Autenticación multifactor

Método de control de acceso a la computadora.

Claves de seguridad de autenticación de hardware

La autenticación multifactor ( MFA ; autenticación de dos factores , o 2FA , junto con términos similares) es un método de autenticación electrónica en el que a un usuario se le concede acceso a un sitio web o aplicación solo después de presentar con éxito dos o más pruebas (o factores ) a un mecanismo de autenticación . MFA protege los datos personales , que pueden incluir identificación personal o activos financieros , del acceso de un tercero no autorizado que pudo haber descubierto, por ejemplo, una única contraseña .

Un mayor uso de MFA está ayudando a organizaciones e individuos a tener un entorno de datos seguro. ^[1] Sin embargo, existen numerosas amenazas que constantemente dificultan garantizar que MFA sea completamente seguro. Las prácticas de los empleados también son una fuente de preocupación que debería garantizar que los datos sean privados y estén seguros frente a personas no autorizadas y malos actores. El problema es que la mayoría de las personas no quieren recordar contraseñas complicadas, por lo que optan por contraseñas fáciles. ^[2] A menudo, las personas intentan evitar la sensación de frustración en caso de que olviden sus contraseñas cruciales para sitios específicos.

Una aplicación de autenticación de terceros (TPA) permite la autenticación de dos factores , generalmente mostrando un código generado aleatoriamente y que cambia con frecuencia para usar en la autenticación.

Quizás, aparte de las aplicaciones de terceros, los usuarios deberían utilizar una técnica de autenticación de usuario que les permita iniciar sesión en su cuenta sin tener que memorizar necesariamente sus contraseñas. Los usuarios deben escanear con un código QR, luego verificar una imagen con el teléfono inteligente y luego enviarla al teléfono inteligente mediante una notificación automática. ^[3]

Factores

La autenticación tiene lugar cuando alguien intenta iniciar sesión en un recurso informático (como una red informática , un dispositivo o una aplicación). El recurso requiere que el usuario proporcione la identidad por la cual el recurso lo conoce, junto con evidencia de la autenticidad del reclamo del usuario sobre esa identidad. La autenticación simple requiere sólo una de esas pruebas (factor), normalmente una contraseña. Para mayor seguridad, el recurso puede requerir más de un factor: autenticación multifactor o autenticación de dos factores en los casos en los que se deben proporcionar exactamente dos pruebas. ^[4]

El uso de múltiples factores de autenticación para demostrar la propia identidad se basa en la premisa de que es poco probable que un actor no autorizado pueda proporcionar los factores necesarios para el acceso. Si, en un intento de autenticación, al menos uno de los componentes falta o se suministra incorrectamente, la identidad del usuario no se establece con suficiente certeza y el acceso al activo (por ejemplo, un edificio o datos) está protegido mediante autenticación multifactor, entonces permanece bloqueado. Los factores de autenticación de un esquema de autenticación multifactor pueden incluir: ^[5]

• Algo que tiene el usuario: Cualquier objeto físico en posesión del usuario, como un token de seguridad ( memoria USB ), una tarjeta bancaria , una llave, etc.
• Algo que el usuario sabe: Ciertos conocimientos que sólo el usuario conoce, como una contraseña , PIN , PUK , etc.
• Algo que es el usuario: Alguna característica física del usuario ( biometría ), como huella digital, iris del ojo, voz, velocidad de escritura , patrón en los intervalos de pulsación de teclas, etc.

Un ejemplo de autenticación de dos factores es el retiro de dinero de un cajero automático ; sólo la combinación correcta de una tarjeta bancaria (algo que el usuario posee) y un PIN (algo que el usuario conoce) permite realizar la transacción. Otros dos ejemplos son complementar una contraseña controlada por el usuario con una contraseña de un solo uso (OTP) o un código generado o recibido por un autenticador (por ejemplo, un token de seguridad o un teléfono inteligente) que sólo posee el usuario. ^[6]

Una aplicación de autenticación de terceros permite la autenticación de dos factores de una manera diferente, generalmente mostrando un código generado aleatoriamente y que se actualiza constantemente que el usuario puede usar, en lugar de enviar un SMS o utilizar otro método. Una gran ventaja de estas aplicaciones es que normalmente siguen funcionando incluso sin conexión a Internet. Ejemplos de aplicaciones de autenticación de terceros incluyen Google Authenticator , Authy y Microsoft Authenticator; Algunos administradores de contraseñas como LastPass también ofrecen el servicio. ^[7]

Conocimiento

Los factores de conocimiento son una forma de autenticación. De esta forma, el usuario debe demostrar el conocimiento de un secreto para poder autenticarse.

