Autenticación multifactor o MFA
La autenticación multifactor (multi factor authentication o MFA) es una tecnología de seguridad que requiere múltiples métodos de autenticación de categorías independientes de credenciales para verificar la identidad de un usuario para un inicio de sesión u otra transacción. La autenticación multifactor combina dos o más credenciales independientes: lo que el usuario sabe, como una contraseña; lo que tiene el usuario, como un token de seguridad; y qué es el usuario, mediante el uso de métodos de verificación biométrica.
El objetivo de MFA es crear una defensa en capas que dificulte que una persona no autorizada acceda a un objetivo, como una ubicación física, un dispositivo informático, una red o una base de datos. Si un factor se ve comprometido o roto, el atacante todavía tiene al menos una o más barreras que romper antes de entrar con éxito en el objetivo.
En el pasado, los sistemas MFA generalmente se basaban en la autenticación de dos factores (2FA). Cada vez más, los proveedores utilizan la etiqueta multifactor para describir cualquier esquema de autenticación que requiera dos o más credenciales de identidad para disminuir la posibilidad de un ciberataque. La autenticación multifactor es un componente central de un marco de gestión de identidad y accesos, o IAM.
¿Por qué es importante la autenticación multifactor?
Una de las mayores deficiencias de los inicios de sesión tradicionales con ID de usuario y contraseña es que las contraseñas pueden verse comprometidas fácilmente, lo que puede costar a las organizaciones millones de dólares. Los ataques de fuerza bruta también son una amenaza real, ya que los delincuentes pueden usar herramientas automatizadas de descifrado de contraseñas para adivinar varias combinaciones de nombres de usuario y contraseñas hasta que encuentren la secuencia correcta. Aunque bloquear una cuenta después de una cierta cantidad de intentos de inicio de sesión incorrectos puede ayudar a proteger una organización, los piratas informáticos tienen muchos otros métodos para acceder al sistema. Esta es la razón por la que la autenticación multifactor es tan importante, ya que puede ayudar a reducir los riesgos de seguridad.
Métodos de autenticación MFA
Un factor de autenticación es una categoría de credencial utilizada para la verificación de identidad. Para MFA, cada factor adicional está destinado a aumentar la seguridad de que una entidad involucrada en algún tipo de comunicación o que solicita acceso a un sistema es quién dice ser (o lo que dice ser). El uso de múltiples formas de autenticación puede ayudar a dificultar el trabajo de un pirata informático.
Las tres categorías más comunes, o factores de autenticación, a menudo se describen como algo que usted conoce o el factor de conocimiento; algo que se tiene o el factor de posesión; y algo que se es o el factor de inherencia. MFA funciona combinando dos o más factores de estas categorías.
Factor de conocimiento. La autenticación basada en el conocimiento generalmente requiere que el usuario responda una pregunta de seguridad personal. Las tecnologías de factores de conocimiento generalmente incluyen contraseñas, números de identificación personal (PIN) de cuatro dígitos y contraseñas de un solo uso (OTP). Los escenarios de usuario típicos incluyen lo siguiente:
- deslizar una tarjeta de débito e ingresar un PIN en la caja del supermercado;
- descargar un cliente de red privada virtual con un certificado digital válido e iniciar sesión en la VPN antes de obtener acceso a una red; y
- proporcionar información, como el apellido de soltera de la madre o la dirección anterior, para obtener acceso al sistema.
Factor de posesión. Los usuarios deben tener algo específico en su poder para iniciar sesión, como una insignia, un token, un llavero o una tarjeta de módulo de identidad de suscriptor (SIM) de teléfono. Para la autenticación móvil, un teléfono inteligente a menudo proporciona el factor de posesión junto con una aplicación OTP.
Las tecnologías de factores de posesión incluyen lo siguiente:
- Los tokens de seguridad son pequeños dispositivos de hardware que almacenan información personal de un usuario y se utilizan para autenticar electrónicamente la identidad de esa persona. El dispositivo puede ser una tarjeta inteligente, un chip integrado en un objeto, como una unidad de bus serie universal (USB) o una etiqueta inalámbrica.
- Una aplicación de token de seguridad basada en software genera un PIN de inicio de sesión de un solo uso. Los tokens de software se utilizan a menudo para la autenticación multifactor móvil, en la que el propio dispositivo —como un teléfono inteligente— proporciona la autenticación del factor de posesión.
Los escenarios típicos de usuario del factor de posesión incluyen lo siguiente:
- autenticación móvil, donde los usuarios reciben un código a través de su teléfono inteligente para obtener u otorgar acceso —las variaciones incluyen mensajes de texto y llamadas telefónicas enviadas a un usuario como un método fuera de banda, aplicaciones OTP para teléfonos inteligentes, tarjetas SIM y tarjetas inteligentes con autenticación almacenada datos; y
- adjuntar un token de hardware USB a un escritorio que genera una OTP y usarlo para iniciar sesión en un cliente VPN.
Factor de herencia. Cualquier rasgo biológico que tenga el usuario que esté confirmado para iniciar sesión. Las tecnologías de factores de herencia incluyen los siguientes métodos de verificación biométrica:
- escaneo de retina o iris
- escaneo de huellas dactilares
- autenticación por voz
- geometría de la mano
- escáneres de firmas digitales
- reconocimiento facial
- geometría del lóbulo de la oreja
Los componentes del dispositivo biométrico incluyen un lector, una base de datos y un software para convertir los datos biométricos escaneados en un formato digital estandarizado y comparar los puntos de coincidencia de los datos observados con los datos almacenados.
