Autenticación multifactor

Método de control de acceso a la computadora

Claves de seguridad de autenticación de hardware

La autenticación multifactor ( MFA , por sus siglas en inglés ; autenticación de dos factores o 2FA , junto con términos similares) es un método de autenticación electrónica en el que se le otorga acceso a un usuario a un sitio web o aplicación solo después de presentar con éxito dos o más pruebas (o factores ) a un mecanismo de autenticación . La MFA protege los datos personales , que pueden incluir identificación personal o activos financieros , para que no sean accedidos por un tercero no autorizado que pueda haber descubierto, por ejemplo, una sola contraseña.

El uso de MFA ha aumentado en los últimos años, sin embargo, existen numerosas amenazas que constantemente hacen que sea difícil garantizar que MFA sea completamente seguro. ^[1]

Factores

La autenticación se produce cuando alguien intenta iniciar sesión en un recurso informático (como una red informática , un dispositivo o una aplicación). El recurso requiere que el usuario proporcione la identidad por la que el usuario es conocido en el recurso, junto con evidencia de la autenticidad de la afirmación del usuario sobre esa identidad. La autenticación simple requiere solo una de esas pruebas (factor), normalmente una contraseña. Para mayor seguridad, el recurso puede requerir más de un factor: autenticación multifactor o autenticación de dos factores en los casos en que se deben proporcionar exactamente dos pruebas. ^[2]

El uso de múltiples factores de autenticación para demostrar la identidad de una persona se basa en la premisa de que es poco probable que un actor no autorizado pueda proporcionar los factores necesarios para el acceso. Si, en un intento de autenticación, falta al menos uno de los componentes o se proporciona de forma incorrecta, la identidad del usuario no se establece con suficiente certeza y el acceso al activo (por ejemplo, un edificio o datos) que se protege mediante la autenticación multifactorial permanece bloqueado. Los factores de autenticación de un esquema de autenticación multifactorial pueden incluir: ^[3]

• Algo que el usuario tiene: Cualquier objeto físico en posesión del usuario, como un token de seguridad ( memoria USB ), una tarjeta bancaria , una llave, etc.
• Algo que el usuario sabe: cierto conocimiento que sólo conoce el usuario, como una contraseña , PIN , PUK , etc.
• Algo que el usuario es: Alguna característica física del usuario ( biometría ), como una huella digital, iris del ojo, voz, velocidad de escritura , patrón en los intervalos de pulsación de teclas, etc.

Un ejemplo de autenticación de dos factores es la retirada de dinero de un cajero automático ; sólo la combinación correcta de una tarjeta bancaria (algo que el usuario posee) y un PIN (algo que el usuario conoce) permite que se realice la transacción. Otros dos ejemplos son complementar una contraseña controlada por el usuario con una contraseña de un solo uso (OTP) o un código generado o recibido por un autenticador (por ejemplo, un token de seguridad o un teléfono inteligente) que sólo posee el usuario. ^[4]

Una aplicación de autenticación de terceros permite la autenticación de dos factores de una manera diferente, generalmente mostrando un código generado aleatoriamente y que se actualiza constantemente, que el usuario puede usar, en lugar de enviar un SMS o usar otro método. ^[5]

Conocimiento

Los factores de conocimiento son una forma de autenticación. En esta forma, el usuario debe demostrar que conoce un secreto para poder autenticarse.

Una contraseña es una palabra secreta o una cadena de caracteres que se utiliza para la autenticación del usuario. Este es el mecanismo de autenticación más utilizado. ^[3] Muchas técnicas de autenticación multifactor se basan en contraseñas como un factor de autenticación. Las variaciones incluyen tanto las más largas formadas a partir de varias palabras (una frase de contraseña ) como el PIN más corto, puramente numérico, que se usa comúnmente para el acceso a cajeros automáticos . Tradicionalmente, se espera que las contraseñas se memoricen , pero también se pueden escribir en un papel o archivo de texto oculto.

Posesión

Token RSA SecurID, un ejemplo de un generador de tokens desconectado

Los factores de posesión ("algo que sólo el usuario tiene") se han utilizado para la autenticación durante siglos, en forma de una llave para una cerradura. El principio básico es que la llave encarna un secreto que se comparte entre la cerradura y la llave, y el mismo principio subyace a la autenticación por factores de posesión en los sistemas informáticos. Un token de seguridad es un ejemplo de un factor de posesión.