Una contraseña es una palabra secreta o una cadena de caracteres que se utiliza para la autenticación del usuario. Este es el mecanismo de autenticación más utilizado. ^[5] Muchas técnicas de autenticación multifactor se basan en contraseñas como uno de los factores de autenticación. Las variaciones incluyen tanto los más largos formados por varias palabras (una frase de contraseña ) como el PIN más corto, puramente numérico, comúnmente utilizado para el acceso a cajeros automáticos . Tradicionalmente, se espera que las contraseñas se memoricen , pero también se pueden escribir en un papel oculto o en un archivo de texto.

Posesión

Token RSA SecurID, un ejemplo de generador de token desconectado

Los factores de posesión ("algo que sólo el usuario tiene") se han utilizado para la autenticación durante siglos, en forma de llave de cerradura. El principio básico es que la clave encarna un secreto que se comparte entre la cerradura y la llave, y el mismo principio subyace a la autenticación del factor de posesión en los sistemas informáticos. Un token de seguridad es un ejemplo de factor de posesión.

Los tokens desconectados no tienen conexiones con la computadora cliente. Por lo general, utilizan una pantalla incorporada para mostrar los datos de autenticación generados, que el usuario ingresa manualmente. Este tipo de token utiliza principalmente una OTP que sólo se puede utilizar para esa sesión específica. ^[8]

Un token de seguridad USB

Los tokens conectados son dispositivos que están conectados físicamente a la computadora que se va a utilizar. Esos dispositivos transmiten datos automáticamente. ^[9] Hay varios tipos diferentes, incluidos tokens USB, tarjetas inteligentes y etiquetas inalámbricas . ^[9] Cada vez más, los tokens compatibles con FIDO2 , respaldados por la Alianza FIDO y el Consorcio World Wide Web (W3C), se han vuelto populares con el soporte de los navegadores convencionales a partir de 2015.

Un token de software (también conocido como token de software ) es un tipo de dispositivo de seguridad de autenticación de dos factores que puede usarse para autorizar el uso de servicios informáticos. Los tokens de software se almacenan en un dispositivo electrónico de uso general, como una computadora de escritorio , una computadora portátil , una PDA o un teléfono móvil , y se pueden duplicar. (En contraste, los tokens de hardware , donde las credenciales se almacenan en un dispositivo de hardware dedicado y, por lo tanto, no se pueden duplicar, en ausencia de invasión física del dispositivo). Un token de software puede no ser un dispositivo con el que interactúa el usuario. Normalmente, se carga un certificado X.509v3 en el dispositivo y se almacena de forma segura para este propósito. ^{[ cita necesaria ]}

La autenticación multifactor también se puede aplicar en sistemas de seguridad física. Estos sistemas de seguridad física son conocidos y comúnmente denominados control de acceso. La autenticación multifactor se suele implementar en los sistemas de control de acceso mediante el uso, en primer lugar, de una posesión física (como un llavero, una tarjeta de acceso o un código QR mostrado en un dispositivo) que actúa como credencial de identificación y, en segundo lugar, una validación. de la propia identidad, como la biometría facial o el escaneo de retina. Esta forma de autenticación multifactor se conoce comúnmente como verificación facial o autenticación facial.

Inherente

Se trata de factores asociados al usuario, y suelen ser métodos biométricos , como el reconocimiento de huellas dactilares , rostro , ^[10] voz o iris . También se puede utilizar la biometría del comportamiento, como la dinámica de pulsaciones de teclas .

Ubicación

Cada vez más, entra en juego un cuarto factor relacionado con la ubicación física del usuario. Mientras esté conectado a la red corporativa, a un usuario se le podría permitir iniciar sesión utilizando solo un código PIN. Mientras que si el usuario estaba fuera de la red, también podría ser necesario ingresar un código de un token de software. Esto podría verse como un estándar aceptable en el que se controla el acceso a la oficina. ^{[ cita necesaria ]}

Los sistemas para el control de admisión de red funcionan de manera similar, donde el nivel de acceso a la red puede depender de la red específica a la que está conectado un dispositivo, como Wi-Fi o conectividad por cable. Esto también permite que un usuario se mueva entre oficinas y reciba dinámicamente el mismo nivel de acceso a la red ^{[ se necesita aclaración ]} en cada una. ^{[ cita necesaria ]}