- Los escenarios típicos de factores de inherencia incluyen lo siguiente:
- usar una huella digital o reconocimiento facial para acceder a un teléfono inteligente;
- suministro de una firma digital en una caja de venta minorista;
- identificar a un criminal usando la geometría del lóbulo de la oreja.
La ubicación del usuario a menudo se sugiere como un cuarto factor para la autenticación. Una vez más, la ubicuidad de los teléfonos inteligentes puede ayudar a aliviar la carga de la autenticación: los usuarios generalmente llevan sus teléfonos y todos los teléfonos inteligentes básicos tienen un seguimiento del Sistema de Posicionamiento Global, lo que proporciona una confirmación creíble de la ubicación de inicio de sesión.
La autenticación basada en el tiempo también se usa para probar la identidad de una persona al detectar la presencia en un momento específico del día y otorgar acceso a un determinado sistema o ubicación. Por ejemplo, los clientes bancarios no pueden usar físicamente su tarjeta de cajero automático en los EE.UU. y luego en Rusia 15 minutos después. Estos tipos de bloqueos lógicos se pueden utilizar para ayudar a prevenir muchos casos de fraude bancario en línea.
Pros y contras de MFA
La autenticación multifactor se introdujo para fortalecer el acceso de seguridad a sistemas y aplicaciones a través de hardware y software. El objetivo era autenticar la identidad de los usuarios y asegurar la integridad de sus transacciones digitales. La desventaja de MFA es que los usuarios a menudo olvidan las respuestas a las preguntas personales que verifican su identidad, y algunos usuarios comparten tokens de identificación personal y contraseñas. MFA tiene otros beneficios y desventajas.
Pros
- agrega capas de seguridad a nivel de hardware, software e identificación personal;
- puede usar OTP enviadas a teléfonos que se generan aleatoriamente en tiempo real y es difícil de romper para los piratas informáticos;
- puede reducir las brechas de seguridad hasta en un 99.9% en comparación con el uso de solo contraseñas;
- los usuarios pueden configurarlo fácilmente;
- permite a las empresas optar por restringir el acceso según la hora del día o la ubicación; y
- tiene un costo escalable, ya que existen herramientas MFA costosas y altamente sofisticadas, pero también más asequibles para las pequeñas empresas.
Contras
- se necesita un teléfono para obtener un código de mensaje de texto;
- los tokens de hardware pueden perderse o ser robados;
- los teléfonos pueden perderse o ser robados;
- los datos biométricos calculados por los algoritmos MFA para las identificaciones personales, como las huellas digitales, no siempre son precisos y pueden generar falsos positivos o negativos;
- la verificación de MFA puede fallar si hay una interrupción de la red o de internet; y
- las técnicas de MFA deben actualizarse constantemente para proteger contra los delincuentes que trabajan incesantemente para romperlas.
Autenticación multifactor vs. la autenticación de dos factores
Cuando se introdujeron por primera vez las estrategias de autenticación, la intención era reforzar la seguridad, pero también mantenerla lo más simple posible. Se pidió a los usuarios que proporcionaran solo dos formas de claves de seguridad que informarían a un sistema que eran usuarios auténticos y autorizados. Las formas comunes de 2FA eran la identificación de usuario y la contraseña o la tarjeta bancaria y el PIN de los cajeros automáticos (ATM).
Desafortunadamente, los piratas informáticos descubrieron rápidamente formas de comprar o romper contraseñas o de robar tarjetas de débito en cajeros automáticos. Esto llevó a las empresas y a los proveedores de seguridad a buscar formas más reforzadas de autenticación de usuarios que utilizaran factores de seguridad adicionales para la verificación.
Cómo hacer que MFA sea más fácil
Agregar factores de seguridad a MFA complica aún más la facilidad de uso para los usuarios que deben recordar varias contraseñas. En consecuencia, el objetivo de MFA es simplificar las técnicas de MFA para los usuarios. A continuación, se muestran tres enfoques que se utilizan para simplificar MFA:
- MFA adaptativo. Esto aplica el conocimiento, las reglas comerciales o las políticas a factores basados en el usuario, como el dispositivo o la ubicación. Por ejemplo, una VPN corporativa sabe que está bien que un usuario inicie sesión desde casa porque ve la ubicación del usuario y puede determinar el riesgo de uso indebido o compromiso. Pero un empleado que acceda a la VPN desde una cafetería activará el sistema y se le pedirá que ingrese las credenciales de MFA.
- Inicio de sesión único (SSO). Este método de autenticación integral permite a los usuarios mantener una cuenta que los registra automáticamente en múltiples aplicaciones o sitios web con una única identificación y contraseña. SSO funciona estableciendo la identidad del usuario y luego compartiendo esta información con cada aplicación o sistema que lo requiera.
- Autenticación push. Esta es una técnica de autenticación automatizada de dispositivos móviles en la que el sistema de seguridad emite automáticamente un tercer código de identificación de un solo uso para el dispositivo móvil del usuario. Por ejemplo, los usuarios que desean acceder a un sistema seguro ingresan su ID de usuario y contraseña y un sistema de seguridad emite automáticamente un tercer código de identificación de un solo uso en su dispositivo móvil. Los usuarios ingresan ese código en el sistema para obtener acceso. La autenticación push simplifica la MFA al proporcionar a los usuarios un tercer código, lo que elimina la necesidad de recordarlo.