Los tokens desconectados no tienen conexión con el equipo cliente. Por lo general, utilizan una pantalla integrada para mostrar los datos de autenticación generados, que el usuario ingresa manualmente. Este tipo de token utiliza principalmente una contraseña de un solo uso que solo se puede utilizar para esa sesión específica. ^[6]

Un token de seguridad USB

Los tokens conectados son dispositivos que están conectados físicamente a la computadora que se va a utilizar. Estos dispositivos transmiten datos automáticamente. ^[7] Hay varios tipos diferentes, incluidos tokens USB, tarjetas inteligentes y etiquetas inalámbricas . ^[7] Cada vez más, los tokens compatibles con FIDO2 , respaldados por la Alianza FIDO y el Consorcio World Wide Web (W3C), se han vuelto populares con el soporte de los navegadores principales a partir de 2015.

Un token de software (también conocido como token blando ) es un tipo de dispositivo de seguridad de autenticación de dos factores que se puede utilizar para autorizar el uso de servicios informáticos. Los tokens de software se almacenan en un dispositivo electrónico de uso general, como una computadora de escritorio , una computadora portátil , una PDA o un teléfono móvil , y se pueden duplicar. (En contraste con los tokens de hardware , donde las credenciales se almacenan en un dispositivo de hardware dedicado y, por lo tanto, no se pueden duplicar, a menos que se produzca una invasión física del dispositivo). Un token blando puede no ser un dispositivo con el que el usuario interactúa. Por lo general, se carga un certificado X.509v3 en el dispositivo y se almacena de forma segura para cumplir este propósito. ^{[ cita requerida ]}

La autenticación multifactor también se puede aplicar en sistemas de seguridad física. Estos sistemas de seguridad física se conocen y se denominan comúnmente control de acceso. La autenticación multifactor se implementa normalmente en sistemas de control de acceso mediante el uso, en primer lugar, de una posesión física (como un llavero, una tarjeta de acceso o un código QR que se muestra en un dispositivo) que actúa como credencial de identificación y, en segundo lugar, una validación de la identidad de una persona, como la biometría facial o el escaneo de retina. Esta forma de autenticación multifactor se conoce comúnmente como verificación facial o autenticación facial.

Inherente

Se trata de factores asociados al usuario y suelen ser métodos biométricos , entre los que se encuentran el reconocimiento de huellas dactilares , rostro , ^[8] voz o iris . También se pueden utilizar métodos biométricos de comportamiento como la dinámica de pulsaciones de teclas .

Ubicación

Cada vez más, entra en juego un cuarto factor relacionado con la ubicación física del usuario. Mientras esté conectado a la red corporativa, se le podría permitir a un usuario iniciar sesión utilizando solo un código PIN. Mientras que si el usuario estuviera fuera de la red o trabajando de forma remota, también podría requerirse un método de autenticación multifactor más seguro, como ingresar un código desde un token de software. Adaptar el tipo de método de autenticación multifactor y la frecuencia a la ubicación de los usuarios le permitirá evitar los riesgos comunes del trabajo remoto. ^[9]

Los sistemas de control de admisión a la red funcionan de manera similar, donde el nivel de acceso a la red puede depender de la red específica a la que está conectado un dispositivo, como Wi-Fi o conectividad por cable. Esto también permite que un usuario se mueva entre oficinas y reciba dinámicamente el mismo nivel de acceso a la red ^{[ aclaración necesaria ]} en cada una. ^{[ cita requerida ]}

Autenticación basada en teléfono móvil

Ejemplo de autenticación basada en teléfono móvil que muestra contraseñas de un solo uso

La autenticación de dos factores a través de mensajes de texto se desarrolló ya en 1996, cuando AT&T describió un sistema para autorizar transacciones basado en un intercambio de códigos a través de buscapersonas bidireccionales. ^{[10] [11]}

Muchos proveedores de autenticación multifactor ofrecen autenticación basada en teléfonos móviles. Algunos métodos incluyen autenticación basada en push, autenticación basada en código QR, autenticación con contraseña de un solo uso (basada en eventos y en tiempo) y verificación basada en SMS. La verificación basada en SMS presenta algunos problemas de seguridad. Los teléfonos se pueden clonar, las aplicaciones se pueden ejecutar en varios teléfonos y el personal de mantenimiento de teléfonos móviles puede leer mensajes de texto SMS. No menos importante, los teléfonos móviles pueden verse comprometidos en general, lo que significa que el teléfono ya no es algo que solo el usuario tiene.