Autenticación basada en teléfono móvil

La autenticación de dos factores a través de mensajes de texto se desarrolló ya en 1996, cuando AT&T describió un sistema para autorizar transacciones basado en un intercambio de códigos a través de buscapersonas bidireccionales. ^{[11] [12]}

Muchos proveedores de autenticación multifactor ofrecen autenticación basada en teléfonos móviles. Algunos métodos incluyen autenticación basada en push, autenticación basada en códigos QR, autenticación de contraseña de un solo uso (basada en eventos y en tiempo) y verificación basada en SMS. La verificación basada en SMS adolece de algunos problemas de seguridad. Los teléfonos se pueden clonar, las aplicaciones se pueden ejecutar en varios teléfonos y el personal de mantenimiento de teléfonos móviles puede leer mensajes de texto. No menos importante es que los teléfonos móviles pueden verse comprometidos en general, lo que significa que el teléfono ya no es algo que sólo tiene el usuario.

El gran inconveniente de la autenticación incluyendo algo que el usuario posee es que éste debe llevar consigo el token físico (la memoria USB, la tarjeta bancaria, la clave o similar), prácticamente en todo momento. La pérdida y el robo son riesgos. Muchas organizaciones prohíben llevar dispositivos USB y electrónicos dentro o fuera de las instalaciones debido al riesgo de malware y robo de datos, y las máquinas más importantes no tienen puertos USB por la misma razón. Los tokens físicos generalmente no escalan y generalmente requieren un token nuevo para cada cuenta y sistema nuevos. La adquisición y posterior sustitución de tokens de este tipo conlleva costes. Además, existen conflictos inherentes y compensaciones inevitables entre usabilidad y seguridad. ^[13]

La autenticación en dos pasos que involucra teléfonos móviles y teléfonos inteligentes ofrece una alternativa a los dispositivos físicos dedicados. Para autenticarse, las personas pueden usar sus códigos de acceso personales al dispositivo (es decir, algo que sólo el usuario individual sabe) más un código de acceso dinámico, válido por única vez, que normalmente consta de 4 a 6 dígitos. El código de acceso se puede enviar a su dispositivo móvil ^[4] mediante SMS o se puede generar mediante una aplicación generadora de códigos de acceso de un solo uso. En ambos casos, la ventaja de utilizar un teléfono móvil es que no es necesario un token dedicado adicional, ya que los usuarios tienden a llevar consigo sus dispositivos móviles en todo momento.

A pesar de la popularidad de la verificación por SMS, los defensores de la seguridad han criticado públicamente la verificación por SMS ^{[14] y, en julio de 2016, un borrador de directriz} del NIST de Estados Unidos propuso desaprobarla como forma de autenticación. ^[15] Un año después, el NIST restableció la verificación por SMS como canal de autenticación válido en la directriz finalizada. ^[dieciséis]

En 2016 y 2017 respectivamente, tanto Google como Apple comenzaron a ofrecer al usuario autenticación en dos pasos con notificaciones push ^[5] como método alternativo. ^{[17] [18]}

La seguridad de los tokens de seguridad entregados por dispositivos móviles depende totalmente de la seguridad operativa del operador móvil y puede ser fácilmente violada mediante escuchas telefónicas o clonación de SIM por parte de las agencias de seguridad nacionales. ^[19]

Ventajas:

• No se necesitan tokens adicionales porque utiliza dispositivos móviles que (normalmente) se llevan consigo todo el tiempo.
• Como cambian constantemente, los códigos de acceso generados dinámicamente son más seguros de usar que la información de inicio de sesión fija (estática).
• Dependiendo de la solución, los códigos de acceso que se han utilizado se reemplazan automáticamente para garantizar que siempre haya un código válido disponible; por lo tanto, los problemas de transmisión/recepción no impiden el inicio de sesión.

