Autenticación multifactor

La versión actual de la página aún no ha sido revisada por colaboradores experimentados y puede diferir significativamente de la versión revisada el 20 de noviembre de 2019; las comprobaciones requieren 11 ediciones .

Autenticación multifactorial ( MFA , autenticación multifactor en inglés  , MFA ) - autenticación avanzada , un método para controlar el acceso a algo ( computadora , sitio , etc.) en el que el usuario debe presentar más de una "prueba del mecanismo de autenticación " para acceder a la información .

Las categorías de tales pruebas incluyen:

• El conocimiento es información que el sujeto conoce. Por ejemplo , contraseña , código PIN , código , palabra de control, etc.
• La posesión es una cosa poseída por el sujeto. Por ejemplo, una tarjeta electrónica o magnética, token, memoria flash.
• Una propiedad que tiene una entidad. Por ejemplo, biometría, diferencias únicas naturales: cara, huellas dactilares (patrones papilares), iris, secuencia de ADN.

Factores de autenticación

Artículo principal: Autenticación

Incluso antes de la llegada de las computadoras, se utilizaron varios rasgos distintivos del tema, sus características. Ahora bien, el uso de una u otra característica en el sistema depende de la confiabilidad, seguridad y costo de implementación requeridos. Hay tres factores de autenticación:

• El factor conocimiento: algo que sabemos es una contraseña . Esta es información secreta que solo debe tener un sujeto autorizado. La contraseña puede ser una palabra hablada, una palabra de texto, una combinación para un candado o un número de identificación personal ( PIN ). El mecanismo de contraseña se puede implementar con bastante facilidad y tiene un bajo costo. Sin embargo, tiene inconvenientes significativos: a menudo es difícil mantener la contraseña en secreto, los atacantes constantemente encuentran nuevas formas de robar, descifrar y adivinar la contraseña (ver criptoanálisis de bandidos , método de fuerza bruta ). Esto hace que el mecanismo de la contraseña sea débilmente seguro. Muchas preguntas secretas, como "¿Dónde naciste?", son ejemplos elementales del factor conocimiento porque pueden ser conocidas por un amplio grupo de personas o ser investigadas.
• Factor de propiedad: Lo que tenemos es un dispositivo de autenticación . Aquí, la circunstancia de la posesión por parte del sujeto de algún objeto único es importante. Puede ser un sello personal, una llave para una cerradura , para una computadora es un archivo de datos que contiene una característica. La característica a menudo está integrada en un dispositivo de autenticación específico, como una tarjeta de plástico o una tarjeta inteligente . Es más difícil para un atacante obtener un dispositivo de este tipo que descifrar una contraseña, y el sujeto puede informar de inmediato si el dispositivo es robado. Esto hace que este método sea más seguro que el mecanismo de contraseña, pero el costo de dicho sistema es mayor.
• Factor de característica: algo que es parte de nosotros: biometría . Una característica es una característica física de un sujeto. Puede ser un retrato, una huella dactilar o de la palma de la mano , una voz o una característica del ojo . Desde el punto de vista del sujeto, este método es el más simple: no necesita recordar la contraseña ni llevar consigo un dispositivo de autenticación. Sin embargo, el sistema biométrico debe ser muy sensible para confirmar un usuario autorizado y rechazar a un atacante con parámetros biométricos similares. Además, el costo de dicho sistema es bastante alto. Pero, a pesar de sus deficiencias, la biometría sigue siendo un factor bastante prometedor.

Seguridad

Según los expertos, la autenticación multifactor reduce drásticamente la posibilidad de robo de identidad en línea, ya que conocer la contraseña de la víctima no es suficiente para cometer un fraude. Sin embargo, muchos enfoques de autenticación multifactor siguen siendo vulnerables a los ataques de phishing , man-in-the-browser y man-in-the- middle .

Artículo principal: Autenticación

A la hora de elegir uno u otro factor o método de autenticación del sistema, es necesario, en primer lugar, basarse en el grado de seguridad requerido, el coste de construcción del sistema y garantizar la movilidad del sujeto.

Aquí hay una tabla de comparación:

Nivel de riesgo	Requisitos del sistema	Tecnología de autenticación	Ejemplos de aplicación
Corto	Se requiere autenticación para acceder al sistema, y ​​el robo, la piratería y la divulgación de información confidencial no tendrán consecuencias significativas.	El requisito mínimo recomendado es el uso de contraseñas reutilizables.	Registro en el portal en Internet.
Promedio	Se requiere autenticación para acceder al sistema, y ​​el robo, la piratería y la divulgación de información confidencial causarán pocos daños .	El requisito mínimo recomendado es el uso de contraseñas de un solo uso	Realización de operaciones bancarias por el sujeto
Alto	Se requiere autenticación para acceder al sistema, y ​​el robo, la piratería y la divulgación de información confidencial causarán daños significativos	Requisito mínimo recomendado: usar autenticación multifactor	Realización de importantes transacciones interbancarias por parte del personal directivo.