El principal inconveniente de la autenticación que incluye algo que el usuario posee es que el usuario debe llevar consigo el token físico (la memoria USB, la tarjeta bancaria, la llave o similar) prácticamente en todo momento. La pérdida y el robo son riesgos. Muchas organizaciones prohíben llevar dispositivos USB y electrónicos dentro o fuera de las instalaciones debido a los riesgos de malware y robo de datos, y la mayoría de las máquinas importantes no tienen puertos USB por la misma razón. Los tokens físicos no suelen escalar, por lo general se requiere un nuevo token para cada nueva cuenta y sistema. La adquisición y posterior sustitución de tokens de este tipo implica costos. Además, existen conflictos inherentes y compensaciones inevitables entre la usabilidad y la seguridad. ^[12]

La autenticación en dos pasos que implica el uso de teléfonos móviles y teléfonos inteligentes ofrece una alternativa a los dispositivos físicos dedicados. Para autenticarse, las personas pueden utilizar sus códigos de acceso personales al dispositivo (es decir, algo que solo el usuario individual conoce) más un código de acceso dinámico válido por única vez, que generalmente consta de 4 a 6 dígitos. El código de acceso se puede enviar al dispositivo móvil ^[2] por SMS o se puede generar mediante una aplicación generadora de códigos de acceso de un solo uso. En ambos casos, la ventaja de utilizar un teléfono móvil es que no es necesario un token dedicado adicional, ya que los usuarios tienden a llevar sus dispositivos móviles consigo en todo momento.

A pesar de la popularidad de la verificación por SMS, los defensores de la seguridad han criticado públicamente la verificación por SMS ^{[13] y, en julio de 2016, un borrador de directrices} del NIST de los Estados Unidos propuso desaprobarla como forma de autenticación. ^[14] Un año después, el NIST restableció la verificación por SMS como un canal de autenticación válido en las directrices finalizadas. ^[15]

En 2016 y 2017 respectivamente, tanto Google como Apple comenzaron a ofrecer autenticación de dos pasos para el usuario con notificaciones push ^[3] como método alternativo. ^{[16] [17]}

La seguridad de los tokens de seguridad entregados a través de dispositivos móviles depende completamente de la seguridad operativa del operador móvil y puede ser fácilmente vulnerada mediante escuchas telefónicas o clonación de tarjetas SIM por parte de agencias de seguridad nacional. ^[18]

Ventajas:

• No se necesitan tokens adicionales porque se utilizan dispositivos móviles que (normalmente) llevamos encima todo el tiempo.
• Como cambian constantemente, los códigos de acceso generados dinámicamente son más seguros de usar que la información de inicio de sesión fija (estática).
• Dependiendo de la solución, las claves de acceso utilizadas se reemplazan automáticamente para garantizar que siempre haya un código válido disponible, por lo que los problemas de transmisión/recepción no impiden el inicio de sesión.

Desventajas:

• Los usuarios aún pueden ser vulnerables a ataques de phishing. Un atacante puede enviar un mensaje de texto que incluya un enlace a un sitio web falso que parezca idéntico al sitio web real. El atacante puede entonces obtener el código de autenticación, el nombre de usuario y la contraseña. ^[19]
• Un teléfono móvil no siempre está disponible: se puede perder, ser robado, tener la batería agotada o no funcionar.
• A pesar de su creciente popularidad, algunos usuarios tal vez ni siquiera posean un dispositivo móvil y se ofenden cuando se les exige tener uno como condición para usar algún servicio en su PC de casa.
• La recepción de teléfonos móviles no siempre está disponible: grandes áreas, particularmente fuera de las ciudades, carecen de cobertura.
• La clonación de tarjetas SIM permite a los piratas informáticos acceder a las conexiones de los teléfonos móviles. Los ataques de ingeniería social contra las compañías de telefonía móvil han dado lugar a la entrega de tarjetas SIM duplicadas a los delincuentes. ^[20]
• Los mensajes de texto a teléfonos móviles mediante SMS no son seguros y pueden ser interceptados por IMSI-catchers , por lo que terceros pueden robar y utilizar el token. ^[21]
• La recuperación de la cuenta generalmente pasa por alto la autenticación de dos factores del teléfono móvil. ^{[2] [ verificación fallida ]}
• Los teléfonos inteligentes modernos se utilizan tanto para recibir correo electrónico como para recibir SMS. Por lo tanto, si el teléfono se pierde o se lo roban y no está protegido con contraseña o datos biométricos, todas las cuentas cuya clave sea el correo electrónico pueden ser pirateadas, ya que el teléfono puede recibir el segundo factor.
• Los operadores móviles pueden cobrar tarifas de mensajería al usuario.

Legislación y regulación

El requisito 8.3 del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) exige el uso de MFA para todo acceso remoto a la red que se origine desde fuera de la red a un Entorno de Datos de Tarjeta (CDE). ^[22] A partir de la versión 3.2 del PCI-DSS, se requiere el uso de MFA para todo acceso administrativo al CDE, incluso si el usuario se encuentra dentro de una red confiable.

unión Europea

La segunda Directiva de Servicios de Pago exige una “ autenticación reforzada del cliente ” en la mayoría de los pagos electrónicos en el Espacio Económico Europeo desde el 14 de septiembre de 2019. ^[23]

India

En la India, el Banco de la Reserva de la India ha impuesto la autenticación de dos factores para todas las transacciones en línea realizadas con una tarjeta de débito o crédito mediante una contraseña o una contraseña de un solo uso enviada por SMS . Este requisito se eliminó en 2016 para las transacciones de hasta 2000 rupias después de optar por ello con el banco emisor. ^[24] El banco ha obligado a proveedores como Uber a modificar sus sistemas de procesamiento de pagos para cumplir con esta implementación de la autenticación de dos factores. ^{[25] [26] [27]}

Estados Unidos

Los detalles para la autenticación de empleados y contratistas federales en los EE. UU. están definidos en la Directiva Presidencial de Seguridad Nacional 12 (HSPD-12). ^[28]

Las normas regulatorias de TI para el acceso a los sistemas del gobierno federal requieren el uso de autenticación multifactor para acceder a recursos de TI sensibles, por ejemplo, al iniciar sesión en dispositivos de red para realizar tareas administrativas ^[29] y al acceder a cualquier computadora utilizando un inicio de sesión privilegiado. ^[30]

La publicación especial 800-63-3 del NIST analiza varias formas de autenticación de dos factores y proporciona orientación sobre su uso en procesos comerciales que requieren diferentes niveles de garantía. ^[31]

En 2005, el Consejo de Examen de Instituciones Financieras Federales de los Estados Unidos publicó una guía para las instituciones financieras en la que recomendaba que las instituciones financieras realizaran evaluaciones basadas en riesgos, evaluaran programas de concienciación de los clientes y desarrollaran medidas de seguridad para autenticar de manera confiable a los clientes que acceden de manera remota a los servicios financieros en línea , recomendando oficialmente el uso de métodos de autenticación que dependan de más de un factor (específicamente, lo que un usuario sabe, tiene y es) para determinar la identidad del usuario. ^[32] En respuesta a la publicación, numerosos proveedores de autenticación comenzaron a promover de manera indebida preguntas de desafío, imágenes secretas y otros métodos basados ​​en el conocimiento como autenticación "multifactorial". Debido a la confusión resultante y la adopción generalizada de dichos métodos, el 15 de agosto de 2006, el FFIEC publicó pautas complementarias que establecen que, por definición, un sistema de autenticación multifactorial "verdadero" debe utilizar instancias distintas de los tres factores de autenticación que había definido, y no solo utilizar múltiples instancias de un solo factor. ^[33]

