La autenticación multifactor ( MFA ; autenticación de dos factores , o 2FA , junto con términos similares) es un método de autenticación electrónica en el que a un usuario se le concede acceso a un sitio web o aplicación solo después de presentar con éxito dos o más pruebas (o factores ) a un mecanismo de autenticación . MFA protege los datos personales , que pueden incluir identificación personal o activos financieros , del acceso de un tercero no autorizado que pudo haber descubierto, por ejemplo, una única contraseña .
El uso de MFA ha aumentado en los últimos años; sin embargo, existen numerosas amenazas que constantemente dificultan garantizar que MFA sea completamente seguro. [1]
La autenticación tiene lugar cuando alguien intenta iniciar sesión en un recurso informático (como una red informática , un dispositivo o una aplicación). El recurso requiere que el usuario proporcione la identidad por la cual el recurso lo conoce, junto con evidencia de la autenticidad del reclamo del usuario sobre esa identidad. La autenticación simple requiere sólo una de esas pruebas (factor), normalmente una contraseña. Para mayor seguridad, el recurso puede requerir más de un factor: autenticación multifactor o autenticación de dos factores en los casos en los que se deben proporcionar exactamente dos pruebas. [2]
El uso de múltiples factores de autenticación para demostrar la propia identidad se basa en la premisa de que es poco probable que un actor no autorizado pueda proporcionar los factores necesarios para el acceso. Si, en un intento de autenticación, al menos uno de los componentes falta o se suministra incorrectamente, la identidad del usuario no se establece con suficiente certeza y el acceso al activo (por ejemplo, un edificio o datos) está protegido mediante autenticación multifactor, entonces permanece bloqueado. Los factores de autenticación de un esquema de autenticación multifactor pueden incluir: [3]
Un ejemplo de autenticación de dos factores es el retiro de dinero de un cajero automático ; sólo la combinación correcta de una tarjeta bancaria (algo que el usuario posee) y un PIN (algo que el usuario conoce) permite realizar la transacción. Otros dos ejemplos son complementar una contraseña controlada por el usuario con una contraseña de un solo uso (OTP) o un código generado o recibido por un autenticador (por ejemplo, un token de seguridad o un teléfono inteligente) que sólo posee el usuario. [4]
Una aplicación de autenticación de terceros permite la autenticación de dos factores de una manera diferente, generalmente mostrando un código generado aleatoriamente y que se actualiza constantemente que el usuario puede usar, en lugar de enviar un SMS o utilizar otro método. [5]
Los factores de conocimiento son una forma de autenticación. De esta forma, el usuario debe demostrar el conocimiento de un secreto para poder autenticarse.
Una contraseña es una palabra secreta o una cadena de caracteres que se utiliza para la autenticación del usuario. Este es el mecanismo de autenticación más utilizado. [3] Muchas técnicas de autenticación multifactor se basan en contraseñas como uno de los factores de autenticación. Las variaciones incluyen tanto los más largos formados por varias palabras (una frase de contraseña ) como el PIN más corto, puramente numérico, comúnmente utilizado para el acceso a cajeros automáticos . Tradicionalmente, se espera que las contraseñas se memoricen , pero también se pueden escribir en un papel oculto o en un archivo de texto.
Los factores de posesión ("algo que sólo el usuario tiene") se han utilizado para la autenticación durante siglos, en forma de llave de cerradura. El principio básico es que la clave encarna un secreto que se comparte entre la cerradura y la llave, y el mismo principio subyace a la autenticación del factor de posesión en los sistemas informáticos. Un token de seguridad es un ejemplo de factor de posesión.
Los tokens desconectados no tienen conexiones con la computadora cliente. Por lo general, utilizan una pantalla incorporada para mostrar los datos de autenticación generados, que el usuario ingresa manualmente. Este tipo de token utiliza principalmente una OTP que sólo se puede utilizar para esa sesión específica. [6]
Los tokens conectados son dispositivos que están conectados físicamente a la computadora que se va a utilizar. Esos dispositivos transmiten datos automáticamente. [7] Hay varios tipos diferentes, incluidos tokens USB, tarjetas inteligentes y etiquetas inalámbricas . [7] Cada vez más, los tokens compatibles con FIDO2 , respaldados por la Alianza FIDO y el Consorcio World Wide Web (W3C), se han vuelto populares con el soporte de los navegadores convencionales a partir de 2015.
