, existen conflictos inherentes y compensaciones inevitables entre la usabilidad y la seguridad. [12]
La autenticación en dos pasos que implica el uso de teléfonos móviles y teléfonos inteligentes ofrece una alternativa a los dispositivos físicos dedicados. Para autenticarse, las personas pueden utilizar sus códigos de acceso personales al dispositivo (es decir, algo que solo el usuario individual conoce) más un código de acceso dinámico válido por única vez, que generalmente consta de 4 a 6 dígitos. El código de acceso se puede enviar al dispositivo móvil [2] por SMS o se puede generar mediante una aplicación generadora de códigos de acceso de un solo uso. En ambos casos, la ventaja de utilizar un teléfono móvil es que no es necesario un token dedicado adicional, ya que los usuarios tienden a llevar sus dispositivos móviles consigo en todo momento.
A pesar de la popularidad de la verificación por SMS, los defensores de la seguridad han criticado públicamente la verificación por SMS [13] y, en julio de 2016, un borrador de directrices del NIST de los Estados Unidos propuso desaprobarla como forma de autenticación. [14] Un año después, el NIST restableció la verificación por SMS como un canal de autenticación válido en las directrices finalizadas. [15]
En 2016 y 2017 respectivamente, tanto Google como Apple comenzaron a ofrecer autenticación de dos pasos para el usuario con notificaciones push [3] como método alternativo. [16] [17]
La seguridad de los tokens de seguridad entregados a través de dispositivos móviles depende completamente de la seguridad operativa del operador móvil y puede ser fácilmente vulnerada mediante escuchas telefónicas o clonación de tarjetas SIM por parte de agencias de seguridad nacional. [18]
Ventajas:
Desventajas:
El requisito 8.3 del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) exige el uso de MFA para todo acceso remoto a la red que se origine desde fuera de la red a un Entorno de Datos de Tarjeta (CDE). [22] A partir de la versión 3.2 del PCI-DSS, se requiere el uso de MFA para todo acceso administrativo al CDE, incluso si el usuario se encuentra dentro de una red confiable.
La segunda Directiva de Servicios de Pago exige una “ autenticación reforzada del cliente ” en la mayoría de los pagos electrónicos en el Espacio Económico Europeo desde el 14 de septiembre de 2019. [23]
En la India, el Banco de la Reserva de la India ha impuesto la autenticación de dos factores para todas las transacciones en línea realizadas con una tarjeta de débito o crédito mediante una contraseña o una contraseña de un solo uso enviada por SMS . Este requisito se eliminó en 2016 para las transacciones de hasta 2000 rupias después de optar por ello con el banco emisor. [24] El banco ha obligado a proveedores como Uber a modificar sus sistemas de procesamiento de pagos para cumplir con esta implementación de la autenticación de dos factores. [25] [26] [27]
Los detalles para la autenticación de empleados y contratistas federales en los EE. UU. están definidos en la Directiva Presidencial de Seguridad Nacional 12 (HSPD-12). [28]
Las normas regulatorias de TI para el acceso a los sistemas del gobierno federal requieren el uso de autenticación multifactor para acceder a recursos de TI sensibles, por ejemplo, al iniciar sesión en dispositivos de red para realizar tareas administrativas [29] y al acceder a cualquier computadora utilizando un inicio de sesión privilegiado. [30]
La publicación especial 800-63-3 del NIST analiza varias formas de autenticación de dos factores y proporciona orientación sobre su uso en procesos comerciales que requieren diferentes niveles de garantía. [31]
En 2005, el Consejo de Examen de Instituciones Financieras Federales de los Estados Unidos publicó una guía para las instituciones financieras en la que recomendaba que las instituciones financieras realizaran evaluaciones basadas en riesgos, evaluaran programas de concienciación de los clientes y desarrollaran medidas de seguridad para autenticar de manera confiable a los clientes que acceden de manera remota a los servicios financieros en línea , recomendando oficialmente el uso de métodos de autenticación que dependan de más de un factor (específicamente, lo que un usuario sabe, tiene y es) para determinar la identidad del usuario. [32] En respuesta a la publicación, numerosos proveedores de autenticación comenzaron a promover de manera indebida preguntas de desafío, imágenes secretas y otros métodos basados en el conocimiento como autenticación "multifactorial". Debido a la confusión resultante y la adopción generalizada de dichos métodos, el 15 de agosto de 2006, el FFIEC publicó pautas complementarias que establecen que, por definición, un sistema de autenticación multifactorial "verdadero" debe utilizar instancias distintas de los tres factores de autenticación que había definido, y no solo utilizar múltiples instancias de un solo factor. [33]
Según los defensores, la autenticación multifactor podría reducir drásticamente la incidencia del robo de identidad en línea y otros fraudes en línea , porque la contraseña de la víctima ya no sería suficiente para dar a un ladrón acceso permanente a su información. Sin embargo, muchos enfoques de autenticación multifactor siguen siendo vulnerables a ataques de phishing , [34] man-in-the-browser y man-in-the-middle . [35] La autenticación de dos factores en aplicaciones web es especialmente susceptible a ataques de phishing, particularmente en SMS y correos electrónicos, y, como respuesta, muchos expertos aconsejan a los usuarios no compartir sus códigos de verificación con nadie, [36] y muchos proveedores de aplicaciones web colocarán un aviso en un correo electrónico o SMS que contiene un código. [37]