Legislación y regulación

El estándar de seguridad de datos de la industria de tarjetas de pago (PCI), requisito 8.3, requiere el uso de un MFA para todos los accesos de red remotos fuera de la red al entorno de datos de tarjetas (CDE). [1] A partir de PCI-DSS versión 3.2, se requiere el uso de MFA para cualquier acceso administrativo al CDE, incluso si el usuario está en una red confiable.

Autenticación de dos factores

La autenticación de dos factores ( DFA , autenticación de dos factores en inglés  , también conocida como verificación en dos pasos ) es un tipo de autenticación de múltiples factores. DFA es una tecnología que proporciona identificación de usuario a través de una combinación de dos componentes diferentes.

Ejemplos de autenticación de dos factores son la autorización de Google y Microsoft . Cuando un usuario inicia sesión desde un nuevo dispositivo, además de la autenticación de nombre de usuario y contraseña, se le solicita que ingrese un código de verificación de seis dígitos (Google) u ocho dígitos (Microsoft). El suscriptor puede recibirlo a través de SMS , usando una llamada de voz a su teléfono, el código de confirmación puede tomarse de un registro precompilado de códigos de un solo uso, o la aplicación de autenticación puede generar una nueva contraseña de un solo uso en resumen periodos de tiempo El método se selecciona en la configuración de la cuenta de Google o Microsoft, respectivamente.

La ventaja de la autenticación de dos factores a través de un dispositivo móvil:

• No se necesitan tokens adicionales , porque el dispositivo móvil está siempre a mano.
• El código de confirmación cambia constantemente, lo que es más seguro que una contraseña de inicio de sesión de un factor.

Desventajas de la autenticación de dos factores a través de un dispositivo móvil:

• El teléfono móvil debe conectarse a la red cuando se produce la autenticación, de lo contrario, el mensaje con la contraseña simplemente no llegará.
• Es necesario proporcionar un número de teléfono móvil, que, por ejemplo, puede generar spam en el futuro.
• Mensajes de texto (SMS), que al ser recibidos por un teléfono móvil pueden ser interceptados [2] [3] .
• Los mensajes de texto llegan con cierto retraso, ya que lleva algún tiempo autenticarse.
• Los teléfonos inteligentes modernos se utilizan para recibir correo y SMS. Como regla general, el correo electrónico en un teléfono móvil siempre está activado. Por lo tanto, todas las cuentas para las que el correo es la clave pueden ser pirateadas (el primer factor). Dispositivo móvil (segundo factor). Conclusión: el smartphone mezcla dos factores en uno.

Ahora, muchos servicios grandes, como Microsoft, Google, Dropbox, Facebook, ya brindan la capacidad de usar la autenticación de dos factores. Y para todos ellos, puedes usar una única aplicación de autenticación que cumpla con ciertos estándares, como Google Authenticator, Microsoft Authentificator, Authy o FreeOTP.

Implementación práctica

Muchos productos de autenticación multifactor requieren que el usuario tenga un software de cliente para que funcione el sistema de autenticación multifactor. Algunos desarrolladores han creado paquetes de instalación independientes para el inicio de sesión en la red, las credenciales de acceso web y la conexión VPN. Para utilizar un token o una tarjeta inteligente con estos productos , deberá instalar cuatro o cinco paquetes de software especiales en su PC. Estos pueden ser paquetes de control de versiones o paquetes para verificar conflictos con aplicaciones comerciales. Si se puede acceder a través de páginas web, entonces no hay costos inesperados. Con otras soluciones de software de autenticación de múltiples factores, como tokens "virtuales" o algunos tokens de hardware, los usuarios directos no pueden instalar ningún software.

