El tema de Multi-Factor Authentication es de mucha importancia en el mundo de la ciberseguridad, ya que con esta técnica nos defendemos de más del 81% de las brechas existentes. Según el reporte de Verizon
En este artículo, plasmaré los conceptos fundamentales de MFA incluyendo mi clasificación personal de los diferentes factores o métodos de autenticación que existen. Esta clasificación se fundamenta en los principios de Zero Trust
Igualmente te presento un detalle de los métodos 2FA que son usados en la actualidad así como un poco de lo que se viene con la evolución a passwordless.
Tabla de Contenidos
Antes de irnos a Multi-Factor Authentication, es muy importante conocer que son los factores de autenticación y su clasificación
Los factores de autenticación o técnicamente hablando métodos de autenticación, son técnicas que se usan para verificar la identidad de un usuario que desea ingresar a algún servicio de TI.
Al mero tema identidad, los principios Zero Trust agregan como factores la verificación de comportamiento y ambiente o circunstancias que rodean a cualquier intento de inicio de sesión.
Como fruto de mi experiencia e investigaciones, y con motivos estrictamente pedagógicos, he diseñado esta clasificación de los diferentes factores de autenticación que existen y que estoy seguro te ayudará a entenderlos de una manera muy fácil
Bajo mi criterio, los factores se pueden clasificar en 4 categorías:
Este factor coincide con el “algo que conozco”, es decir.. un dato que solo la persona debe conocer. Acá tenemos la autenticación primaria conformada por la única combinación de usuario y contraseña.
Los factores secundarios se fundamentan en métodos de autenticación principalmente fuera de banda, es decir, que utilizan otro canal o tecnología diferente a la usada para acceder a la aplicación a la cual se intenta ingresar.
Esta categoría coincide con el famoso “alguien quien soy” y en ella caen los factores que son inherentes (inseparables) del individuo que los posee y que pueden ser técnicamente leídos y verificados.
Ejemplos:
En estos factores de autenticación, se solicita al usuario que presente una información que solo él debe poseer.
En esta categoría coincide con el “algo que tengo” y en ella caen:
Ya en términos más estrictos de los principios de Zero Trust, hay condiciones conductuales o ambientales que deben ser evaluadas para dar acceso al usuario.
Estos factores, por ejemplo son implementados como por ejemplo en las Políticas Adaptativas de Acceso en Duo Security
Normalmente son evaluados de forma posterior a la presentación de los dos principales factores de autenticación 2FA que se hayan implementado.
Por tanto, a pesar de que el usuario haya presentado correctamente los factores iniciales (lo que nos da una gran certeza de que el usuario es quien dice ser); se está en capacidad de negar o aprobar el acceso considerando parámetros más estrictos.
A continuación un listado de este tipo de factores:
El más importante de los factores dinámicos está relacionado con el dispositivo que utiliza el usuario para acceder al recurso deseado.
Para ejecutar estos factores, se requiere de un poco más de sofisticación y servicios como el de Duo Security.
El usuario debe presentar la condición de actualización del Sistema Operativo y otros complementos.
Con base a este estado de higiene del dispositivo, se puede permitir o negar el acceso.
En ambientes Bring your own Device (BYOD), se puede discriminar el acceso de acuerdo a si el dispositivo de acceso es un dispositivo personal o perteneciente a la compañía (corporativo)
Se pueden exigir también parámetros de configuración de seguridad mínimos para obtener el acceso, tales como:
Si un usuario normalmente inicia sesión en una determinada ubicación geográfica, y de repente aparece en otra, el acceso puede ser negado o solicitar un factor alternativo.
Son factores de comportamiento habitual en términos de los momentos en los cuales es usual el intento de ingreso
Si se detecta un intento de autenticación en un momento no habitual, se puede recurrir a algún factor de autenticación alternativo que permita verificar la identidad.
Ya conocido los factores a modo individual, podemos entonces hablar ya de Multi-Factor Authentication, Autenticación Multifactorial o MFA.