La autenticación multifactor puede resultar ineficaz [38] contra amenazas modernas, como el robo de datos en cajeros automáticos, el phishing y el malware. [39]
En mayo de 2017, O2 Telefónica , un proveedor de servicios móviles alemán, confirmó que los cibercriminales habían explotado las vulnerabilidades SS7 para eludir la autenticación de dos pasos basada en SMS y realizar retiros no autorizados de las cuentas bancarias de los usuarios. Los delincuentes primero infectaron las computadoras del titular de la cuenta en un intento de robar sus credenciales de cuenta bancaria y números de teléfono. Luego, los atacantes compraron el acceso a un proveedor de telecomunicaciones falso y configuraron una redirección para el número de teléfono de la víctima a un teléfono controlado por ellos. Finalmente, los atacantes iniciaron sesión en las cuentas bancarias en línea de las víctimas y solicitaron que el dinero de las cuentas se retirara a cuentas propiedad de los delincuentes. Las contraseñas de SMS se enrutaron a números de teléfono controlados por los atacantes y los delincuentes transfirieron el dinero. [40]
Un enfoque cada vez más común para derrotar a MFA es bombardear al usuario con muchas solicitudes para que acepte un inicio de sesión, hasta que el usuario finalmente sucumba al volumen de solicitudes y acepte una. [41]
Muchos productos de autenticación multifactor requieren que los usuarios implementen software de cliente para que funcionen los sistemas de autenticación multifactor. Algunos proveedores han creado paquetes de instalación separados para el inicio de sesión de red , las credenciales de acceso web y las credenciales de conexión VPN . Para estos productos, puede haber cuatro o cinco paquetes de software diferentes para enviar a la PC cliente para poder utilizar el token o la tarjeta inteligente . Esto se traduce en cuatro o cinco paquetes en los que se debe realizar el control de versiones y cuatro o cinco paquetes para verificar si hay conflictos con las aplicaciones comerciales. Si el acceso se puede operar mediante páginas web , es posible limitar los costos generales descritos anteriormente a una sola aplicación. Con otras tecnologías de autenticación multifactor, como los productos de token de hardware, los usuarios finales no deben instalar ningún software. [ cita requerida ]
La autenticación multifactor tiene desventajas que impiden que muchos enfoques se generalicen. Algunos usuarios tienen dificultades para realizar un seguimiento de un token de hardware o un conector USB. Muchos usuarios no tienen las habilidades técnicas necesarias para instalar un certificado de software del lado del cliente por sí mismos. En general, las soluciones multifactor requieren una inversión adicional para la implementación y costos de mantenimiento. La mayoría de los sistemas basados en tokens de hardware son propietarios y algunos proveedores cobran una tarifa anual por usuario. La implementación de tokens de hardware es un desafío logístico. Los tokens de hardware pueden dañarse o perderse, y la emisión de tokens en grandes industrias como la banca o incluso dentro de grandes empresas debe gestionarse. Además de los costos de implementación, la autenticación multifactor a menudo conlleva costos de soporte adicionales significativos. [ cita requerida ] Una encuesta de 2008 [42] de más de 120 cooperativas de crédito de EE. UU. realizada por el Credit Union Journal informó sobre los costos de soporte asociados con la autenticación de dos factores. En su informe, se informó que los certificados de software y los enfoques de barra de herramientas de software [ aclaración necesaria ] tenían los costos de soporte más altos.
Las investigaciones sobre la implementación de esquemas de autenticación multifactor [43] han demostrado que uno de los elementos que tienden a influir en la adopción de dichos sistemas es la línea de negocio de la organización que implementa el sistema de autenticación multifactor. Entre los ejemplos citados se incluyen el gobierno de los EE. UU., que emplea un elaborado sistema de tokens físicos (que a su vez están respaldados por una sólida infraestructura de clave pública ), así como los bancos privados, que tienden a preferir esquemas de autenticación multifactor para sus clientes que implican medios de verificación de identidad más accesibles y menos costosos, como una aplicación instalada en un teléfono inteligente propiedad del cliente. A pesar de las variaciones que existen entre los sistemas disponibles entre los que las organizaciones pueden tener que elegir, una vez que se implementa un sistema de autenticación multifactor dentro de una organización, tiende a permanecer en su lugar, ya que los usuarios invariablemente se aclimatan a la presencia y el uso del sistema y lo adoptan con el tiempo como un elemento normalizado de su proceso diario de interacción con su sistema de información relevante.
Si bien la percepción es que la autenticación multifactor está dentro del ámbito de la seguridad perfecta, Roger Grimes escribe [44] que, si no se implementa y configura correctamente, la autenticación multifactor puede, de hecho, ser fácilmente derrotada.
En 2013, Kim Dotcom afirmó haber inventado la autenticación de dos factores en una patente de 2000 [45] y amenazó brevemente con demandar a todos los principales servicios web. Sin embargo, la Oficina Europea de Patentes revocó su patente [46] a la luz de una patente estadounidense anterior de 1998 que poseía AT&T. [47]