Desventajas:

• Los usuarios aún pueden ser susceptibles a ataques de phishing. Un atacante puede enviar un mensaje de texto que enlace a un sitio web falso que parece idéntico al sitio web real. Luego, el atacante puede obtener el código de autenticación, el nombre de usuario y la contraseña. ^[20]
• Un teléfono móvil no siempre está disponible: se puede perder, ser robado, tener la batería agotada o no funcionar.
• A pesar de su creciente popularidad, es posible que algunos usuarios ni siquiera posean un dispositivo móvil y se sientan ofendidos por el hecho de que se les exija tener uno como condición para utilizar algún servicio en la PC de su hogar.
• La recepción de teléfonos móviles no siempre está disponible: grandes áreas, especialmente fuera de las ciudades, carecen de cobertura.
• La clonación de SIM permite a los piratas informáticos acceder a conexiones de teléfonos móviles. Los ataques de ingeniería social contra empresas operadoras de telefonía móvil han dado lugar a la entrega de tarjetas SIM duplicadas a delincuentes. ^[21]
• Los mensajes de texto a teléfonos móviles mediante SMS no son seguros y pueden ser interceptados por IMSI-catchers . De esta forma, terceros pueden robar y utilizar el token. ^[22]
• La recuperación de la cuenta normalmente pasa por alto la autenticación de dos factores del teléfono móvil. ^{[4] [ verificación fallida ]}
• Los teléfonos inteligentes modernos se utilizan tanto para recibir correos electrónicos como SMS. Entonces, si el teléfono se pierde o es robado y no está protegido por contraseña o datos biométricos, todas las cuentas para las cuales el correo electrónico es la clave pueden ser pirateadas, ya que el teléfono puede recibir el segundo factor.
• Los operadores de telefonía móvil pueden cobrar tarifas de mensajería a los usuarios.

Legislación y regulación

El estándar de seguridad de datos de la industria de tarjetas de pago (PCI) , requisito 8.3, requiere el uso de MFA para todo acceso remoto a la red que se origine desde fuera de la red a un entorno de datos de tarjeta (CDE). ^[23] A partir de PCI-DSS versión 3.2, se requiere el uso de MFA para todo acceso administrativo al CDE, incluso si el usuario se encuentra dentro de una red confiable.

unión Europea

La segunda Directiva de Servicios de Pago exige una " autenticación sólida del cliente " en la mayoría de los pagos electrónicos en el Espacio Económico Europeo desde el 14 de septiembre de 2019. ^[24]

India

En India, el Banco de la Reserva de la India exigió la autenticación de dos factores para todas las transacciones en línea realizadas con una tarjeta de débito o crédito utilizando una contraseña o una contraseña de un solo uso enviada por SMS . Este requisito se eliminó en 2016 para transacciones de hasta ₹ 2000 después de registrarse con el banco emisor. ^[25] El banco ha ordenado a proveedores como Uber que modifiquen sus sistemas de procesamiento de pagos de conformidad con esta implementación de autenticación de dos factores. ^{[26] [27] [28]}

Estados Unidos

Los detalles para la autenticación de empleados y contratistas federales en los EE. UU. se definen en la Directiva Presidencial de Seguridad Nacional 12 (HSPD-12). ^[29]

Los estándares regulatorios de TI para el acceso a los sistemas del gobierno federal requieren el uso de autenticación multifactor para acceder a recursos de TI confidenciales, por ejemplo, al iniciar sesión en dispositivos de red para realizar tareas administrativas ^[30] y al acceder a cualquier computadora mediante un inicio de sesión privilegiado. ^[31]

La publicación especial 800-63-3 del NIST analiza varias formas de autenticación de dos factores y brinda orientación sobre su uso en procesos comerciales que requieren diferentes niveles de seguridad. ^[32]

En 2005, el Consejo Federal de Examen de Instituciones Financieras de los Estados Unidos emitió una guía para las instituciones financieras recomendando a las instituciones financieras realizar evaluaciones basadas en riesgos, evaluar programas de concientización del cliente y desarrollar medidas de seguridad para autenticar de manera confiable a los clientes que acceden de forma remota a servicios financieros en línea , recomendando oficialmente el uso de métodos de autenticación que dependen de más de un factor (específicamente, lo que un usuario sabe, tiene y es) para determinar la identidad del usuario. ^[33] En respuesta a la publicación, numerosos proveedores de autenticación comenzaron a promover indebidamente preguntas de seguridad, imágenes secretas y otros métodos basados ​​en el conocimiento como autenticación "multifactor". Debido a la confusión resultante y a la adopción generalizada de tales métodos, el 15 de agosto de 2006, la FFIEC publicó directrices complementarias que establecen que, por definición, un sistema de autenticación multifactor "verdadero" debe utilizar instancias distintas de los tres factores de autenticación que utiliza. había definido, y no simplemente utilizar múltiples instancias de un solo factor. ^[34]