Un token de software (también conocido como token de software ) es un tipo de dispositivo de seguridad de autenticación de dos factores que puede usarse para autorizar el uso de servicios informáticos. Los tokens de software se almacenan en un dispositivo electrónico de uso general, como una computadora de escritorio , una computadora portátil , una PDA o un teléfono móvil , y se pueden duplicar. (En contraste , los tokens de hardware , donde las credenciales se almacenan en un dispositivo de hardware dedicado y, por lo tanto, no se pueden duplicar, en ausencia de invasión física del dispositivo). Un token de software puede no ser un dispositivo con el que interactúa el usuario. Normalmente, se carga un certificado X.509v3 en el dispositivo y se almacena de forma segura para este propósito. [ cita necesaria ]
La autenticación multifactor también se puede aplicar en sistemas de seguridad física. Estos sistemas de seguridad física son conocidos y comúnmente denominados control de acceso. La autenticación multifactor se suele implementar en los sistemas de control de acceso mediante el uso, en primer lugar, de una posesión física (como un llavero, una tarjeta de acceso o un código QR mostrado en un dispositivo) que actúa como credencial de identificación y, en segundo lugar, una validación. de la propia identidad, como la biometría facial o el escaneo de retina. Esta forma de autenticación multifactor se conoce comúnmente como verificación facial o autenticación facial.
Se trata de factores asociados al usuario, y suelen ser métodos biométricos , entre los que se incluyen el reconocimiento de huellas dactilares , rostro , [8] voz o iris . También se puede utilizar la biometría del comportamiento, como la dinámica de pulsaciones de teclas .
Cada vez más, entra en juego un cuarto factor relacionado con la ubicación física del usuario. Mientras esté conectado a la red corporativa, a un usuario se le podría permitir iniciar sesión utilizando solo un código PIN. Mientras que si el usuario estaba fuera de la red, también podría ser necesario ingresar un código de un token de software. Esto podría verse como un estándar aceptable en el que se controla el acceso a la oficina. [ cita necesaria ]
Los sistemas para el control de admisión de la red funcionan de manera similar, donde el nivel de acceso a la red puede depender de la red específica a la que está conectado un dispositivo, como Wi-Fi o conectividad por cable. Esto también permite que un usuario se mueva entre oficinas y reciba dinámicamente el mismo nivel de acceso a la red [ se necesita aclaración ] en cada una. [ cita necesaria ]
La autenticación de dos factores a través de mensajes de texto se desarrolló ya en 1996, cuando AT&T describió un sistema para autorizar transacciones basado en un intercambio de códigos a través de buscapersonas bidireccionales. [9] [10]
Muchos proveedores de autenticación multifactor ofrecen autenticación basada en teléfonos móviles. Algunos métodos incluyen autenticación basada en push, autenticación basada en códigos QR, autenticación de contraseña de un solo uso (basada en eventos y en tiempo) y verificación basada en SMS. La verificación basada en SMS adolece de algunos problemas de seguridad. Los teléfonos se pueden clonar, las aplicaciones pueden ejecutarse en varios teléfonos y el personal de mantenimiento de teléfonos móviles puede leer mensajes de texto. No menos importante es que los teléfonos móviles pueden verse comprometidos en general, lo que significa que el teléfono ya no es algo que sólo tiene el usuario.
El gran inconveniente de la autenticación incluyendo algo que el usuario posee es que éste debe llevar consigo el token físico (la memoria USB, la tarjeta bancaria, la clave o similar), prácticamente en todo momento. La pérdida y el robo son riesgos. Muchas organizaciones prohíben llevar dispositivos USB y electrónicos dentro o fuera de las instalaciones debido al riesgo de malware y robo de datos, y las máquinas más importantes no tienen puertos USB por la misma razón. Los tokens físicos generalmente no escalan y generalmente requieren un token nuevo para cada cuenta y sistema nuevos. La adquisición y posterior sustitución de tokens de este tipo conlleva costes. Además, existen conflictos inherentes y compensaciones inevitables entre usabilidad y seguridad. [11]
La autenticación en dos pasos que involucra teléfonos móviles y teléfonos inteligentes ofrece una alternativa a los dispositivos físicos dedicados. Para autenticarse, las personas pueden usar sus códigos de acceso personales al dispositivo (es decir, algo que sólo el usuario individual sabe) más un código de acceso dinámico, válido por única vez, que normalmente consta de 4 a 6 dígitos. El código de acceso se puede enviar a su dispositivo móvil [2] mediante SMS o se puede generar mediante una aplicación generadora de códigos de acceso de un solo uso. En ambos casos, la ventaja de utilizar un teléfono móvil es que no es necesario un token dedicado adicional, ya que los usuarios tienden a llevar consigo sus dispositivos móviles en todo momento.
