Cuando accede a un recurso protegido, se autentica en un almacén de datos con la información de su credencial. Consiste en una identidad declarada y un secreto asociado a ella. Tradicionalmente esto se ha hecho con un simple nombre de usuario y contraseña, y es el método de autenticación más común hoy en día. Por desgracia, se ha demostrado que la autenticación con nombre de usuario y contraseña es bastante vulnerable al phishing y al pirateo de credenciales. Dado que las contraseñas pueden ser difíciles de recordar, la gente tiende a elegir una simple y reutilizarla en sus diversos servicios en línea y en la nube. Esto significa que cuando se piratea una credencial en un servicio, los intrusos malintencionados la prueban en otros servicios digitales personales y profesionales.
La autenticación multifactor (AMF) está diseñada para proteger frente a este y otros tipos de amenazas exigiendo al usuario que proporcione dos o más métodos de verificación antes de poder acceder a un recurso específico como una aplicación, almacenamiento de datos o red privada.
El término "factor" describe los diferentes tipos o métodos de autenticación utilizados para verificar la identidad declarada de alguien. Los diferentes métodos son:
Los requisitos de seguridad y usabilidad dictan el proceso utilizado para confirmar la declaración de identidad del solicitante. La autenticación multifactor permite a los equipos de seguridad responder al contexto o situación del solicitante (persona o proceso programático), siendo la eliminación del acceso el escenario más común. Más allá de determinar cuántos tipos de autenticación deben exigirse, TI también necesita equilibrar el coste de los requisitos de usabilidad con el coste de su implantación.
Autenticación de factor único (SFA)
El SFA ha sido y sigue siendo el método por defecto para garantizar el acceso a información e instalaciones móviles, en línea y de otro tipo. Por su ubicuidad y bajo coste, el tipo más común de SFA es el de nombre de usuario y contraseña. Aun así, las tecnologías sin contraseña se adoptan a un ritmo cada vez mayor para evitar las amenazas que plantean diversos ataques de phishing. Por ejemplo, la mayoría de las aplicaciones móviles permiten el uso de huellas dactilares o el reconocimiento facial en lugar del tradicional nombre de usuario y contraseña.
En la actualidad, los servicios en línea ofrecidos por Microsoft y Yahoo ofrecen una opción de SFA sin contraseña, y otros proveedores como Apple y Google ofrecerán la misma opción el año que viene.
Dado que se utilizan para verificar identidades, los tokens de autenticación deben estar protegidos frente a extraños. Además de una fuerte seguridad de los tokens, a menudo se configuran para que caduquen con bastante frecuencia, lo que aumenta su frecuencia de actualización. Aunque la implantación de tokens de corta duración utilizados bajo la interfaz sin contraseña aumenta la seguridad, no alcanza el nivel que ofrece la autenticación de dos factores.
Autenticación de dos factores (2FA)
La 2FA refuerza la seguridad exigiendo al usuario un segundo tipo (saber, tener, ser) para verificar su identidad. Una prueba de identidad puede ser un token físico, como un carné de identidad, y la otra algo memorizado, como un desafío/respuesta, un código de seguridad o una contraseña. Un segundo factor eleva significativamente el listón para que los malhechores y otros actores externos puedan burlar con éxito la seguridad.
He aquí una lista común de los métodos de autenticación más populares:
Autenticación de tres factores (3FA)
Añade otro factor al doble factor para dificultar aún más la falsificación de una identidad reivindicada. Un escenario típico podría ser añadir la biometría a un nombre de usuario/contraseña existente más un inicio de sesión con tarjeta de proximidad. Dado que añade un notable nivel de fricción, debe reservarse para situaciones que requieran un alto nivel de seguridad. Los bancos pueden encontrar situaciones en las que 3FA tiene sentido, al igual que varias agencias gubernamentales. Las áreas específicas de alto control dentro de una parte de un aeropuerto o de un hospital también son zonas en las que los equipos de seguridad han considerado necesaria la 3FA.
Aunque muchas organizaciones consideran la verificación de usuarios como algo secundario, es importante tener en cuenta que el DBIR anual de Verizon muestra sistemáticamente el pirateo de credenciales como una de las principales estrategias de violación. Es simplemente cuestión de tiempo que prácticamente todas las organizaciones sufran un suceso en el que pierdan información confidencial que se traduzca en una pérdida financiera tangible y una pérdida potencial de la confianza de los clientes.
Lo que hace que estas tendencias sean notables es que nunca ha habido un momento en el que la autenticación multifactor sea tan cómoda y asequible de implantar como lo es hoy. Tradicionalmente, las organizaciones han limitado sus implantaciones de AMF a un pequeño subconjunto de usuarios especializados que trabajan con información que plantea un mayor nivel de riesgo para la empresa. El coste y la facilidad de uso han sido a menudo los factores limitantes que han impedido una implantación más amplia de la tecnología de autenticación robusta. Históricamente, los métodos de autenticación robusta eran caros de adquirir, implantar (incluida la inscripción de los usuarios) y administrar. Pero recientemente se han producido cambios radicales en todos los sectores, en las propias organizaciones, en sus clientes (o pacientes, ciudadanos, socios, etc.) y en la tecnología a la que tienen acceso.
¿Cuáles son los principales motores empresariales para implantar la autenticación multifactor?
Aunque cada organización tiene sus propios requisitos concretos, hay impulsores empresariales de alto nivel que suelen ser comunes a todas ellas:
¿Qué mandatos exigen que las organizaciones utilicen la AMF para cumplir la normativa?