Seguridad

Según sus defensores, la autenticación multifactor podría reducir drásticamente la incidencia del robo de identidad en línea y otros fraudes en línea , porque la contraseña de la víctima ya no sería suficiente para darle al ladrón acceso permanente a su información. Sin embargo, muchos enfoques de autenticación multifactor siguen siendo vulnerables al phishing , ^{[35] ataques} de hombre en el navegador y de hombre en el medio . ^[36] La autenticación de dos factores en aplicaciones web es especialmente susceptible a ataques de phishing, particularmente en SMS y correos electrónicos, y, como respuesta, muchos expertos aconsejan a los usuarios que no compartan sus códigos de verificación con nadie, ^[37] y muchos sitios web Los proveedores de aplicaciones colocarán un aviso en un correo electrónico o SMS que contiene un código. ^[38]

La autenticación multifactor puede resultar ineficaz ^[39] contra amenazas modernas, como el robo de información en cajeros automáticos, el phishing y el malware. ^[40]

En mayo de 2017, O2 Telefónica , un proveedor de servicios móviles alemán, confirmó que los ciberdelincuentes habían aprovechado las vulnerabilidades SS7 para eludir la autenticación en dos pasos basada en SMS y realizar retiros no autorizados de las cuentas bancarias de los usuarios. Los delincuentes primero infectaron las computadoras del titular de la cuenta en un intento de robar las credenciales de su cuenta bancaria y sus números de teléfono. Luego, los atacantes compraron acceso a un proveedor de telecomunicaciones falso y configuraron una redirección del número de teléfono de la víctima a un teléfono controlado por ellos. Finalmente, los atacantes iniciaron sesión en las cuentas bancarias en línea de las víctimas y solicitaron que el dinero de las cuentas fuera retirado a cuentas propiedad de los delincuentes. Los códigos de acceso de SMS fueron enviados a números de teléfono controlados por los atacantes y los delincuentes transfirieron el dinero. ^[41]

fatiga del AMF

Un enfoque cada vez más común para derrotar a MFA es bombardear al usuario con muchas solicitudes para que acepte un inicio de sesión, hasta que el usuario finalmente sucumbe al volumen de solicitudes y acepta una. ^[42]

Implementación

Muchos productos de autenticación multifactor requieren que los usuarios implementen software cliente para que los sistemas de autenticación multifactor funcionen. Algunos proveedores han creado paquetes de instalación separados para el inicio de sesión en la red , las credenciales de acceso web y las credenciales de conexión VPN . Para dichos productos, puede haber cuatro o cinco paquetes de software diferentes que se deben insertar en la PC del cliente para utilizar el token o la tarjeta inteligente . Esto se traduce en cuatro o cinco paquetes en los que se debe realizar el control de versiones y cuatro o cinco paquetes para comprobar si hay conflictos con las aplicaciones empresariales. Si el acceso se puede realizar mediante páginas web , es posible limitar los gastos generales descritos anteriormente a una sola aplicación. Con otras tecnologías de autenticación multifactor, como los productos de token de hardware, los usuarios finales no deben instalar ningún software. ^{[ cita necesaria ]}

La autenticación multifactor tiene desventajas que impiden que muchos enfoques se generalicen. Algunos usuarios tienen dificultades para realizar un seguimiento de un token de hardware o un conector USB. Muchos usuarios no tienen las habilidades técnicas necesarias para instalar por sí mismos un certificado de software del lado del cliente. Generalmente, las soluciones multifactor requieren inversión adicional para su implementación y costos de mantenimiento. La mayoría de los sistemas basados ​​en tokens de hardware son propietarios y algunos proveedores cobran una tarifa anual por usuario. La implementación de tokens de hardware es un desafío logístico. Los tokens de hardware pueden dañarse o perderse, y es necesario gestionar la emisión de tokens en grandes industrias como la banca o incluso dentro de grandes empresas. Además de los costos de implementación, la autenticación multifactor a menudo conlleva importantes costos de soporte adicionales. ^{[ cita necesaria ]} Una encuesta de 2008 ^{[43] [ enlace muerto permanente ]} de más de 120 cooperativas de crédito estadounidenses realizada por el Credit Union Journal informó sobre los costos de soporte asociados con la autenticación de dos factores. En su informe, se informó que los certificados de software y los enfoques de barras de herramientas de software ^{[ se necesita aclaración ]} tienen los costos de soporte más altos.

