La autenticación de dos factores (2FA), a veces denominada verificación de dos pasos o autenticación de doble factor , es un proceso de seguridad en el que los usuarios proporcionan dos factores de autenticación diferentes para verificarse a sí mismos. Este proceso se realiza para proteger mejor tanto las credenciales del usuario como los recursos a los que el usuario puede acceder.
La autenticación de dos factores proporciona un nivel de seguridad más alto que los métodos de autenticación que dependen de la autenticación de un solo factor ( SFA ), en los que el usuario proporciona solo un factor, por lo general, una contraseña o un código de acceso. Los métodos de autenticación de dos factores dependen de que el usuario proporcione una contraseña, así como un segundo factor, generalmente un token de seguridad o uno biométrico. Por ejemplo, una huella digital o un escaneo facial.
La autenticación de dos factores agrega una capa adicional de seguridad al proceso de autenticación al dificultar que los atacantes obtengan acceso a los dispositivos o cuentas en línea de una persona porque conocer la contraseña de la víctima por sí solo no es suficiente para pasar la verificación de autenticación.
La autenticación de dos factores se ha utilizado durante mucho tiempo para controlar el acceso a sistemas y datos confidenciales, y los proveedores de servicios en línea utilizan cada vez más la 2FA para proteger las credenciales de sus usuarios contra el uso de piratas informáticos que han robado una base de datos de contraseñas o han utilizado campañas de phishing para obtener contraseñas de usuarios.
¿Qué son los factores de autenticación?
Hay varias formas diferentes en las que alguien puede autenticarse utilizando más de un método de autenticación. Actualmente, la mayoría de los métodos de autenticación se basan en factores de conocimiento, como una contraseña tradicional, mientras que los métodos de autenticación de dos factores agregan un factor de posesión o un factor de inherencia.
Los factores de autenticación, enumerados en orden aproximado de adopción para la informática, incluyen los siguientes:
- Un factor de conocimiento es algo que el usuario conoce, como una contraseña, un PIN (número de identificación personal) o algún otro tipo de secreto compartido.
- Un factor de posesión es algo que tiene el usuario, como una tarjeta de identificación, un token de seguridad, un teléfono celular, un dispositivo móvil o una aplicación de teléfono inteligente, para aprobar las solicitudes de autenticación.
- El factor de inherencia, más comúnmente llamado factor biométrico, es algo inherente al físico del usuario. Estos pueden ser atributos personales mapeados a partir de características físicas, como huellas dactilares autenticadas a través de un lector de huellas dactilares. Otros factores de inherencia comúnmente utilizados incluyen el reconocimiento facial y de voz. También incluyen datos biométricos del comportamiento, como la dinámica de las pulsaciones de teclas, los patrones de marcha o habla.
- Un factor de ubicación, generalmente indicado por la ubicación desde la que se realiza un intento de autenticación, se puede hacer cumplir limitando los intentos de autenticación a dispositivos específicos en una ubicación particular o, más comúnmente, rastreando la fuente geográfica de un intento de autenticación basado en la fuente. Dirección de Protocolo de Internet (IP) o alguna otra información de geolocalización, como datos del Sistema de Posicionamiento Global (GPS), derivados del teléfono móvil del usuario u otro dispositivo.
- Un factor de tiempo restringe la autenticación del usuario a una ventana de tiempo específica en la que se permite el inicio de sesión y restringe el acceso al sistema fuera de esa ventana.
Cabe señalar que la gran mayoría de los métodos de autenticación de dos factores se basan en los tres primeros factores de autenticación, aunque los sistemas que requieren mayor seguridad pueden usarlos para implementar la autenticación multifactor (MFA), que puede depender de dos o más credenciales independientes para una mayor seguridad. autenticación.
¿Cómo funciona la autenticación de dos factores?
Así es como funciona la autenticación de dos factores:
- La aplicación o el sitio web le solicita al usuario que inicie sesión.
- El usuario ingresa lo que sabe, generalmente, nombre de usuario y contraseña. Luego, el servidor del sitio encuentra una coincidencia y reconoce al usuario.
- Para los procesos que no requieren contraseñas, el sitio web genera una clave de seguridad única para el usuario. La herramienta de autenticación procesa la clave y el servidor del sitio la valida.
- Luego, el sitio solicita al usuario que inicie el segundo paso de inicio de sesión. Aunque este paso puede tomar varias formas, los usuarios deben demostrar que tienen algo que solo ellos tendrían, como un token de seguridad, una tarjeta de identificación, un teléfono inteligente u otro dispositivo móvil. Este es el factor de posesión.
