Existen más cuentas de usuarios en línea por persona que nunca, y todas esas cuentas de usuarios se convierten en más oportunidades para equilibrar las cuentas.
Desafortunadamente, incluso si las cuentas son de uso personal, todavía poseen un riesgo para su organización debido a la reutilización de la contraseña, la cual deriva de las dificultades que el usuario final promedio enfrenta cuando se le solicita crear contraseñas múltiples, únicas y complejas para sus (casi) cientos de cuentas personales y profesionales en línea. En pocas palabras, cada una de esas cuentas en línea pueden causar problemas significativos de seguridad para los administradores de TI.
Sin embargo, existen maneras para proteger sus cuentas desde contraseñas débiles, reutilizadas, o irresponsablemente gestionadas, y un método que en particular ha ganado una popularidad considerable a través de las cuentas B2B y B2C: la autenticación multi factor (MFA), o también conocida como la autenticación doble factor / 2FA.
Esta aparente solución simple protege los recursos en línea mejor que incluso la mayoría de las contraseñas complejas, pero, ¿Qué es exactamente una autenticación multi factor? ¿Y cómo funciona tanto para la perspectiva de los administradores TI y la del usuario final?
Después de leer esta serie de tres partes, obtendrá un conocimiento de qué es la autenticación multi factor, por qué se requiere, cómo funciona y cómo implementarla para cualquier combinación de empleados locales y empleados remotos.
¿Qué es la Autenticación Multi Factor?
Comúnmente referida como la autenticación de doble factor (o 2FA, por sus siglas en inglés), la autenticación multi factor es una herramienta importante y crucial en la lucha contra el robo de identidad y el acceso no autorizado para los recursos de la compañía.
La autenticación multi factor (o MFA por sus siglas en inglés) agrega un segundo o tercer (o más) factor para el proceso de acceso para los recursos de la compañía (aplicaciones, servicios, servidores, etc.).
Piense en los factores más comunes para validar la identidad de una persona como se muestra a continuación:
- Algo que usted es: quizá lo más fundamental es identificarlo por algo que usted sea. Idealmente, estos son atributos únicos e inmutables como una huella digital, imagen facial, sello de retina, o incluso su voz o patrones de ingreso. Se consideran que estos son los factores más seguros, pero también difíciles de operar, y de esta forma, por supuesto, existen inquietudes significantes de privacidad.
- Algo que conozca: esto es un conocimiento único para una persona incluyendo opciones tales como contraseñas, sucesos de su vida, historia familiar y más. Históricamente, esta es la forma más común de identificación en línea. Resultó fácil de implementar, almacenar y operar.
- Algo que posea: una forma de identificación que está aumentando su popularidad es la de validar la identidad basado en algo que solamente la persona posea. Esto puede incluir un certificado o llave (llave privada por ejemplo cuando se analizan las llaves pares SSH). Desde una perspectiva de autenticación multi factor, esta se popularizó por medio de una llave de mando a distancia que generaba un token (pin o serie de números). Actualmente, algo que usted posea puede ser un teléfono celular.
Tradicionalmente el factor en línea más común de identificación de usuario ha sido el uso de contraseña. Debido a que la seguridad en línea se ha vuelto más crucial, los expertos de TI han recomendado fortalecer ese factor único, así como agregar otros factores para identificar a una persona.
Además de usar su contraseña (la cual es el primer factor más popular de autenticación, comúnmente considerada como “algo que conozca”), los usuarios deben ahora contar con algo más para ingresar o usar para validar quienes son; esto por lo general constituye tanto “algo que posea” como “algo que usted sea” debido a que estos dos factores resultan extremadamente difíciles de falsificar o de acceder remotamente, y esto es algo que los hacker criminales generalmente necesitan para vulnerar sus cuentas.
Por ejemplo, un enfoque común de MFA genera un token o código desde un smartphone (dispositivo inteligente) por medio de una aplicación como Autenticador de Google (es decir, algo que posea). El código es un número generado de forma aleatoria ligado al sistema o la aplicación a la cual el usuario se encuentra ingresando.
Otro método similar se llama “push” donde en vez de ingresar un código o token desde el smartphone (dispositivo inteligente), el usuario simplemente oprime un botón para realizar la confirmación de reconocer el segundo factor.
Existe una cantidad de diferentes técnicas para generar un “segundo factor”, los cuales se discutirán posteriormente en esta serie. De forma interesante, muchos de estos segundos factores están siendo estudiados para combinarse en los primeros y segundos factores para crear una experiencia que no requiera creación de contraseña para los usuarios finales.
Historia de La Autenticación Multi factor
El primer concepto de un sistema de factor de autenticación se puede remontar a los tiempos de los egipcios, quienes usaban una cerradura de madera para acceder a construcciones específicas. Cuando se insertaba la llave, los alfileres ocultos dentro del artefacto elevaban los huecos perforados, permitiéndoles moverse. Esto es muy similar a la iteración actual del candado y la llave, excepto de que ahora se fabrican con metales para que resulten más duraderos.
Para el año 1985, Kenneth Weiss, quien fundó Dinámicas de Seguridad en 1984, inventó y patentó “un aparato para la generación eléctrica y comparación de códigos no predecibles”. Su invento creó el primer concepto de lo que llegó a conocerse como la autenticación multi factor.
Casi una década después, inició la compra de Seguridad RSA, después la de una pequeña compañía de cifrado que trabajaba dentro del creciente espacio ecommerce (comercio electrónico). El producto SecureID, creado dentro del algoritmo de cifrado RSA desarrollado por los fundadores de Seguridad RSA, se convirtió en una de las primeras empresas enfocadas en los productos de autenticación y domino por años.