MFA es una medida de ciberseguridad que exige para una correcta verificación de un usuario, la presentación correcta de al menos 2 métodos de autenticación diferentes y únicos (comúnmente conocidos como factores de autenticación)
Hago énfasis en los adjetivos diferentes y únicos ya que de estas características depende la efectividad de este control de seguridad que persigue tener capas adicionales que nos protejan contra la vulneración de alguno de los factores.
Por ejemplo: nada hacemos pidiendo dos veces una misma contraseña o enviando dos veces una notificación push si este factor ha sido vulnerado.
MFA nos protege contra ataques cibernéticos que pretendan usurpar nuestra identidad para ejecutar acciones fraudulentas.
Acá se vienen palabras como:
En caso de ser víctima de alguno de ellos, si el atacante no tiene acceso a tu método de autenticación de segundo factor, no podrá completar su ataque.
Esta es una pregunta muy común y que tiende a generar confusión.. ¿MFA es lo mismo que 2FA?
En realidad son términos muy parecidos pero no son lo mismo:
Acá entran en juego entonces los más conocidos Métodos de 2FA y que a continuación voy a detallar:
Ahora bien, vamos a entrar en materia y detallar los métodos de autenticación más importantes que pueden ser usados además del usuario y contraseña.
Son llaves de seguridad regidas por el estándar FIDO2 o WebAuthn. Son el método de autenticación más seguro que existe y son la clave fundamental de la tecnología passwordless.
Son notificaciones que llegan a una aplicación móvil, por ejemplo Duo Mobile.
Las notificaciones muestran información detallada del intento de autenticación (servicio, dirección IP, nombre del equipo, nombre del usuario) que permiten al usuario discernir si acepta o no la autenticación
Códigos de un solo uso (OTP) generados en un hardware especializado o en un smartphone con una app de autenticación.
Consiste en la comunicación de un código OTP a través de la red de telefonía celular.
Esta comunicación puede ser vía SMS o una llamada telefónica donde se dicta el código a ser usado.
Imagina implementar Multi-Factor Authentication (MFA) de forma independiente en cada aplicación…..
Ahora imagina que un usuario cambió o perdió el teléfono donde tenía su aplicación autenticadora…..
En este caso debes entrar en cada sistema, de forma independiente y eliminar el dispositivo. Y el usuario debe reconfigurar su dispositivo autenticador en cada sistema .. .también de forma independiente.
Es acá donde debes tomar un respiro y pensar muy bien antes de activar MFA en tu compañía. El tema administrativo rutinario es muy serio.
Por ello debes evaluar el uso de soluciones que integren al mismo tiempo a las aplicaciones y la gestión unificada de usuarios y dispositivos de segundo factor.
En este caso y con base en mi experiencia, no dudo en recomendarte Duo Security como el Top en administración de MFA
Passwordless es una tecnología que ataca al factor más débil de los factores, la contraseña.
La intención es eliminar la necesidad de utilizar una contraseña como factor de autenticación, todo esto debido a el gran número de desventajas que estas ofrecen (difíciles de recordar, susceptibles a ser robadas o adivinadas)
Por ello, y debido al gran nivel de seguridad que se logra con los factores secundarios, passwordless elimina el factor primario y utiliza:
De este modo se usan los factores más seguros y que permiten relegar y eliminar la necesidad de la contraseña.
Multi-Factor Authenticaation, llegó para quedarse y sus beneficios en términos de una mayor seguridad son enormes.
Es muy importante saber implementarlos ya que si lo haces de forma desordenada o independiente por cada aplicación, puedes terminar ganando un complejo problema administrativo.
Es acá donde Duo Security tiene su mayor fortaleza: puedes integrar todas las aplicaciones y todos los métodos de segundo factor en una sola plataforma, lo que disminuye la fricción de cara al usuario y facilita la administración del lado de TI.
Principal Solutions Engineer en ICT International MSP
Especialista en Ciberseguridad ZeroTrust | Content Marketer | Experto SEO |
Esta entrada ha sido publicada el 14 de septiembre de 2022
Trabajemos Juntos, Hagamos una PoC Gratis a través de un MSP
Esta web usa cookies.
Leer más...