- Luego, el usuario ingresa un código de una sola vez que se generó durante el paso cuatro.
- Después de proporcionar ambos factores, el usuario es autenticado y se le otorga acceso a la aplicación o sitio web.
Elementos de la autenticación de dos factores
La autenticación de dos factores es una forma de MFA. Técnicamente, está en uso cada vez que se requieren dos factores de autenticación para obtener acceso a un sistema o servicio. Sin embargo, usar dos factores de la misma categoría no constituye 2FA; por ejemplo, requerir una contraseña y un secreto compartido todavía se considera SFA ya que ambos pertenecen al mismo tipo de factor de autenticación: conocimiento.
En lo que respecta a los servicios de SFA, la identificación de usuario y la contraseña no son las más seguras. Un problema con la autenticación basada en contraseñas es que requiere conocimiento y diligencia para crear y recordar contraseñas seguras.
Las contraseñas requieren protección contra muchas amenazas internas, como notas adhesivas almacenadas descuidadamente con credenciales de inicio de sesión, discos duros antiguos y exploits de ingeniería social. Las contraseñas también son víctimas de amenazas externas, como los piratas informáticos que utilizan ataques de fuerza bruta, de diccionario o de tablas de arco iris.
Con suficiente tiempo y recursos, un atacante generalmente puede violar los sistemas de seguridad basados en contraseñas y robar datos corporativos, incluida la información personal de los usuarios. Las contraseñas siguen siendo la forma más común de SFA debido a su bajo costo, facilidad de implementación y familiaridad.
Varias preguntas de desafío-respuesta pueden brindar más seguridad, dependiendo de cómo se implementen, y los métodos de verificación biométrica independientes también pueden brindar un método más seguro de SFA.
Tipos de productos de autenticación de dos factores
Hay muchos dispositivos y servicios diferentes para implementar 2FA, desde tokens hasta tarjetas de identificación por radiofrecuencia (RFID) y aplicaciones para teléfonos inteligentes.
Los productos de autenticación de dos factores se pueden dividir en dos categorías: tokens que se entregan a los usuarios para que los usen al iniciar sesión e infraestructura o software que reconoce y autentica el acceso de los usuarios que están usando sus tokens correctamente.
Los tokens de autenticación pueden ser dispositivos físicos, como llaveros o tarjetas inteligentes, o pueden existir en software como aplicaciones móviles o de escritorio que generan códigos PIN para la autenticación. Estos códigos de autenticación, también conocidos como contraseñas de un solo uso (OTP), generalmente son generados por un servidor y pueden ser reconocidos como auténticos por un dispositivo o aplicación de autenticación. El código de autenticación es una secuencia corta vinculada a un dispositivo, usuario o cuenta en particular y se puede usar una vez como parte de un proceso de autenticación.
Las organizaciones necesitan implementar un sistema para aceptar, procesar y permitir (o denegar) el acceso a los usuarios que se autentican con sus tokens. Esto puede implementarse en forma de software de servidor, un servidor de hardware dedicado o proporcionado como un servicio por un proveedor externo.
Un aspecto importante de 2FA es garantizar que el usuario autenticado tenga acceso a todos los recursos para los que el usuario está aprobado, y solo a esos recursos. Como resultado, una función clave de 2FA es vincular el sistema de autenticación con los datos de autenticación de una organización.
Microsoft proporciona parte de la infraestructura necesaria para que las organizaciones admitan 2FA en Windows 10 a través de Windows Hello, que puede operar con cuentas de Microsoft, además de autenticar usuarios a través de Microsoft Active Directory, Azure AD o Fast IDentity Online (FIDO 2.0).
Cómo funcionan los tokens de hardware 2FA
Los tokens de hardware para 2FA están disponibles y admiten diferentes enfoques de autenticación. Un token de hardware popular es YubiKey, un pequeño dispositivo Universal Serial Bus (USB) que admite OTP, cifrado y autenticación de clave pública y el protocolo Universal 2nd Factor (U2F) desarrollado por FIDO Alliance. Los tokens YubiKey son vendidos por Yubico Inc., con sede en Palo Alto, California.
Cuando los usuarios con una YubiKey inician sesión en un servicio en línea que admite OTP, como Gmail, GitHub o WordPress, insertan su YubiKey en el puerto USB de su dispositivo, ingresan su contraseña, hacen clic en el campo YubiKey y tocan YubiKey. botón. YubiKey genera una OTP y la ingresa en el campo.
