No necesita un máster en Bellas Artes para usar la autenticación multifactor (Multi-Factor Authentication, MFA). Sentimos el acrónimo humor. La MFA, autenticación multifactor, requiere que un usuario proporcione un medio adicional de autenticación o verificación, además de introducir un nombre de usuario y contraseña, para iniciar sesión en una cuenta o sitio web.
Antes de profundizar en la MFA, hablemos rápidamente sobre la autenticación. Tradicionalmente, la autenticación se compone de dos cosas: un nombre de usuario y una contraseña.
El nombre de usuario es la identidad de la cuenta. Esto no pretende ser privado ni difícil de averiguar. De hecho, en la mayoría de los casos el nombre de usuario está destinado a ser público o al menos visible para otras personas que utilizan el mismo sistema, servicio, red, etc.
La contraseña es el secreto que se intercambia para permitir al usuario acceder al sistema, servicio, red, etc. El uso de solo un nombre de usuario y contraseña se conoce como autenticación de un factor porque el usuario está verificando su identidad con una prueba o un factor.
La MFA añade dos o más pruebas verificables o factores al proceso de autenticación para reducir en gran medida las preocupaciones de seguridad al reducir las posibilidades de que la persona equivocada acceda a una cuenta. La autenticación de dos factores (2FA) es un subconjunto de MFA y es un medio de autenticación con solo dos elementos de evidencia o factores verificables. Un buen ejemplo del mundo real de 2FA es el uso de un cajero automático. Usted utiliza algo que tiene, la tarjeta ATM y algo que sabe, su número PIN.
Por lo general, hay cuatro factores de autenticación disponibles para que los utilicemos hoy en día:
- Algo que tenga (es decir, un generador de números como Google Authenticator)
- Algo que sepa (es decir, una contraseña o frase de contraseña)
- Algo que usted es (es decir, datos biométricos como huella dactilar o geometría facial)
- Dónde se encuentra (es decir, ubicación GPS rastreada por su teléfono o ubicación de dirección IP)
A continuación, le explicaré algunas opciones que se adaptan a cada una de estas categorías.
Token de hardware: Algo que tenga
Un token de hardware puede tener muchas formas. En la década de los 90, siempre se podía decir al personal de TI de una empresa porque tenían pequeños mandos en sus llaveros que tenían una pequeña pantalla con números que cambiaban cada 30 segundos. Esto se conoce como contraseña de un solo uso basada en el tiempo (TOTP). Aunque esta sigue siendo una opción en la actualidad, la mayoría de las implementaciones de TOTP se ejecutan utilizando una aplicación móvil o un mensaje SMS (consulte a continuación). Otro token de hardware popular esYubikey. Este es un token de hardware que normalmente se conecta a un ordenador a través de USB; sin embargo, algunos Yubikeys admiten la comunicación de campo cercano que admite dispositivos sin puertos USB, como un iPhone. Para utilizar este token, inicie sesión con su nombre de usuario y contraseña y, a continuación, aparecerá un campo en la página que solicita la autenticación Yubikey. En lugar de escribir en ese campo, el usuario conecta la Yubikey y toca el sensor. Con esta conexión física, Yubikey introduce la clave.
TOTP SMS: Algo que tenga
La contraseña de un solo uso basada en tiempo (TOTP) es un mensaje de texto o correo electrónico con un código numérico, llamado contraseña de un solo uso (OTP) porque solo es válida para un solo uso. Este método es menos popular entre los profesionales de ciberseguridad, ya que se ha demostrado que es débil en comparación con otras opciones, pero sigue siendo MUCHO mejor que solo usar un nombre de usuario y una contraseña.
Token de contraseña única basada en tiempo (TOTP): Algo que tenga
Otro método popular es el uso de un generador TOTP, como los que se encuentran en los antiguos tokens de cadena de clave RSA de hardware o una aplicación para smartphone comoGoogle Authenticator, LastPass, FreeOTP y otros. Estos números cambian cada 30 segundos en función de un algoritmo compartido que tanto el token de software como el servidor de autenticación conocen. No se necesita comunicación por red o Internet para utilizar el token de software. La siguiente imagen muestra el token basado en tiempo en un teléfono móvil y dónde se introduce en la página web después de introducir el nombre de usuario y la contraseña en Google.
Teléfono/correo electrónico: Algo que tenga
Otras dos opciones de MFA TOTP son recibir una llamada telefónica o un correo electrónico con el código MFA. Si bien esto es mejor que no tener una MFA, se ha demostrado muchas veces lo fácil que es para un actor de amenazas interceptar o utilizar esta opción sin el conocimiento del usuario propietario de la cuenta.
Códigos de copia de seguridad: Algo que tenga
Se le proporcionan códigos de copia de seguridad cuando configura MFA en muchos sitios. La idea detrás de los códigos de copia de seguridad es que los asegure en un escritorio/oficina con llave, una caja de seguridad o una bóveda cifrada, como su gestor de contraseñas. Solo se utilizan si pierde o no tiene acceso a la MFA que utiliza habitualmente. Por ejemplo, si le roban el teléfono, ya no podrá utilizar Google Authenticator. En este caso, puede extraer sus códigos de copia de seguridad e iniciar sesión en su cuenta.
Biometría: Algo que usted es
La biometría se convirtió en la norma general con lectores de huellas dactilares y tecnología de reconocimiento facial integrada en los dispositivos móviles y portátiles que utilizamos todos los días. Sin embargo, en esas implementaciones, la biometría se utiliza como alternativa al nombre de usuario y la contraseña en lugar de como otro factor. No vemos que la biometría se utilice mucho en la MFA en línea hoy en día, pero existe la posibilidad de utilizarla.
GPS: Dónde está
La ubicación del GPS es otro factor que no se utiliza mucho para la MFA hoy en día, pero que con frecuencia se rastrea para averiguar si se han incumplido las cuentas. Digamos que Sally inicia sesión en la VPN de su empresa desde la ciudad de Nueva York a las 8:00 h el lunes y luego inicia sesión de nuevo en el servidor VPN a las 10:00 h desde París. Obviamente, no pudo llegar de NYC a París en dos horas, por lo que el servidor VPN denegaría esa segunda conexión y alertaría al equipo de ciberseguridad para que investigara.
QR: Algo que tenga
Los códigos QR están creciendo en popularidad como método de autenticación y, en algunos casos, sustituyendo por completo el nombre de usuario y las contraseñas. Si bien esto no es tan común actualmente para la mayoría de los usuarios de Internet, actualmente hay tecnología en funcionamiento que podría hacer que los códigos QR y las cámaras en teléfonos y computadoras reemplazaran el nombre de usuario y las contraseñas.
Descripción general
- Todos odiamos las contraseñas, especialmente porque tenemos que hacerlas complejas, lo que nos dificulta recordarlas.
- Los administradores de contraseñas nos permiten crear contraseñas excelentes para todas las cuentas.
- La MFA protegerá aún más una cuenta al requerir algo más que un simple nombre de usuario y contraseña para autenticarse.
MFA se ofrece en muchos de los sitios web más populares como Google, Facebook, Twitter y LinkedIn; sin embargo, la mayoría de los usuarios no lo habilitan.
A continuación se muestran dos sitios web que ofrecen una lista de sitios web que admiten la autenticación multifactor e instrucciones sobre cómo habilitar la MFA en esos sitios:
- https://evanhahn.com/2fa/
- https://twofactorauth.org/
Al utilizar la MFA como medida de seguridad adicional, puede reducir las preocupaciones de seguridad al iniciar sesión en sus cuentas en línea.