La autenticación multifactor no está estandarizada. Hay varias formas de su implementación. Por lo tanto, el problema radica en su capacidad de interacción. Hay muchos procesos y aspectos que deben tenerse en cuenta al seleccionar, desarrollar, probar, implementar y mantener un sistema completo de administración de identidad de seguridad, incluidos todos los mecanismos de autenticación relevantes y tecnologías relacionadas: Brent Williams los describe en el contexto de "Identity Ciclo de vida" [1]

La autenticación multifactor tiene una serie de desventajas que impiden su distribución. En particular, es difícil para una persona que no entiende esta área seguir el desarrollo de tokens de hardware o llaves USB. Muchos usuarios no pueden instalar el software de cliente certificado por sí mismos porque no tienen las habilidades técnicas adecuadas. En general, las soluciones multifactoriales requieren costos adicionales de instalación y operación. Muchos complejos de hardware basados ​​en tokens están patentados y algunos desarrolladores cobran a los usuarios una tarifa anual. Desde el punto de vista logístico, es difícil colocar tokens de hardware, ya que pueden dañarse o perderse. Se debe regular la emisión de tokens en grandes organizaciones como bancos y otras grandes empresas. Además del costo de instalar la autenticación multifactor, también se paga una cantidad importante por el mantenimiento. En 2008, el principal recurso de medios Credit Union Journal realizó una encuesta entre más de 120 cooperativas de ahorro y crédito de EE. UU. El propósito de la encuesta es mostrar el costo de mantenimiento asociado con la autenticación de dos factores. Al final, resultó que la certificación de software y el acceso a la barra de herramientas tienen el costo más alto.

Patentes

En 2013, Dotcom, Kim afirmó haber inventado la autenticación de dos factores patentada en 2000, [4] y amenazó brevemente con demandar a todos los principales servicios web. Sin embargo, la Oficina Europea de Patentes revocó su patente [5] a la luz de una patente estadounidense anterior de 1998 en poder de AT&T. [6]

Véase también

• Autenticación
• Simbólico
• tarjeta electrónica
• CALIENTE / TOTP

Notas

1. ↑ Sitio oficial del Consejo de normas de seguridad de PCI: Verifique el cumplimiento de PCI, descargue la seguridad de datos y las normas de seguridad de tarjetas de crédito . www.pcisecuritystandards.org . Consultado el 25 de julio de 2016. Archivado desde el original el 27 de diciembre de 2021. (indefinido)
2. ↑ NIST se prepara para eliminar gradualmente los códigos de seguridad de inicio de sesión basados ​​en SMS. Se está acabando el tiempo para esta popular técnica de seguridad en línea  (inglés) , Fortune (26 de julio de 2016). Archivado desde el original el 20 de abril de 2018. Consultado el 13 de agosto de 2016.  "Debido al riesgo de que los mensajes SMS puedan ser interceptados o redirigidos, los implementadores de nuevos sistemas deben considerar cuidadosamente autenticadores alternativos", NIST.
3. ↑ Durov anunció la participación de servicios especiales en el hackeo del Telegram de la oposición . RosBusinessConsulting (2 de mayo de 2016, 20:18). - “... el viernes por la noche, el departamento de seguridad tecnológica de MTS apagó el servicio de entrega de SMS para él (Oleg Kozlovsky), después de lo cual, 15 minutos después, alguien de la consola Unix en la dirección IP en uno de los servidores anonimizadores Tor lo envió a Telegram solicitando la autorización de un nuevo dispositivo con el número de teléfono de Kozlovsky. Se le envió un SMS con un código que no se entregó porque el servicio estaba deshabilitado para él. Luego, el atacante ingresó un código de autorización y obtuvo acceso a la cuenta de Telegram del activista. “La pregunta principal es cómo personas desconocidas obtuvieron acceso al código que se envió por SMS, pero no se entregó. Desafortunadamente, solo tengo una versión: a través del sistema SORM o directamente a través del departamento técnico de seguridad del MTS (por ejemplo, por una llamada de las “autoridades competentes”)”, enfatizó la activista. Consultado el 11 de mayo de 2017. Archivado desde el original el 17 de junio de 2018. (Ruso)
4. ↑ Schmitz, Kim, "Método para autorizar en sistemas de transmisión de datos", US 6078908
5. ↑ Brodkin, Jon Kim Dotcom afirma que inventó la autenticación de dos factores, pero no fue el primero (html). Ars Technica (23 de mayo de 2013). Consultado el 25 de julio de 2019. Archivado desde el original el 9 de julio de 2019.  (indefinido)
6. ↑ Blonder, et al., "Autorización de transacciones y sistema de alerta", US 5708422

Enlaces

• Eric Grosse, Mayank Upadhyay, Autenticación a escala. IEEE Security and Privacy, enero/febrero de 2013 , IEEE Computer and Reliability Societies. (Inglés)
• BORRADOR NIST Publicación Especial 800-63B. Pauta de autenticación digital. Autenticación y gestión del ciclo de vida // NIST, 2016  (ing.)
• Autenticación multifactor en palabras simples