Básicamente, se trata de una capa adicional de seguridad utilizada para garantizar que las personas que intentan acceder a un servicio en línea sean quienes dicen ser. Una vez que se ha ingresado el nombre de usuario y la contraseña, en lugar de obtener acceso de inmediato, se les pedirá que proporcionen otra información para verificar su identidad.
Este segundo o tercer factor podría provenir de una de las siguientes categorías:
Conocimiento: podría ser un número de identificación personal (PIN), una contraseña, respuestas a preguntas secretas o un patrón de pulsación de teclas específico.
Posesión: por lo general, un usuario tendría algo en su poder como un teléfono inteligente o un pequeño token de hardware.
Inherencia: esta categoría es un poco más avanzada y puede incluir un patrón biométrico como la huella digital, un escaneo de iris o el reconocimiento de voz.
Ubicación: cualquier restricción geográfica o de red que se pueda agregar a los otros métodos de autenticación para mayor seguridad.
Tiempo: cualquier restricción que se pueda agregar para mantener la autenticación dentro de un rango de tiempo definido.
- Al retirar dinero de un cajero automático, el usuario utiliza su tarjeta bancaria (factor de posesión).
- Para poder hacerlo tiene que ingresar un código PIN (factor de conocimiento).
- El banco le pide que confirme su identidad mediante una aplicación de su teléfono móvil introduciendo su huella digital (factor de Inherencia).
- La aplicación le informa que dispone de tres minutos para realizar la operación (factor de Tiempo).
La autenticación de dos factores siempre utiliza dos de estos factores para verificar la identidad del usuario, mientras que la autenticación multifactor puede involucrar a varios de ellos.
Métodos comunes de autentificación
Actualmente, se utilizan varios tipos de autenticación, algunos pueden ser más fuertes o más complejos que otros, pero todos ofrecen una mejor protección que las típicas contraseñas
Veamos de forma resumida los métodos más comunes.
Tokens de hardware
Los tokens de hardware (también llamados llave digital o llave electrónica) son unos dispositivos pequeños, como un llavero, que generan un nuevo código numérico cada 30 segundos.
Algunos incluso tienen audio, para personas con problemas de visión.
Cuando un usuario intenta acceder a una cuenta, mira el dispositivo e ingresa el código que se muestra en la aplicación.
Otras versiones transfieren automáticamente el código cuando se conectan al puerto USB de un ordenador.
Sin embargo, pese a ser muy seguros, tienen varios inconvenientes. Para las empresas con un gran número de empleados, distribuir estas unidades es costoso, y los usuarios encuentran que su tamaño los hace fáciles de perder o extraviar.
Los modelos básicos de token cuestan entre 10 y 20 euros. Otros dispositivos más caros entre 20 y 50 euros.
Mensaje de texto SMS
Este método interactúa directamente con el teléfono del usuario.
Después de ingresar un nombre de usuario y contraseña, el sitio envía un código de acceso único (OTP) por mensaje de texto.
Al igual que el proceso de token de hardware, el usuario debe ingresar la OTP en el servicio web, antes de poder obtener acceso.
Para los sitios web que almacenan información personal como compañías de servicios públicos, bancos, o servidores de correo electrónico, este método puede que no sea lo suficientemente seguro, ya que los SMS son relativamente fáciles de interceptar en tránsito.
Esto no quiere decir que haya que evitar a toda costa usar el doble factor de autenticación mediante SMS.
Muchas veces es la única opción que nos queda, si no existe otra alternativa más segura, porque muchos servicios aún no disponen de otros métodos de 2FA.
Aplicaciones de autentificación
Al iniciar sesión, mediante un nombre de usuario y una contraseña en un servicio en línea que admita este tipo de método, se le solicita al usuario que ingrese el código que se muestra en una aplicación instalada en el teléfono móvil.
Al igual que los tokens de hardware, el token de software suele ser válido durante menos de un minuto.
Y debido a que el código se genera y se muestra en el mismo dispositivo, (una vez instalado no requiere conexión para funcionar) los tokens de software eliminan la posibilidad de que los piratas informáticos puedan interceptarlos.
Las soluciones basadas en aplicaciones están disponibles para las principales plataformas móviles, y sistemas operativos.
Google Authenticator y Microsoft Authenticator son posiblemente las dos aplicaciones de este tipo más utilizadas.
- La aplicación de autentificación se instala en el móvil.
- El usuario se dirige a las opciones de seguridad del servicio con el que quiere utilizar la aplicación.
- Selecciona 2FA (suponiendo que admita esta opción) y el servicio muestra un código QR que se debe escanear desde la propia aplicación.
- Una vez escaneado generará un nuevo código cada 30 segundos.
Notificación Push
En lugar de depender de la recepción de un token, los sitios web y las aplicaciones envían al usuario una notificación automática de que se está realizando un intento de acceso a su cuenta.
El propietario puede aprobar o denegar el acceso con un solo toque.
Es una autenticación sin contraseña, y sin códigos.
Funciona como un pestillo de seguridad, protegiendo las cuentas y servicios online, e incluso el usuario puede desconectar sus servicios digitales cuando no los está utilizando.
Un ejemplo es Latch: una app móvil para proteger las cuentas y servicios online cuando nadie está conectado a ellas.
Otras formas de autenticación
La autenticación biométrica que trata al usuario como un token ya está a la vuelta de la esquina.
Ya es posible verificar la identidad de una persona a través de la huella digital, escáner de retina y reconocimiento facial.
Y nadie puede utilizar la biometría fisiológica de otra persona sin someterla un trauma físico, por lo cual excepto brutales mutilaciones, es un método muy seguro.
El ruido ambiental, el pulso, los patrones mecanográficos (pulsación de teclas) y las impresiones vocales también se están planteando como método de autentificación.
Ciertos patrones de comportamiento acostumbran a ser exclusivos de cada persona, como la rapidez y la fuerza con la que presionan ciertas teclas al escribir o la rapidez o la lentitud con la que hablan.
Este tipo de datos biométricos no se pueden robar y son casi imposibles de imitar, lo que los convierte en autentificadores muy eficaces.
Posiblemente, no tardaremos demasiado en desechar de una vez las infames contraseñas.