A pesar de la popularidad de la verificación por SMS, los defensores de la seguridad han criticado públicamente la verificación por SMS [12] y, en julio de 2016, un borrador de directriz del NIST de Estados Unidos propuso desaprobarla como forma de autenticación. [13] Un año después, el NIST restableció la verificación por SMS como canal de autenticación válido en la directriz finalizada. [14]
En 2016 y 2017 respectivamente, tanto Google como Apple comenzaron a ofrecer al usuario autenticación en dos pasos con notificaciones push [3] como método alternativo. [15] [16]
La seguridad de los tokens de seguridad entregados por dispositivos móviles depende totalmente de la seguridad operativa del operador móvil y puede ser fácilmente violada mediante escuchas telefónicas o clonación de SIM por parte de las agencias de seguridad nacionales. [17]
Ventajas:
Desventajas:
El estándar de seguridad de datos de la industria de tarjetas de pago (PCI) , requisito 8.3, requiere el uso de MFA para todo acceso remoto a la red que se origine desde fuera de la red a un entorno de datos de tarjeta (CDE). [21] A partir de PCI-DSS versión 3.2, se requiere el uso de MFA para todo acceso administrativo al CDE, incluso si el usuario se encuentra dentro de una red confiable.
La segunda Directiva de Servicios de Pago exige una " autenticación sólida del cliente " en la mayoría de los pagos electrónicos en el Espacio Económico Europeo desde el 14 de septiembre de 2019. [22]
En India, el Banco de la Reserva de la India exigió la autenticación de dos factores para todas las transacciones en línea realizadas con una tarjeta de débito o crédito utilizando una contraseña o una contraseña de un solo uso enviada por SMS . Este requisito se eliminó en 2016 para transacciones de hasta ₹ 2000 después de registrarse con el banco emisor. [23] El banco ha ordenado a proveedores como Uber que modifiquen sus sistemas de procesamiento de pagos de conformidad con esta implementación de autenticación de dos factores. [24] [25] [26]
Los detalles para la autenticación de empleados y contratistas federales en los EE. UU. se definen en la Directiva Presidencial de Seguridad Nacional 12 (HSPD-12). [27]
Los estándares regulatorios de TI para el acceso a los sistemas del gobierno federal requieren el uso de autenticación multifactor para acceder a recursos de TI confidenciales, por ejemplo, al iniciar sesión en dispositivos de red para realizar tareas administrativas [28] y al acceder a cualquier computadora mediante un inicio de sesión privilegiado. [29]
La publicación especial 800-63-3 del NIST analiza varias formas de autenticación de dos factores y brinda orientación sobre su uso en procesos comerciales que requieren diferentes niveles de seguridad. [30]
En 2005, el Consejo Federal de Examen de Instituciones Financieras de los Estados Unidos emitió una guía para las instituciones financieras recomendando a las instituciones financieras realizar evaluaciones basadas en riesgos, evaluar programas de concientización del cliente y desarrollar medidas de seguridad para autenticar de manera confiable a los clientes que acceden de forma remota a servicios financieros en línea , recomendando oficialmente el uso de métodos de autenticación que dependen de más de un factor (específicamente, lo que un usuario sabe, tiene y es) para determinar la identidad del usuario. [31] En respuesta a la publicación, numerosos proveedores de autenticación comenzaron a promover indebidamente preguntas de seguridad, imágenes secretas y otros métodos basados en el conocimiento como autenticación "multifactor". Debido a la confusión resultante y a la adopción generalizada de tales métodos, el 15 de agosto de 2006, la FFIEC publicó directrices complementarias que establecen que, por definición, un sistema de autenticación multifactor "verdadero" debe utilizar instancias distintas de los tres factores de autenticación que utiliza. había definido, y no simplemente utilizar múltiples instancias de un solo factor. [32]
Según sus defensores, la autenticación multifactor podría reducir drásticamente la incidencia del robo de identidad en línea y otros fraudes en línea , porque la contraseña de la víctima ya no sería suficiente para darle al ladrón acceso permanente a su información. Sin embargo, muchos enfoques de autenticación multifactor siguen siendo vulnerables al phishing , [33] ataques de hombre en el navegador y de hombre en el medio . [34] La autenticación de dos factores en aplicaciones web es especialmente susceptible a ataques de phishing, particularmente en SMS y correos electrónicos, y, como respuesta, muchos expertos aconsejan a los usuarios que no compartan sus códigos de verificación con nadie, [35] y muchos sitios web Los proveedores de aplicaciones colocarán un aviso en un correo electrónico o SMS que contiene un código. [36]
La autenticación multifactor puede resultar ineficaz [37] contra amenazas modernas, como el robo de información en cajeros automáticos, el phishing y el malware. [38]