La investigación sobre implementaciones de esquemas de autenticación multifactor ^[44] ha demostrado que uno de los elementos que tienden a impactar la adopción de dichos sistemas es la línea de negocio de la organización que implementa el sistema de autenticación multifactor. Los ejemplos citados incluyen el gobierno de EE. UU., que emplea un elaborado sistema de tokens físicos (que a su vez están respaldados por una sólida infraestructura de clave pública ), así como los bancos privados, que tienden a preferir esquemas de autenticación multifactor para sus clientes que implican más accesibilidad, medios menos costosos de verificación de identidad, como una aplicación instalada en un teléfono inteligente propiedad del cliente. A pesar de las variaciones que existen entre los sistemas disponibles entre los que las organizaciones pueden tener que elegir, una vez que se implementa un sistema de autenticación multifactor dentro de una organización, tiende a permanecer vigente, ya que los usuarios invariablemente se aclimatan a la presencia y el uso del sistema y lo adoptan. a lo largo del tiempo como un elemento normalizado de su proceso diario de interacción con su sistema de información relevante.

Si bien la percepción es que la autenticación multifactor está dentro del ámbito de la seguridad perfecta, Roger Grimes escribe ^[45] que si no se implementa y configura adecuadamente, la autenticación multifactor puede de hecho ser derrotada fácilmente.

Patentes

En 2013, Kim Dotcom afirmó haber inventado la autenticación de dos factores en una patente de 2000 ^[46] y amenazó brevemente con demandar a todos los principales servicios web. Sin embargo, la Oficina Europea de Patentes revocó su patente ^[47] a la luz de una patente estadounidense anterior de 1998 propiedad de AT&T. ^[48]

Ver también

• Autenticación electrónica
• Gestión de identidad
• Autorización multipartita
• Autenticacion mutua
• Fuera de banda
• Autenticación de confianza
• Autenticación fuerte
• Segundo factor universal
• Detección y respuesta a amenazas de identidad