Seguridad

Según los defensores, la autenticación multifactor podría reducir drásticamente la incidencia del robo de identidad en línea y otros fraudes en línea , porque la contraseña de la víctima ya no sería suficiente para dar a un ladrón acceso permanente a su información. Sin embargo, muchos enfoques de autenticación multifactor siguen siendo vulnerables a ataques de phishing , ^[34] man-in-the-browser y man-in-the-middle . ^[35] La autenticación de dos factores en aplicaciones web es especialmente susceptible a ataques de phishing, particularmente en SMS y correos electrónicos, y, como respuesta, muchos expertos aconsejan a los usuarios no compartir sus códigos de verificación con nadie, ^[36] y muchos proveedores de aplicaciones web colocarán un aviso en un correo electrónico o SMS que contiene un código. ^[37]

La autenticación multifactor puede resultar ineficaz ^[38] contra amenazas modernas, como el robo de datos en cajeros automáticos, el phishing y el malware. ^[39]

En mayo de 2017, O2 Telefónica , un proveedor de servicios móviles alemán, confirmó que los cibercriminales habían explotado las vulnerabilidades SS7 para eludir la autenticación de dos pasos basada en SMS y realizar retiros no autorizados de las cuentas bancarias de los usuarios. Los delincuentes primero infectaron las computadoras del titular de la cuenta en un intento de robar sus credenciales de cuenta bancaria y números de teléfono. Luego, los atacantes compraron el acceso a un proveedor de telecomunicaciones falso y configuraron una redirección para el número de teléfono de la víctima a un teléfono controlado por ellos. Finalmente, los atacantes iniciaron sesión en las cuentas bancarias en línea de las víctimas y solicitaron que el dinero de las cuentas se retirara a cuentas propiedad de los delincuentes. Las contraseñas de SMS se enrutaron a números de teléfono controlados por los atacantes y los delincuentes transfirieron el dinero. ^[40]

Fatiga de MFA

Un enfoque cada vez más común para derrotar a MFA es bombardear al usuario con muchas solicitudes para que acepte un inicio de sesión, hasta que el usuario finalmente sucumba al volumen de solicitudes y acepte una. ^[41]

Implementación

Muchos productos de autenticación multifactor requieren que los usuarios implementen software de cliente para que funcionen los sistemas de autenticación multifactor. Algunos proveedores han creado paquetes de instalación separados para el inicio de sesión de red , las credenciales de acceso web y las credenciales de conexión VPN . Para estos productos, puede haber cuatro o cinco paquetes de software diferentes para enviar a la PC cliente para poder utilizar el token o la tarjeta inteligente . Esto se traduce en cuatro o cinco paquetes en los que se debe realizar el control de versiones y cuatro o cinco paquetes para verificar si hay conflictos con las aplicaciones comerciales. Si el acceso se puede operar mediante páginas web , es posible limitar los costos generales descritos anteriormente a una sola aplicación. Con otras tecnologías de autenticación multifactor, como los productos de token de hardware, los usuarios finales no deben instalar ningún software. ^{[ cita requerida ]}

La autenticación multifactor tiene desventajas que impiden que muchos enfoques se generalicen. Algunos usuarios tienen dificultades para realizar un seguimiento de un token de hardware o un conector USB. Muchos usuarios no tienen las habilidades técnicas necesarias para instalar un certificado de software del lado del cliente por sí mismos. En general, las soluciones multifactor requieren una inversión adicional para la implementación y costos de mantenimiento. La mayoría de los sistemas basados ​​en tokens de hardware son propietarios y algunos proveedores cobran una tarifa anual por usuario. La implementación de tokens de hardware es un desafío logístico. Los tokens de hardware pueden dañarse o perderse, y la emisión de tokens en grandes industrias como la banca o incluso dentro de grandes empresas debe gestionarse. Además de los costos de implementación, la autenticación multifactor a menudo conlleva costos de soporte adicionales significativos. ^{[ cita requerida ]} Una encuesta de 2008 ^[42] de más de 120 cooperativas de crédito de EE. UU. realizada por el Credit Union Journal informó sobre los costos de soporte asociados con la autenticación de dos factores. En su informe, se informó que los certificados de software y los enfoques de barra de herramientas de software ^{[ aclaración necesaria ]} tenían los costos de soporte más altos.