TI tiene acceso a algunas tecnologías para reducir la fricción que la AMF puede imponer potencialmente a los usuarios:
Inicio de sesión único (SSO)
El inicio de sesión único (SSO) permite a un usuario autenticarse en múltiples recursos a partir de una única interacción del usuario, lo que significa que el usuario introduce una única credencial a partir de la cual la infraestructura que hay debajo se autentica en cada uno de los recursos protegidos en su nombre durante esa sesión. El enfoque más seguro para el SSO es que el motor de autenticación utilice un conjunto único de credenciales para cada recurso que esté configurado para el SSO. Esto aumenta la seguridad a un alto nivel porque:
Opciones de autenticación de baja fricción
Aunque las OTP/TOTP tradicionales seguirán siendo el tipo más común de autenticación de segundo factor, puede haber otras opciones que tengan más sentido para una situación. Las aplicaciones móviles push fuera de banda ofrecen una opción de baja fricción frente a la OTP, ya que lo único que tiene que hacer el usuario es pulsar el botón de aceptar. Para situaciones de mayor riesgo, algunas aplicaciones push tienen la opción de que las aplicaciones móviles push puedan configurarse para requerir una huella dactilar para verificar la identidad de la persona, así como una confirmación de la información, como un número, presentada en el ordenador de sobremesa para verificar aún más que el usuario posee tanto el ordenador de sobremesa como el smartphone.
El reconocimiento facial se está convirtiendo rápidamente en la autenticación biométrica preferida. La naturaleza de baja fricción de Windows Hello, teniendo en cuenta que mejora con el tiempo, ofrece una experiencia de usuario cómoda. El mayor reto es que Windows Hello no funciona bien con diversas situaciones de iluminación. Este fallo a la hora de reconocer rostros a través de la iluminación puede gestionarse con registros faciales adicionales. Más recientemente, algunas aplicaciones móviles ofrecen la posibilidad de registrar los patrones del iris de los ojos de una persona. Utilizadas conjuntamente (facial, huella dactilar, iris), las opciones de autenticación biométrica ponen el listón de la seguridad bastante alto para que un extraño pueda vencerlas. Los métodos biométricos son también una excelente opción para las organizaciones que buscan una forma poco friccionada de protegerse contra los ataques de phishing.
El reconocimiento de voz ha ganado popularidad en el sector de los servicios financieros. A las entidades les gusta porque es totalmente pasivo para los clientes mientras hablan con un representante del servicio. El representante recibe una notificación cuando se ha verificado la identidad del cliente. Utilizan el reconocimiento de voz en lugar de las preguntas desafío con clientes que suelen tener dificultades para recordar las respuestas correctas a las mismas. En este caso, se optimizan la seguridad y la facilidad de uso.
FIDO/FIDO2 son opciones atractivas cuando los usuarios utilizan varios dispositivos. Parte de lo que hace de FIDO una opción de autenticación atractiva es su amplio apoyo a los proveedores y su enfoque en la usabilidad. FIDO ha ganado notable tracción en las universidades que tratan con un gran número de estudiantes que utilizan una variedad de servicios digitales. FIDO permite la portabilidad de la autenticación sin contraseña a través de diferentes dispositivos y plataformas.
El perfilado de los gestos de los teléfonos inteligentes es un tipo de análisis del comportamiento que realiza una heurística sobre la forma en que el propietario maneja e interactúa físicamente con su dispositivo. El resultado son índices de confianza basados en el seguimiento de los patrones gestuales. Con el tiempo, el perfil aumenta la confianza y la fidelidad de los gestos. Aunque en un principio no es lo suficientemente potente como para ser la principal forma de verificación de la identidad, el perfil gestual podría servir como método adecuado utilizado junto con otros tipos de autenticación.
Los equipos de seguridad suelen implantar el software de apoyo que viene con la autenticación que están adoptando. Esto parece funcionar bien hasta que se compran diferentes dispositivos que requieren una implementación de software diferente, lo que crea otro silo. En las grandes organizaciones, es muy posible tener varios silos de tecnologías sin contraseña utilizadas para la autenticación multifactor o para satisfacer algún otro requisito de autenticación. El punto débil de esta situación es que cada silo de autenticación tiene su propio conjunto de políticas. Mantener actualizados estos almacenes de políticas múltiples requiere una mayor sobrecarga administrativa e introduce el riesgo de tener políticas desiguales.
OpenText™ NetIQ™ Advanced Authentication está diseñado para satisfacer las necesidades de autenticación multifactor de las organizaciones más grandes. Su enfoque basado en estándares proporciona una arquitectura abierta libre de los riesgos de la dependencia del vendedor. El marco es compatible con una gran variedad de dispositivos y métodos adicionales, pero también puede ampliarse a medida que aparecen nuevas tecnologías en el mercado.
Independientemente de la plataforma (web, móvil, cliente), AA también ofrece compatibilidad inmediata con las plataformas y aplicaciones más comunes. Además de servir como motor central de políticas de autenticación en toda la empresa, AA también ofrece un motor basado en riesgos para controlar cuándo se invoca la AMF, así como para controlar qué tipos de autenticación se ofrecen en función de los distintos niveles de riesgo. Además de su propio motor incorporado, AA se integra con NetIQ Access Manager, que proporciona un sólido conjunto de opciones de inicio de sesión único y métricas de riesgo que pueden utilizarse como parte de los casos de uso de gestión de acceso adaptable.
Habilite la autenticación multifactor y sin contraseña para una protección sencilla en toda la organización.
Permita el inicio de sesión único y el control de acceso en plataformas móviles, en la nube y heredadas.