Referencias

1. Russell, Steve (22 de febrero de 2023). "Evitar la autenticación multifactor". AHORA . 65 (1): 42–45. doi : 10.1093/combul/bwad023. ISSN  1746-5702.
2. Bencie, Lucas; Williams, Sídney (30 de enero de 2023). "Ayude a sus empleados a convertir las contraseñas seguras en un hábito". Revisión de negocios de Harvard . ISSN  0017-8012 . Consultado el 19 de febrero de 2024 .
3. Jindal, Sajal; Misra, Manoj (2021). Hura, Gurdeep Singh; Singh, Ashutosh Kumar; Siong Hoe, Lau (eds.). "Esquema de autenticación multifactor mediante aplicación móvil y cámara". Avances en Comunicación y Tecnología Computacional . Apuntes de conferencias en ingeniería eléctrica. Singapur: Springer Nature: 787–813. doi :10.1007/978-981-15-5341-7_60. ISBN 978-981-15-5341-7.
4. "Autenticación de dos factores: lo que necesita saber (preguntas frecuentes) - CNET". CNET . Consultado el 31 de octubre de 2015 .
5. Jacomme, Charlie; Kremer, Steve (1 de febrero de 2021). "Un análisis formal exhaustivo de los protocolos de autenticación multifactor". Transacciones ACM sobre privacidad y seguridad . Ciudad de Nueva York: Asociación de Maquinaria de Computación. 24 (2): 1–34. doi :10.1145/3440712. ISSN  2471-2566. S2CID  231791299.
6. [email protected] (28 de junio de 2016). "Regreso a lo básico: autenticación multifactor (MFA)". NIST . Archivado desde el original el 6 de abril de 2021 . Consultado el 6 de abril de 2021 .
7. Barrett, Brian (22 de julio de 2018). "Cómo proteger sus cuentas con una mejor autenticación de dos factores". Cableado . Consultado el 12 de septiembre de 2020 .
8. "Configuración de contraseñas de un solo uso". www.sonicwall.com . Muro Sónico . Consultado el 19 de enero de 2022 .
9. van Tilborg, Henk CA; Jajodia, Sushil, eds. (2011). Enciclopedia de criptografía y seguridad, volumen 1 . Berlín, Alemania: Springer Science & Business Media . pag. 1305.ISBN​ 9781441959058.
10. Cao, Liling; Ge, Wancheng (10 de marzo de 2015). "Análisis y mejora de un esquema de autenticación biométrica multifactor: Análisis y mejora de un esquema MFBA". Redes de Seguridad y Comunicaciones . 8 (4): 617–625. doi : 10.1002/seg.1010.
11. "¿Kim Dotcom tiene una patente de inicio de sesión original de 'dos ​​factores'?". el guardián . 23 de mayo de 2013 . Consultado el 2 de noviembre de 2022 .
12. EP 0745961, "Sistema de alerta y autorización de transacciones", publicado el 4 de diciembre de 1996 
13. Wang, Ding; Él, Debiao; Wang, Ping; Chu, Chao-Hsien (2014). "Autenticación anónima de dos factores en sistemas distribuidos: ciertos objetivos están más allá de su alcance" (PDF) . Transacciones IEEE sobre informática segura y confiable . Piscataway, Nueva Jersey: Instituto de Ingenieros Eléctricos y Electrónicos . Consultado el 23 de marzo de 2018 .
14. Andy Greenberg (26 de junio de 2016). "Oye, deberías dejar de usar mensajes de texto para la autenticación de dos factores". Cableado . Consultado el 12 de mayo de 2018 .
15. "NIST ya no recomienda la autenticación de dos factores mediante SMS". Schneier sobre seguridad. 3 de agosto de 2016 . Consultado el 30 de noviembre de 2017 .
16. "¡Revertir! El NIST de Estados Unidos ya no recomienda" Dejar de usar SMS para 2FA"". 6 de julio de 2017 . Consultado el 21 de mayo de 2019 .
17. Tung, Liam. "Mensaje de Google: ahora puede tocar 'sí' o 'no' en iOS y Android para aprobar el inicio de sesión de Gmail". Red ZD . Consultado el 11 de septiembre de 2017 .
18. Chance Miller (25 de febrero de 2017). "Apple solicita iOS 10.3". Mac 9 a 5 . Consultado el 11 de septiembre de 2017 .
19. "Cómo trabaja Rusia para interceptar aplicaciones de mensajería - bellingcat". gato de campana . 2016-04-30. Archivado desde el original el 30 de abril de 2016 . Consultado el 30 de abril de 2016 .
20. Kan, Michael (7 de marzo de 2019). "Google: los ataques de phishing que pueden superar los dos factores están aumentando". Revista PC . Consultado el 9 de septiembre de 2019 .
21. Nichols, Shaun (10 de julio de 2017). "FALLO de dos factores: Chap es engañado después de que 'AT&T se enamora de los trucos de los piratas informáticos'". El registro . Consultado el 11 de julio de 2017 .
22. Toorani, Mohsen; Beheshti, A. (2008). "SSMS: un protocolo seguro de mensajería SMS para sistemas de pago móvil". Simposio IEEE 2008 sobre Computadoras y Comunicaciones . págs. 700–705. arXiv : 1002.3171 . doi :10.1109/ISCC.2008.4625610. ISBN 978-1-4244-2702-4. S2CID  5066992.
23. "Sitio oficial del Consejo de estándares de seguridad de PCI: verifique el cumplimiento de PCI, descargue los estándares de seguridad de datos y de tarjetas de crédito". www.pcisecuritystandards.org . Consultado el 25 de julio de 2016 .
24. Reglamento Delegado (UE) 2018/389 de la Comisión de 27 de noviembre de 2017 que completa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo en lo que respecta a las normas técnicas regulatorias para una autenticación sólida de los clientes y estándares de comunicación abiertos, comunes y seguros (Texto con relevancia para el EEE), 2018-03-13 , consultado el 6 de abril de 2021 .