Las investigaciones sobre la implementación de esquemas de autenticación multifactor ^[43] han demostrado que uno de los elementos que tienden a influir en la adopción de dichos sistemas es la línea de negocio de la organización que implementa el sistema de autenticación multifactor. Entre los ejemplos citados se incluyen el gobierno de los EE. UU., que emplea un elaborado sistema de tokens físicos (que a su vez están respaldados por una sólida infraestructura de clave pública ), así como los bancos privados, que tienden a preferir esquemas de autenticación multifactor para sus clientes que implican medios de verificación de identidad más accesibles y menos costosos, como una aplicación instalada en un teléfono inteligente propiedad del cliente. A pesar de las variaciones que existen entre los sistemas disponibles entre los que las organizaciones pueden tener que elegir, una vez que se implementa un sistema de autenticación multifactor dentro de una organización, tiende a permanecer en su lugar, ya que los usuarios invariablemente se aclimatan a la presencia y el uso del sistema y lo adoptan con el tiempo como un elemento normalizado de su proceso diario de interacción con su sistema de información relevante.

Si bien la percepción es que la autenticación multifactor está dentro del ámbito de la seguridad perfecta, Roger Grimes escribe ^[44] que, si no se implementa y configura correctamente, la autenticación multifactor puede, de hecho, ser fácilmente derrotada.

Patentes

En 2013, Kim Dotcom afirmó haber inventado la autenticación de dos factores en una patente de 2000 ^[45] y amenazó brevemente con demandar a todos los principales servicios web. Sin embargo, la Oficina Europea de Patentes revocó su patente ^[46] a la luz de una patente estadounidense anterior de 1998 que poseía AT&T. ^[47]

Véase también

• Factores de autenticación
• Autenticación electrónica
• Gestión de identidad
• Autorización multipartidaria
• Autenticación mutua
• Fuera de banda
• Autenticación de confianza
• Autenticación fuerte
• Segundo factor universal
• Detección y respuesta ante amenazas de identidad

