Introducción a los métodos de autenticación multifactor en la empresa
Perspectiva de los métodos de autenticación multifactor y de la evolución de los llaveros token a los teléfonos inteligentes y dispositivos móviles.
Más vieja que la propia web, la autenticación de múltiples factores es un método de tecnología de seguridad de TI que requiere que la gente proporcione múltiples formas de identificación o de información para confirmar la legitimidad de su identidad para una transacción en línea o con el fin de tener acceso a una aplicación corporativa. El objetivo de los métodos de autenticación multifactorial es aumentar la dificultad con la que un adversario puede explotar el proceso de inicio de sesión para vagar libremente por las redes personales o corporativas y así comprometer equipos de cómputo con el fin de robar información confidencial, o algo peor.
En pocas palabras, la autenticación multifactorial toma algo que sólo cada usuario posee (una huella digital, la impresión de voz, un llavero token, un código de seguridad, o una pieza de software en un teléfono inteligente) y lo combina con otro factor, algo que el usuario sabe (tal como el diálogo habitual de inicio de sesión de usuario/contraseña) para demostrar que él o ella es legítimamente quien dice ser.
La autenticación de múltiples factores antes se llamaba autenticación de dos factores, pero hoy en día hay muchos factores diferentes que se pueden emplear para la seguridad adicional, por lo que ha prevalecido la nomenclatura de la primera sobre la segunda. Muchos en TI probablemente recuerdan los escáneres biométricos de mano que asegura muchos puntos de entrada a un centro de datos como si fuera su primer roce con este tipo de dispositivos.
Tokens AMF: De los llaveros a los smartphones
Para los empleados móviles, los generadores de contraseñas de un solo uso que vienen en forma de llaveros con una pequeña pantalla LCD y un botón se pusieron de moda originalmente durante los primeros días de la autenticación de múltiples factores, hace más de una década. Cuando un usuario pulsa el botón, la pantalla en el llavero muestra una secuencia de números durante 30 segundos. El usuario debe escribir exactamente esta secuencia dentro de ese período de tiempo en la aplicación o recurso al que trata de acceder.
Los códigos de acceso generados por los llaveros se verifican contra un servidor ubicado en la red de la empresa para asegurar que coincidan. Este servidor ejecuta los procesos de gestión de identidad, establece diversas políticas de seguridad y conecta los tokens con las tiendas de directorio de usuario, como Active Directory o RADIUS.
Si una secuencia de número introducido coincide, el usuario tiene permiso de acceso. Si no, él o ella deben comenzar de nuevo, presionando el botón en el llavero para generar un nuevo código de acceso general.
Aunque estos tokens estaban bien como una solución multifactorial en ese entonces y, de hecho, todavía se utilizan en algunos sectores, los llaveros hoy se consideran una tecnología un poco anticuada. No son perfectos, tampoco: Tomemos, por ejemplo, el sofisticado ataque de phishing llamado Emmental (por el queso suizo) que se utilizó a principios de este año y que combina un certificado falsificado con un ataque man-in-the-middle en un inicio de sesión con autenticación de dos factores.
Llevar el registro de los tokens o los llaveros también es engorroso, y un usuario tal vez no tenga el token requerido a la mano cuando necesite iniciar sesión en algún lugar. Además, está la carga adicional de tener que desactivar o terminar el acceso del usuario cuando éste deja la empresa, o si se pierde un llavero.
¿La respuesta a estos problemas? Teléfonos inteligentes.
Diversas aplicaciones de teléfonos inteligentes se han construido para generar las mismas contraseñas de un solo uso como llaveros, y pueden ayudar a aliviar los problemas anteriormente mencionados. Y, conforme Apple y Google añadan sensores de huellas digitales a sus teléfonos, el segundo factor puede ir más allá de simples contraseñas numéricas de un solo uso hacia el reconocimiento de la copia digital de la huella digital de un usuario a través de un escáner incorporado en un teléfono inteligente.
Otros tipos de factores secundarios habilitados por los teléfonos inteligentes y otros dispositivos móviles incluyen el uso de mensajes de texto SMS, correos electrónicos y cámaras para escanear un código QR que aparece en la página web cuando se trata de iniciar sesión en una aplicación o recurso, o realizar una transacción.
El creciente atractivo de la autenticación de múltiples factores
Como las contraseñas se han vuelto inseguras, las herramientas multifactoriales han ampliado su uso desde el núcleo original de los trabajadores de TI a casi todo el mundo en muchas grandes empresas, sobre todo cuando se está consumiendo información personal. También han ido más allá de las herramientas iniciales de gestión de identidades y ahora también son productos comunes de inicio único de sesión.
Además de todo esto, con la proliferación de los servicios Web basados en la oferta de software como servicio (SaaS) y el número de contraseñas reutilizadas, los métodos de autenticación multifactorial se han vuelto más importantes y han ampliado su atractivo para las PyMEs. Además, empresas de la talla de Facebook, LinkedIn, Twitter, Gmail, Apple y muchos otros proveedores han adoptado estas herramientas para asegurar sus propios inicios de sesión.
Si las empresas aún no se han involucrado en el uso y soporte de herramientas multifactoriales, encontrarán que se requiere un poco de esfuerzo para configurarlas y desplegarlas. Las herramientas tienen un montón de piezas móviles y las empresas necesitarán especialistas de diferentes partes de su organización de TI para coordinar y configurar la infraestructura y conseguir que los accesos protegidos funcionen correctamente.
Aunque las más nuevas herramientas de autenticación de factores múltiples son un poco más fáciles de manejar, todavía implican un cierto esfuerzo de integración. En ese sentido, algunos de estos productos incluyen varios agentes de software que pueden proteger a las VPN, servidores de SharePoint, Outlook Web App y servidores de bases de datos, por ejemplo.
Por último, un desarrollo relativamente reciente ha movido los servidores multifactoriales tradicionales basados en sitio hacia hardware en la nube. La mayoría de los proveedores de soluciones de múltiples factores ofrecen ambas opciones, y observan que los clientes eligen los despliegues fuera del sitio más que nunca gracias a la flexibilidad que la nube genera en términos de apoyo y gestión.
El costo de los modelos de precios de la autenticación multifactorial
Los costos típicos para el despliegue de soluciones de autenticación de múltiples factores son unos pocos dólares al mes, por token. Sin embargo, esto puede llegar a múltiples decenas de miles de dólares por año para las empresas que tienen una gran cantidad de usuarios o tokens, o ambos.
El panorama se complica con la forma en que cada proveedor tiene una manera diferente para calcular el precio de la línea de fondo: hay descuentos por cantidad, descuentos plurianuales y tarifas de soporte 24x7. Algunos cobran sobre una base por token (con diferentes tarifas para tokens de hardware o software), mientras que otros lo hacen sobre una base por usuario o por servidor. Otros tienen precios de componentes añadidos o capas de integración.
Ciertamente, las herramientas de autenticación de factores múltiples valen la molestia, sobre todo porque el número de exploits de contraseñas sigue aumentando y acapara los titulares. Las empresas necesitan mejores formas de proteger la información de acceso de los usuarios más allá de la simple combinación usuario/contraseña.
Una encuesta rápida del panorama actual pone de relieve cómo se está utilizando la tecnología de autenticación de múltiples factores en cada vez más lugares. Basta con mirar el número de despliegues por varios servicios de medios sociales y SaaS para consumidores. La combinación de un robusto panorama de productos de autenticación multifactor y la conciencia del usuario sobre la importancia de una sólida autenticación de los usuarios significa que tal vez nunca ha habido un momento más favorable para que las empresas consideren la autenticación de múltiples factores.