25. Karnik, Madhura (7 de diciembre de 2016). "Finalmente, los indios pueden usar tarjetas de crédito en línea sin dolorosas OTP, pero solo para compras inferiores a 2.000 rupias". Cuarzo . Consultado el 10 de diciembre de 2023 .
26. Agarwal, Surabhi (7 de diciembre de 2016). "Las empresas de pagos aplauden la decisión del RBI de renunciar a la autenticación de dos factores para transacciones de pequeño valor". Los tiempos económicos . Consultado el 28 de junio de 2020 .
27. Nair, Vishwanath (6 de diciembre de 2016). "RBI facilita la autenticación de dos factores para transacciones con tarjeta en línea de hasta 2000 rupias". Menta viva . Consultado el 28 de junio de 2020 .
28. "Uber ahora cumple con el requisito de autenticación de dos factores de la India y lo considera innecesario y oneroso". VentureBeat . 2014-11-30 . Consultado el 5 de septiembre de 2021 .
29. "Directiva presidencial 12 de seguridad nacional". Departamento de Seguridad Nacional . 1 de agosto de 2008. Archivado desde el original el 16 de septiembre de 2012.
30. "SANS Institute, Critical Control 10: Configuraciones seguras para dispositivos de red como firewalls, enrutadores y conmutadores". Archivado desde el original el 28 de enero de 2013 . Consultado el 11 de febrero de 2013 .
31. "Instituto SANS, Control crítico 12: uso controlado de privilegios administrativos". Archivado desde el original el 28 de enero de 2013 . Consultado el 11 de febrero de 2013 .
32. "Pautas de identidad digital". Publicación especial del NIST 800-63-3 . NIST. 22 de junio de 2017 . Consultado el 2 de febrero de 2018 .
33. "Comunicado de prensa de la FFIEC". 2005-10-12 . Consultado el 13 de mayo de 2011 .
34. "Preguntas frecuentes sobre la orientación de la FFIEC sobre autenticación en un entorno de banca por Internet" (PDF) . FFIEC. 2006-08-15. Archivado (PDF) desde el original el 15 de noviembre de 2012.
35. Brian Krebs (10 de julio de 2006). "Solución de seguridad: Citibank Phish falsifica la autenticación de dos factores". El Correo de Washington . Consultado el 20 de septiembre de 2016 .
36. Bruce Schneier (marzo de 2005). "El fracaso de la autenticación de dos factores". Schneier sobre seguridad . Consultado el 20 de septiembre de 2016 .
37. Alex Perekalin (mayo de 2018). "Por qué nunca deberías enviar códigos de verificación a nadie". Kaspersky . Consultado el 17 de octubre de 2020 .
38. Siadati, Hossein; Nguyen, Toan; Gupta, Payás; Jakobsson, Markus; Memon, Nasir (2017). "Cuide sus SMS: mitigación de la ingeniería social en la autenticación de segundo factor". Computadoras y seguridad . 65 : 14-28. doi : 10.1016/j.cose.2016.09.009 . S2CID  10821943.
39. Shankland, Stephen. "¿Autenticación de dos factores? No es tan segura como cabría esperar al iniciar sesión en el correo electrónico o en el banco". CNET . Consultado el 27 de septiembre de 2020 .
40. "El fracaso de la autenticación de dos factores: Schneier sobre seguridad". schneier.com . Consultado el 23 de octubre de 2015 .
41. Khandelwal, Swati. "Ataque SS7 en el mundo real: los piratas informáticos están robando dinero de cuentas bancarias". Las noticias de los piratas informáticos . Consultado el 5 de mayo de 2017 .
42. "MFA Fatigue: la nueva táctica favorita de los piratas informáticos en infracciones de alto perfil". Computadora que suena . Consultado el 12 de agosto de 2023 .
43. "Un estudio arroja nueva luz sobre los costos y los efectos de los factores múltiples". 4 de abril de 2008.
44. Libicki, Martín C.; Balkovich, Eduardo; Jackson, Brian A.; Rudavsky, Rena; Webb, Katharine (2011). "Influencias en la adopción de la autenticación multifactor".
45. "Hackear la autenticación multifactor | Wiley". Wiley.com . Consultado el 17 de diciembre de 2020 .
46. US 6078908, Schmitz, Kim, "Método de autorización en sistemas de transmisión de datos" 
47. Brodkin, Jon (23 de mayo de 2013). "Kim Dotcom afirma que inventó la autenticación de dos factores, pero no fue el primero". Ars Técnica . Archivado desde el original el 9 de julio de 2019 . Consultado el 25 de julio de 2019 .
48. US 5708422, Blonder, et al., "Sistema de alerta y autorización de transacciones" 

Otras lecturas

• Brandom, Russell (10 de julio de 2017). "La autenticación de dos factores es un desastre". El borde . Consultado el 10 de julio de 2017 .

enlaces externos

• Los atacantes violaron los servidores de RSA y robaron información que podría usarse para comprometer la seguridad de los tokens de autenticación de dos factores utilizados por 40 millones de empleados (register.com, 18 de marzo de 2011).
• Los bancos utilizarán la autenticación de dos factores para finales de 2006 (slashdot.org, 20 de octubre de 2005)
• Microsoft abandonará las contraseñas y Microsoft se prepara para deshacerse de las contraseñas en favor de la autenticación de dos factores en las próximas versiones de Windows (vnunet.com, 14 de marzo de 2005)