En mayo de 2017, O2 Telefónica , un proveedor de servicios móviles alemán, confirmó que los ciberdelincuentes habían aprovechado las vulnerabilidades SS7 para eludir la autenticación en dos pasos basada en SMS y realizar retiros no autorizados de las cuentas bancarias de los usuarios. Los delincuentes primero infectaron las computadoras del titular de la cuenta en un intento de robar las credenciales de su cuenta bancaria y sus números de teléfono. Luego, los atacantes compraron acceso a un proveedor de telecomunicaciones falso y configuraron una redirección del número de teléfono de la víctima a un teléfono controlado por ellos. Finalmente, los atacantes iniciaron sesión en las cuentas bancarias en línea de las víctimas y solicitaron que el dinero de las cuentas fuera retirado a cuentas propiedad de los delincuentes. Los códigos de acceso de SMS fueron enviados a números de teléfono controlados por los atacantes y los delincuentes transfirieron el dinero. [39]
Un enfoque cada vez más común para derrotar a MFA es bombardear al usuario con muchas solicitudes para que acepte un inicio de sesión, hasta que el usuario finalmente sucumbe al volumen de solicitudes y acepta una. [40]
Muchos productos de autenticación multifactor requieren que los usuarios implementen software cliente para que los sistemas de autenticación multifactor funcionen. Algunos proveedores han creado paquetes de instalación separados para el inicio de sesión en la red , las credenciales de acceso web y las credenciales de conexión VPN . Para dichos productos, puede haber cuatro o cinco paquetes de software diferentes que se deben insertar en la PC del cliente para utilizar el token o la tarjeta inteligente . Esto se traduce en cuatro o cinco paquetes en los que se debe realizar el control de versiones y cuatro o cinco paquetes para comprobar si hay conflictos con las aplicaciones empresariales. Si el acceso se puede realizar mediante páginas web , es posible limitar los gastos generales descritos anteriormente a una sola aplicación. Con otras tecnologías de autenticación multifactor, como los productos de token de hardware, los usuarios finales no deben instalar ningún software. [ cita necesaria ]
La autenticación multifactor tiene desventajas que impiden que muchos enfoques se generalicen. Algunos usuarios tienen dificultades para realizar un seguimiento de un token de hardware o un conector USB. Muchos usuarios no tienen las habilidades técnicas necesarias para instalar por sí mismos un certificado de software del lado del cliente. Generalmente, las soluciones multifactoriales requieren inversiones adicionales para su implementación y costos de mantenimiento. La mayoría de los sistemas basados en tokens de hardware son propietarios y algunos proveedores cobran una tarifa anual por usuario. La implementación de tokens de hardware es un desafío logístico. Los tokens de hardware pueden dañarse o perderse, y es necesario gestionar la emisión de tokens en grandes industrias como la banca o incluso dentro de grandes empresas. Además de los costos de implementación, la autenticación multifactor a menudo conlleva importantes costos de soporte adicionales. [ cita necesaria ] Una encuesta de 2008 [41] de más de 120 cooperativas de crédito estadounidenses realizada por el Credit Union Journal informó sobre los costos de soporte asociados con la autenticación de dos factores. En su informe, se informó que los certificados de software y los enfoques de barras de herramientas de software [ se necesita aclaración ] tienen los costos de soporte más altos.
La investigación sobre implementaciones de esquemas de autenticación multifactor [42] ha demostrado que uno de los elementos que tienden a impactar la adopción de dichos sistemas es la línea de negocio de la organización que implementa el sistema de autenticación multifactor. Los ejemplos citados incluyen el gobierno de EE. UU., que emplea un elaborado sistema de tokens físicos (que a su vez están respaldados por una sólida infraestructura de clave pública ), así como los bancos privados, que tienden a preferir esquemas de autenticación multifactor para sus clientes que implican más accesibilidad, medios menos costosos de verificación de identidad, como una aplicación instalada en un teléfono inteligente propiedad del cliente. A pesar de las variaciones que existen entre los sistemas disponibles entre los que las organizaciones pueden tener que elegir, una vez que se implementa un sistema de autenticación multifactor dentro de una organización, tiende a permanecer vigente, ya que los usuarios invariablemente se aclimatan a la presencia y el uso del sistema y lo adoptan. a lo largo del tiempo como un elemento normalizado de su proceso diario de interacción con su sistema de información relevante.
Si bien la percepción es que la autenticación multifactor está dentro del ámbito de la seguridad perfecta, Roger Grimes escribe [43] que si no se implementa y configura adecuadamente, la autenticación multifactor puede, de hecho, ser fácilmente derrotada.
En 2013, Kim Dotcom afirmó haber inventado la autenticación de dos factores en una patente de 2000 [44] y amenazó brevemente con demandar a todos los principales servicios web. Sin embargo, la Oficina Europea de Patentes revocó su patente [45] a la luz de una patente estadounidense anterior de 1998 propiedad de AT&T. [46]