Mientras que siguen existiendo tokens, llaves de mando a distancia y otros dispositivos MFA, los smartphones (dispositivos inteligentes) han hecho posible que los usuarios se autentiquen de forma virtual desde cualquier ubicación, manteniendo sus cuentas más seguras, y accediendo más fácilmente.
A pesar de que algunas organizaciones inicialmente usaron la autenticación multi factor para transacciones financieras o situaciones de alta seguridad, han comenzado a administrar la autenticación multi factor para tanto las identidades de usuario de los consumidores y empleados para mantener a salvo la información valiosa, independientemente del propósito de la aplicación en cuestión.
La evolución de la autenticación multi factor les ha permitido a los administradores de TI mantener la información confidencial alejada de las amenazas de los piratas cibernéticos mientras que se convierte en parte natural del proceso de acceso para los usuarios finales.
¿Por Qué Se Necesita la Autenticación Multi Factor?
Cuando permite a un solo conjunto de credenciales desempeñar el único rol en la autenticación, un conjunto dañado es todo lo que un atacante necesita para robar o manipular la información de una compañía. Esto resulta especialmente verdadero si la cuenta en cuestión es una cuenta principal tal como lo es su cuenta de correo electrónico que respalda a muchas otras de sus cuentas.
Debilidades Inherentes de Confiar en Contraseñas
Las contraseñas individuales no son lo suficientemente potentes por sí mismas para proteger la información de su compañía y nunca deberían ser lo suficiente para sus cuentas más importantes tales como de correo electrónico, banco y más. Aquí le presentamos unas cuantas estadísticas del porqué la autenticación multi factor es de suma importancia para salvaguardar los recursos de su compañía:
- El 92% de las organizaciones cuentan con credenciales a la venta en la Dark Web (Web Oscura).
- El 61% de las personas reutiliza la misma contraseña o una similar donde sea.
- “123456” y “password” fueron las dos contraseñas más usadas en el 2018.
- El 81% de los robos de información han sido resultado de contraseñas débiles o robadas.
Por último, existen dos vías para que los departamentos de tecnologías de la información resuelvan este problema. Uno es capacitar a sus usuarios para utilizar contraseñas únicas en cada sitio y usar contraseñas largas (y posiblemente complejas), pero implementar esta estrategia resulta difícil y requiere que se confié demasiado en sus usuarios.
Muchos usuarios se acatarán a esto, pero algunos no, y aquello que no son quienes se convierten en el vínculo más débil para la red de su organización TI.
El contar con una buena higiene de contraseña resulta un artículo de entrenamiento de seguridad importante si o si, pero muchos administradores TI no pueden depender de sus usuarios.
Y para ser justos, incluso si sus usuarios finales hacen todo correctamente, una brecha en un sitio clave de un tercero podría hacer que se expongan sus contraseñas –sin culpa alguna de sus usuarios finales.
Cómo la MFA Refuerza la Seguridad de las Contraseñas
El agregar un segundo factor dificulta en gran manera a que los malcontentos causen daño, debido a que los atacantes ahora deben contar con dos objetos en su posesión para avanzar con sus acciones.
Y, la MFA se está convirtiendo en más generalizada y fácil de usar, lo cual genera menos fricción con los usuarios finales. Esto hace que la autenticación multi factor resulte atractiva para las organizaciones en búsqueda de mejorar sus políticas de seguridad sin crear muchos costos adicionales.
Otro punto principal a agregar –muchos usuarios finales se encuentran actualmente preocupados acerca de la seguridad en línea y lo que pueda significar para ellos, lo que significa que están motivados para protegerse ellos mismos y a sus cuentas.
¿Cuáles son los Pro y los Contra de la Autenticación Multi Factor?
La autenticación multi factor no es perfecta, debido a que requiere costos extras con la integración del usuario y la administración del sistema, así que consideremos los pros y los contras de la autenticación multi factor.
Los Pros de Usar La Autenticación Multi Factor
- Protege la información confidencial: Los usuarios son el punto número uno en riesgo para una red, así que la autenticación multi factor alivia la ansiedad del usuario y del administrador TI protegiendo de que la información caiga en manos de piratas informáticos implacables.
- Casi siempre seguro: Si un pirata informático ha obtenido de alguna manera la contraseña de usuario al sistema, no pueden obtener acceso, debido a que cuentan con el segundo factor (lo cual por lo general se encuentra en posesión del usuario o algo que es él).
- No pierda el sueño sobre dispositivos perdidos: La autenticación multi factor basada en los dispositivos (y emparejada con el cifrado del disco duro completo) asegura que los dispositivos perdidos no deriven a accesos o información comprometida.
Los Contra de Usar La Autenticación Multi Factor
- Fricción añadida: Si usted no cuenta con el acceso al dispositivo o al sistema para recibir su segundo factor, y no ha establecido los recursos de respaldo para autentificar el acceso al usuario, no se le permitirá el acceso a una aplicación específica o al sistema.
- Puede resultar costosa: Tradicionalmente, la autenticación multi factor puede resultar demasiado costosa si una organización utiliza una solución que requiera un hardware local y deba integrarse con soluciones de identidad existentes.
- Demanda tiempo: El tiempo necesario para ingresar y verificar su sistema usando un dispositivo móvil o un token puede resultar inconveniente.
- Inconsistencias: Resulta complicado implementar la autenticación multi factor a través de su organización completa, debido a que por lo general se les deja a los usuarios el implementarla por completo. Los administradores de TI puede que no siempre cuenten con la visión dentro de la organización para utilizar la autenticación multi factor.
Cuando se implementa de manera correcta, la autenticación multi factor puede beneficiar significativamente la seguridad TI sin agregar una carga pesada al usuario final.