Blog

Qué es la autenticación de doble o múltiple factor

Qué es la autenticación de doble o múltiple factor

Básicamente, se trata de una capa adicional de seguridad utilizada para garantizar que las personas que intentan acceder a una cuenta en línea sean quienes dicen ser. Una vez que se ha ingresado el nombre de usuario y la contraseña, en lugar de obtener acceso de inmediato, se le pedirá que proporcione otra información para verificar su identidad.

Este segundo o tercer factor podría provenir de una de las siguientes categorías:

  • Algo que sabe: podría ser un número de identificación personal (PIN), una contraseña, respuestas a preguntas secretas o un patrón de pulsación de teclas específico.
  • Algo que tiene: por lo general, un usuario tendría algo en su poder, como una tarjeta de crédito, un teléfono inteligente o un pequeño token de hardware.
  • Algo que es: esta categoría es un poco más avanzada y puede incluir un patrón biométrico como la huella digital un escaneo de iris o el reconocimiento de voz.

La autenticación de dos factores siempre utiliza dos de estos factores para verificar la identidad del usuario, mientras que la autenticación multifactor puede involucrar a dos o tres de ellos.

Métodos comunes de autentificación

Si un servicio en línea solo requiere de usuario y contraseña para poder ingresar corres un mayor riesgo de que tu cuenta sea pirateada.

Actualmente se utilizan varios tipos de autenticación algunos pueden ser más fuertes o más complejos que otros pero todos ofrecen una mejor protección que las típicas contraseñas

Veamos de forma resumida los métodos más comunes.

Tokens de hardware

Los tokens de hardware (también llamados llave digital o llave electrónica)  son unos dispositivos pequeños como un llavero, y que generan un nuevo código numérico cada 30 segundos.

Algunos incluso tienen audio, para personas con problemas de visión.

tokens de hardware

Cuando un usuario intenta acceder a una cuenta, mira el dispositivo e ingresa el código que se muestra en la aplicación.

Otras versiones transfieren automáticamente el código cuando se conectan al puerto USB de un ordenador.

Sin embargo, pese a ser muy seguros, tienen varios inconvenientes. Para las empresas, distribuir estas unidades es costoso, y los usuarios encuentran que su tamaño los hace fáciles de perder o extraviar.

Los modelos básicos de token cuestan entre 10 y 20 euros. Otros dispositivos más caros entre 20 y 50 euros.

El ejemplo más famoso es YubiKey, diseñado por Yubico.

Mensaje de texto SMS

Este método interactúa directamente con el teléfono del usuario.

Después de ingresar un nombre de usuario y contraseña, el sitio envía un código de acceso único (OTP) por mensaje de texto.

Al igual que el proceso de token de hardware, el usuario debe ingresar la OTP en el servicio web, antes de poder obtener acceso.

Para los sitios web que almacenan información personal como compañías de servicios públicos, bancos o cuentas de correo electrónico, este método puede no ser lo suficientemente seguro, ya que los SMS son relativamente fáciles de interceptar.

Aplicaciones de autentificación

Es posiblemente la forma más popular de autenticación.Utiliza un código de acceso de un solo uso generado por una aplicación instalada en el teléfono móvil.

Al iniciar sesión, mediante un nombre de usuario y una contraseña en un servicio en línea que admita este tipo de método, se le solicita al usuario que ingrese el código que se muestra en la aplicación.

Al igual que los tokens de hardware, el token de software suele ser válido durante menos de un minuto.

Aplicaciones de autentificación

Y debido a que el código se genera y se muestra en el mismo dispositivo, (una vez instalado no requiere conexión para funcionar) los tokens de software eliminan la posibilidad de que los piratas informáticos puedan interceptarlos.

Las soluciones basadas en aplicaciones están disponibles para las principales plataformas móviles, y sistemas operativos.

  • Google Authenticator, es la aplicación más sencilla de utilizar. Ni siquiera tiene configuración: plataformas admitidas Android e iOS.
  • Duo Mobile, también es muy fácil de usar, minimalista y sin ajustes adicionales: plataformas admitidas Android e iOS
  • Microsoft Authenticator, también opta por un enfoque austero, con una aplicación minimalista, pero cuenta con más funciones que Google Authenticator: plataformas admitidas Android e iOS.
  • FreeOTP, es software de código abierto y la aplicación menos pesada de nuestra lista: plataformas admitidas Android e iOS.
  • Authy, es posiblemente la aplicación de este tipo más sofisticada, con la principal ventaja de que todos los token se almacenan en la nube: plataformas admitidas Android, iOS, Windows, macOS y Chrome.
  • Yandex Key, se puede bloquear con un código o huella digital y se pueden crear copias de seguridad de token en la nube para utilizarlas en múltiples dispositivos y en la migración a nuevos: plataformas admitidas Android e iOS.

Aunque la función básica de todas estas aplicaciones es la misma: generar códigos de un solo uso mediante el mismo algoritmo, algunos autentificadores cuentan con funciones adicionales y es conviene elegir aplicaciones diseñadas por desarrolladores de confianza.

Es muy fácil utilizar estas aplicaciones.

  • Instala la aplicación de autentificación en tu smartphone.
  • Ve a los ajustes de seguridad del servicio con el que quieres utilizar la aplicación.
  • Selecciona 2FA (suponiendo que admita esta opción) y el servicio mostrará un código QR que puedes escanear directamente desde la propia aplicación.
  • Una vez escaneado generará un nuevo código cada 30 segundos.

Notificación Push

En lugar de depender de la recepción de un token, los sitios web y las aplicaciones envian al usuario una notificación automática de que se está realizando un intento de acceso a su cuenta.

El propietario puede aprobar o denegar el acceso con un solo toque.

Es una autenticación sin contraseña, y sin códigos.

Funciona como un pestillo de seguridad, protegiendo tus cuentas y servicios online, incluso puedes desconectar tus servicios digitales cuando no los estés utilizando.

Latch es una sencilla aplicación gratuita propiedad del Grupo Telefónica, con la cual los usuarios pueden activar o desactivar sus cuentas para evitar el robo de información por parte de ciberdelincuentes.

Otras formas de autenticación de dos factores

La autenticación biométrica que trata al usuario como un token ya está a la vuelta de la esquina.

Ya es posible verificar la identidad de una persona a través de la huella digital, escaner de retina y reconocimiento facial.

El ruido ambiental, el pulso, los patrones mecanográficos (pulsación de teclas) y las impresiones vocales también se están planteando como método de autentificación.

Es solo cuestión de tiempo que uno de estos métodos despegue.

Y también que los villanos descubran cómo explotarlo.

Etiquetas:
Mostrar el formulario de comentarios