Referencias

1. Russell, Steve (22 de febrero de 2023). "Evitar la autenticación multifactor". ITNOW . 65 (1): 42–45. doi :10.1093/combul/bwad023. ISSN  1746-5702.
2. "Autenticación de dos factores: lo que necesita saber (preguntas frecuentes) – CNET". CNET . Consultado el 31 de octubre de 2015 .
3. Jacomme, Charlie; Kremer, Steve (1 de febrero de 2021). "An Extensive Formal Analysis of Multi-factor Authentication Protocols" (Un análisis formal extenso de los protocolos de autenticación multifactor). ACM Transactions on Privacy and Security (Transacciones de ACM sobre privacidad y seguridad) . 24 (2). Nueva York: Association for Computing Machinery: 1–34. doi :10.1145/3440712. ISSN  2471-2566. S2CID  231791299.
4. [email protected] (28 de junio de 2016). "Volver a lo básico: autenticación multifactor (MFA)". NIST . Archivado desde el original el 6 de abril de 2021 . Consultado el 6 de abril de 2021 .
5. Barrett, Brian (22 de julio de 2018). "Cómo proteger sus cuentas con una mejor autenticación de dos factores". Wired . Consultado el 12 de septiembre de 2020 .
6. "Configuración de contraseñas de un solo uso". www.sonicwall.com . Sonic Wall . Consultado el 19 de enero de 2022 .
7. van Tilborg, Henk CA; Jajodia, Sushil, eds. (2011). Enciclopedia de criptografía y seguridad, volumen 1. Berlín, Alemania: Springer Science & Business Media . pág. 1305. ISBN. 9781441959058.
8. Cao, Liling; Ge, Wancheng (10 de marzo de 2015). "Análisis y mejora de un esquema de autenticación biométrica multifactorial: Análisis y mejora de un esquema MFBA". Seguridad y redes de comunicación . 8 (4): 617–625. doi :10.1002/sec.1010.
9. "11 consejos para proteger Active Directory mientras se trabaja desde casa". www.darkreading.com . Consultado el 29 de agosto de 2024 .
10. "¿Tiene Kim Dotcom la patente original del inicio de sesión de 'dos ​​factores'?". The Guardian . 2013-05-23 . Consultado el 2022-11-02 .
11. EP 0745961, "Sistema de autorización y alerta de transacciones", publicado el 4 de diciembre de 1996 
12. Wang, Ding; He, Debiao; Wang, Ping; Chu, Chao-Hsien (2014). "Autenticación anónima de dos factores en sistemas distribuidos: ciertos objetivos están más allá de su consecución" (PDF) . Transacciones IEEE sobre computación segura y confiable . Piscataway, Nueva Jersey: Instituto de Ingenieros Eléctricos y Electrónicos . Consultado el 23 de marzo de 2018 .
13. Andy Greenberg (26 de junio de 2016). "Así que deberías dejar de usar mensajes de texto para la autenticación de dos factores". Wired . Consultado el 12 de mayo de 2018 .
14. "El NIST ya no recomienda la autenticación de dos factores mediante SMS". Schneier on Security. 3 de agosto de 2016. Consultado el 30 de noviembre de 2017 .
15. "¡Reversión! El NIST de Estados Unidos ya no recomienda "Desestimar SMS para 2FA"". 6 de julio de 2017 . Consultado el 21 de mayo de 2019 .
16. Tung, Liam. "Indicador de Google: ahora puedes simplemente pulsar 'sí' o 'no' en iOS y Android para aprobar el inicio de sesión en Gmail". ZD Net . Consultado el 11 de septiembre de 2017 .
17. Chance Miller (25 de febrero de 2017). "Apple está impulsando iOS 10.3". 9to5 Mac . Consultado el 11 de septiembre de 2017 .
18. "Cómo Rusia intercepta aplicaciones de mensajería - bellingcat". bellingcat . 2016-04-30. Archivado desde el original el 2016-04-30 . Consultado el 2016-04-30 .
19. Kan, Michael (7 de marzo de 2019). "Google: los ataques de phishing que pueden superar la autenticación de dos factores están en aumento". PC Mag . Consultado el 9 de septiembre de 2019 .
20. Nichols, Shaun (10 de julio de 2017). "Two-factor FAIL: Chap gets pwned after 'AT&T falls for hacker tricks'" (Error de dos factores: un tipo es atacado después de que 'AT&T cae en los trucos de los hackers'). The Register . Consultado el 11 de julio de 2017 .
21. Toorani, Mohsen; Beheshti, A. (2008). "SSMS - Un protocolo de mensajería SMS segura para los sistemas de pago por móvil". Simposio IEEE sobre computadoras y comunicaciones de 2008. págs. 700–705. arXiv : 1002.3171 . doi :10.1109/ISCC.2008.4625610. ISBN . 978-1-4244-2702-4.S2CID 5066992  .
22. "Sitio oficial del PCI Security Standards Council: verificación del cumplimiento de PCI, descarga de estándares de seguridad de datos y de tarjetas de crédito". www.pcisecuritystandards.org . Consultado el 25 de julio de 2016 .
23. Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, por el que se complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y a los estándares de comunicación abiertos, comunes y seguros (Texto pertinente a efectos del EEE), 2018-03-13 , consultado el 2021-04-06
24. Karnik, Madhura (7 de diciembre de 2016). "Finalmente, los indios pueden usar tarjetas de crédito en línea sin los molestos OTP, pero solo para compras inferiores a 2000 rupias". Quartz . Consultado el 10 de diciembre de 2023 .