La OTP es una contraseña de un solo uso de 44 caracteres; los primeros 12 caracteres son una identificación única que identifica la clave de seguridad registrada con la cuenta. Los 32 caracteres restantes contienen información que está encriptada usando una clave conocida solo por el dispositivo y los servidores de Yubico, establecida durante el registro inicial de la cuenta.
La OTP se envía desde el servicio en línea a Yubico para verificar la autenticación. Una vez que se valida la OTP, el servidor de autenticación de Yubico envía un mensaje confirmando que este es el token correcto para este usuario. El 2FA está completo. El usuario ha proporcionado dos factores de autenticación: la contraseña es el factor de conocimiento y la YubiKey es el factor de posesión.
Autenticación de dos factores para la autenticación de dispositivos móviles
Los teléfonos inteligentes ofrecen una variedad de posibilidades para 2FA, lo que permite a las empresas utilizar lo que les funcione mejor. Algunos dispositivos son capaces de reconocer huellas dactilares, se puede usar una cámara incorporada para reconocimiento facial o escaneo de iris, y el micrófono se puede usar para reconocimiento de voz.
Los teléfonos inteligentes equipados con GPS pueden verificar la ubicación como un factor adicional. El servicio de mensajes cortos o de voz (SMS) también se puede utilizar como canal para la autenticación fuera de banda.
Se puede usar un número de teléfono confiable para recibir códigos de verificación por mensaje de texto o llamada telefónica automática. Un usuario debe verificar al menos un número de teléfono confiable para inscribirse en 2FA.
Apple iOS, Google Android y Windows 10 tienen aplicaciones que admiten 2FA, lo que permite que el propio teléfono sirva como dispositivo físico para satisfacer el factor de posesión. Duo Security, con sede en Ann Arbor, Michigan, y comprada por Cisco en 2018 por $ 2.350 millones, es un proveedor de plataforma 2FA cuyo producto permite a los clientes usar sus dispositivos confiables para 2FA.
La plataforma de Duo primero establece que se confía en un usuario antes de verificar que también se puede confiar en el dispositivo móvil para autenticar al usuario.
Las aplicaciones de autenticación reemplazan la necesidad de obtener un código de verificación por mensaje de texto, llamada de voz o correo electrónico. Por ejemplo, para acceder a un sitio web o servicio basado en la web que admita Google Authenticator, los usuarios escriben su nombre de usuario y contraseña, un factor de conocimiento.
A continuación, se solicita a los usuarios que ingresen un número de seis dígitos. En lugar de tener que esperar unos segundos para recibir un mensaje de texto, un autenticador genera el número para ellos. Estos números cambian cada 30 segundos y son diferentes para cada inicio de sesión. Al ingresar el número correcto, los usuarios completan el proceso de verificación y prueban la posesión del dispositivo correcto, un factor de propiedad.
Estos y otros productos 2FA ofrecen información sobre los requisitos mínimos del sistema necesarios para implementar 2FA.
¿Es segura la autenticación de dos factores?
Si bien la autenticación de dos factores mejora la seguridad, debido a que el derecho de acceso ya no depende únicamente de la fuerza de una contraseña, los esquemas de autenticación de dos factores son tan seguros como su componente más débil.
Por ejemplo, los tokens de hardware dependen de la seguridad del emisor o fabricante. Uno de los casos más destacados de un sistema de dos factores comprometido ocurrió en 2011 cuando la empresa de seguridad RSA Security informó que sus tokens de autenticación SecurID habían sido pirateados.
El proceso de recuperación de la cuenta en sí también se puede alterar cuando se usa para anular la autenticación de dos factores porque a menudo restablece la contraseña actual de un usuario y envía por correo electrónico una contraseña temporal para permitir que el usuario inicie sesión nuevamente, sin pasar por el proceso 2FA. Las cuentas comerciales de Gmail del director ejecutivo de Cloudflare fueron pirateadas de esta manera.
Aunque la 2FA basada en SMS es económica, fácil de implementar y se considera fácil de usar, es vulnerable a numerosos ataques. El Instituto Nacional de Estándares y Tecnología (NIST) ha desalentado el uso de SMS en los servicios 2FA en su Publicación especial 800-63-3: Pautas de identidad digital.
El NIST concluyó que las OTP enviadas a través de SMS son demasiado vulnerables debido a los ataques de portabilidad de números de teléfonos móviles, como el hack del Signaling System 7, contra la red de telefonía móvil y el malware, como Eurograbber, que se puede utilizar para interceptar o redirigir mensajes de texto.
Niveles más altos de autenticación
La mayoría de los ataques se originan en conexiones remotas a Internet, por lo que 2FA hace que estos ataques sean menos amenazantes. Obtener contraseñas no es suficiente para acceder, y es poco probable que un atacante también pueda obtener el segundo factor de autenticación asociado con una cuenta de usuario.