25. Agarwal, Surabhi (7 de diciembre de 2016). "Las empresas de pago aplauden la decisión del RBI de eliminar la autenticación de dos factores para transacciones de pequeño valor". The Economic Times . Consultado el 28 de junio de 2020 .
26. Nair, Vishwanath (6 de diciembre de 2016). "RBI facilita la autenticación de dos factores para transacciones con tarjeta en línea de hasta 2.000 rupias". Livemint . Consultado el 28 de junio de 2020 .
27. "Uber ahora cumple con el requisito de autenticación de dos factores de la India, lo califica de innecesario y engorroso". VentureBeat . 2014-11-30 . Consultado el 2021-09-05 .
28. "Directiva Presidencial de Seguridad Nacional 12". Departamento de Seguridad Nacional . 1 de agosto de 2008. Archivado desde el original el 16 de septiembre de 2012.
29. "SANS Institute, Critical Control 10: configuraciones seguras para dispositivos de red como cortafuegos, enrutadores y conmutadores". Archivado desde el original el 28 de enero de 2013. Consultado el 11 de febrero de 2013 .
30. "SANS Institute, Control crítico 12: uso controlado de privilegios administrativos". Archivado desde el original el 28 de enero de 2013. Consultado el 11 de febrero de 2013 .
31. "Directrices de identidad digital". Publicación especial del NIST 800-63-3 . NIST. 22 de junio de 2017. Consultado el 2 de febrero de 2018 .
32. "Comunicado de prensa de la FFIEC". 12 de octubre de 2005. Consultado el 13 de mayo de 2011 .
33. "Preguntas frecuentes sobre la guía de la FFIEC sobre autenticación en un entorno de banca por Internet" (PDF) . FFIEC. 15 de agosto de 2006. Archivado (PDF) desde el original el 15 de noviembre de 2012.
34. Brian Krebs (10 de julio de 2006). «Solución de seguridad: un ataque de phishing de Citibank suplanta la autenticación de dos factores». Washington Post . Archivado desde el original el 3 de julio de 2011. Consultado el 20 de septiembre de 2016 .
35. Bruce Schneier (marzo de 2005). "El fracaso de la autenticación de dos factores". Schneier on Security . Consultado el 20 de septiembre de 2016 .
36. Alex Perekalin (mayo de 2018). "Por qué nunca deberías enviar códigos de verificación a nadie". Kaspersky . Consultado el 17 de octubre de 2020 .
37. Siadati, Hossein; Nguyen, Toan; Gupta, Payas; Jakobsson, Markus; Memon, Nasir (2017). "Cuidado con los SMS: mitigación de la ingeniería social en la autenticación de segundo factor". Computers & Security . 65 : 14–28. doi : 10.1016/j.cose.2016.09.009 . S2CID  10821943.
38. Shankland, Stephen. "¿Autenticación de dos factores? No es tan segura como cabría esperar al iniciar sesión en el correo electrónico o en el banco". CNET . Consultado el 27 de septiembre de 2020 .
39. "El fracaso de la autenticación de dos factores: Schneier sobre seguridad". schneier.com . Consultado el 23 de octubre de 2015 .
40. Khandelwal, Swati. "Ataque SS7 en el mundo real: los piratas informáticos están robando dinero de las cuentas bancarias". The Hacker News . Consultado el 5 de mayo de 2017 .
41. "Fatiga de MFA: la nueva táctica favorita de los piratas informáticos en infracciones de alto perfil". BleepingComputer . Consultado el 12 de agosto de 2023 .
42. "Estudio arroja nueva luz sobre los costos y los efectos de los factores múltiples". 4 de abril de 2008. Archivado desde el original el 8 de julio de 2011.
43. Libicki, Martin C.; Balkovich, Edward; Jackson, Brian A.; Rudavsky, Rena; Webb, Katharine (2011). "Influencias en la adopción de la autenticación multifactorial".
44. "Hacking de autenticación multifactor | Wiley". Wiley.com . Consultado el 17 de diciembre de 2020 .
45. US 6078908, Schmitz, Kim, "Método de autorización en sistemas de transmisión de datos" 
46. Brodkin, Jon (23 de mayo de 2013). «Kim Dotcom afirma haber inventado la autenticación de dos factores, pero no fue el primero». Ars Technica . Archivado desde el original el 9 de julio de 2019 . Consultado el 25 de julio de 2019 .
47. US 5708422, Blonder, et al., "Sistema de autorización y alerta de transacciones" 

Lectura adicional

• Brandom, Russell (10 de julio de 2017). "La autenticación de dos factores es un desastre". The Verge . Consultado el 10 de julio de 2017 .

Enlaces externos

• TwoFactorAuth.org - TwoFactorAuth.org - Un recurso en línea detallado sobre (2FA) y todo lo que implica
• Los atacantes violaron los servidores de RSA y robaron información que podría utilizarse para comprometer la seguridad de los tokens de autenticación de dos factores utilizados por 40 millones de empleados (register.com, 18 de marzo de 2011)
• Los bancos utilizarán la autenticación de dos factores a finales de 2006 (slashdot.org, 20 de octubre de 2005)
• Microsoft abandonará las contraseñas y se prepara para dejar de usarlas en favor de una autenticación de dos factores en las próximas versiones de Windows (vnunet.com, 14 de marzo de 2005)