Sin embargo, los atacantes a veces rompen un factor de autenticación en el mundo físico. Por ejemplo, una búsqueda persistente de las instalaciones de destino podría arrojar una identificación de empleado y una contraseña en la basura o en dispositivos de almacenamiento descartados por descuido que contienen bases de datos de contraseñas. Sin embargo, si se requieren factores adicionales para la autenticación, el atacante se enfrentaría al menos a un obstáculo más. Debido a que los factores son independientes, el compromiso de uno no debe llevar al compromiso de los demás.
Esta es la razón por la que algunos entornos de alta seguridad requieren una forma más exigente de MFA, como la autenticación de tres factores (3FA), que generalmente implica la posesión de un token físico y una contraseña que se utilizan junto con datos biométricos, como escaneos de huellas dactilares o huellas de voz. También se utilizan factores como la ubicación geográfica, el tipo de dispositivo y la hora del día para ayudar a determinar si un usuario debe ser autenticado o bloqueado.
Además, los identificadores biométricos de comportamiento, como la longitud de la pulsación de tecla de un usuario, la velocidad de escritura y los movimientos del mouse, también se pueden monitorear discretamente en tiempo real para proporcionar autenticación continua en lugar de una única verificación de autenticación única durante el inicio de sesión.
Notificaciones push para 2FA
Una notificación de inserción es una autenticación sin contraseña que verifica a un usuario mediante el envío de una notificación directamente a una aplicación segura en el dispositivo del usuario, alertando al usuario de que se está produciendo un intento de autenticación. El usuario puede ver los detalles del intento de autenticación y aprobar o denegar el acceso, por lo general, con un solo toque. Si el usuario aprueba la solicitud de autenticación, el servidor recibe esa solicitud e inicia sesión en la aplicación web.
Las notificaciones automáticas autentican al usuario al confirmar que el dispositivo registrado en el sistema de autenticación, por lo general, un dispositivo móvil, está en posesión del usuario. Si un atacante compromete el dispositivo, las notificaciones push también se ven comprometidas. Las notificaciones push eliminan las oportunidades de ataques man-in-the-middle (MitM), acceso no autorizado y ataques de phishing e ingeniería social.
Si bien las notificaciones push son más seguras que otras formas de métodos de autenticación, aún existen riesgos de seguridad. Por ejemplo, los usuarios podrían aprobar accidentalmente una solicitud de autenticación fraudulenta porque están acostumbrados a tocar aprobar cuando reciben notificaciones automáticas.
Futuro de la autenticación
Depender de las contraseñas como método principal de autenticación ya no ofrece la seguridad o la experiencia de usuario (UX) que los usuarios exigen. Y, aunque las herramientas de seguridad heredadas, como un administrador de contraseñas y MFA, intentan resolver los problemas de los nombres de usuario y las contraseñas, dependen de una arquitectura esencialmente obsoleta: la base de datos de contraseñas.
En consecuencia, las organizaciones que buscan mejorar la seguridad en el futuro están explorando el uso de tecnologías de autenticación sin contraseña para mejorar la UX. La autenticación sin contraseña permite a los usuarios autenticarse en sus aplicaciones de forma segura, sin tener que introducir contraseñas. En los negocios, eso significa que los empleados pueden acceder a su trabajo sin tener que ingresar contraseñas, y TI aún mantiene un control total en cada inicio de sesión.
Los protocolos biométricos y seguros son algunos ejemplos de tecnologías de autenticación sin contraseña. El uso de la biometría como método de autenticación sin contraseña a nivel de usuario, aplicación y dispositivo puede garantizar mejor a las empresas que los empleados que inician sesión en los sistemas son quienes dicen que están allí.
Los protocolos son otro ejemplo de tecnologías sin contraseña. Los protocolos son estándares que tienen como objetivo facilitar la comunicación entre un proveedor de identidad y un proveedor de servicios. Un empleado que está autenticado ante el proveedor de identidad también se autentica en los proveedores de servicios asignados, sin ingresar una contraseña.
Ir sin contraseña beneficia a las organizaciones porque eliminar la contraseña da como resultado una mejor UX para sus empleados. La autenticación sin contraseña presenta nuevas formas para que los empleados inicien sesión en su trabajo de manera fácil y segura sin tener que depender de las contraseñas. Esto elimina la necesidad de recuperar la cuenta, las solicitudes para restablecer las contraseñas y el proceso de rotación manual de contraseñas.
