El sistema de autenticación basado en usuario y contraseña sigue siendo el más extendido para acceder a los distintos servicios online. Sin embargo, existen otras formas de autenticarnos en los que interviene otro elemento. Pasamos del “algo que sé”, es decir, una contraseña, una clave o un PIN, al “algo que tengo”, por ejemplo, un token USB o una tarjeta de coordenadas.
La mayoría de las empresas y servicios de internet están buscando que los usuarios activen las verificaciones de dos pasos para agregar de esta forma una capa adicional de seguridad.
Es algo que se vienen tomando muy en serio y para lo cual han invirtiendo muchos recursos ya que se busca aumentar el nivel de seguridad sin perder al mismo tiempo la usabilidad o comodidad de acceso.
Se ha vuelto casi indispensable luego de las numerosas filtraciones de contraseñas que se han dado en los últimos tiempos, afectando a toda clase de sitios e incluso compañías grandes como Yahoo.
Un especialista en seguridad a través de un sitio creado por el mismo en donde recopila información sobre todas esas filtraciones, nos permite desde el sitio puede ingresar su dirección de correo para comprobar si se ha visto expuesta alguna vez y diría que la mayoría tenemos al menos una cuenta que se ha visto comprometida.
La clave de la doble verificación se encuentra en que además de ingresar una contraseña, algo que podrían robarnos relativamente de forma sencilla, también se debe completar un segundo paso con algo que tenemos y es más complicado de robar.
Los accesos también se pueden reforzar con notificaciones que se reciben cada vez que alguien accede a un sistema, incluso cuando somos nosotros los que accedemos. Esto podrá parecer molesto para muchos usuarios, pero permitiría detectar un acceso no autorizado de forma sencilla, algo que también se puede hacer mediante los logs de acceso o actividad como tienen Outlook y Gmail.
De esta forma podemos estar más tranquilos, aunque estos segundos factores tampoco son infalibles. Bastaría por ejemplo con que alguien tenga accedo físico a nuestro móvil o bien lo infectara para vulnerarlo.
Es por ello, que desde hace tiempo se viene hablando de un tercer factor de autenticación, de esta forma el primero sería algo que nosotros sabemos, el segundo sería algo que nosotros tenemos y el tercero podría ser algo que nosotros somos.
En este último grupo ya entran en juego algunas tecnologías como las huellas dactilares, la identificación facial, de voz e incluso del iris, también se podría implementar algún sistema de geolocalización o de dispositivos que deben estar en un mismo lugar (por ejemplo, el móvil junto a un reloj inteligente).
Hay muchas alternativas que podrían funcionar como un tercer factor y asegurarían, hasta cierto punto, que el usuario que ingresa los dos primeros datos es el usuario real y no un ciberdelincuente.
Para la gran mayoría podrá parecer exagerado agregar tanta seguridad para un simple login, pero cuando se manejan datos sensibles o confidenciales es algo necesario y que muchas personas seguramente utilizarían.
De momento la mayoría de los servicios sólo ofrecen dos pasos de verificación, así que si no los estás utilizando este sería un buen momento para activarlos.
La autenticación doble, o verificación en dos pasos, es una capa adicional de seguridad que complementa el uso de una contraseña. Su objetivo es el de asegurarse de que el usuario no solo conoce la contraseña para acceder al servicio, sino que además es quien dice ser aportando en el proceso de Login de información, un código, por ejemplo, sobre algo que solo él posee.
La utilización de las contraseñas sirve para autentificar al usuario frente al proceso de verificación de identidad de cualquier servicio que lo requiera. De este modo, se asegura que el usuario es realmente quien dice ser y no un impostor. No obstante, no es el único mecanismo que hay para identificar a un usuario. Veamos las diferentes opciones:
Sistemas basados en algo conocido por el usuario. El más utilizado por todos es la contraseña.
La Concientización El Mejor Aliado Para Una Cultura De Ciberseguridad
Sistemas basados en algo que posee el usuario. Habitualmente se emplean tarjetas de identidad o de coordenadas, o un token (generador de claves) que puede ser físico o virtual.
Sistema basado en características físicas del usuario. Puede ser una huella dactilar, reconocimiento facial o incluso activación por voz.
La primera opción es la principal y más extendida entre la mayoría de usuarios. Se ha convertido en una actividad básica y cotidiana el crearnos una cuenta mediante el uso de un usuario y una contraseña, sin embargo, este proceso presenta una serie de vulnerabilidades:
Relacionadas con la capacidad de los usuarios para crear y recordar largas cadenas de caracteres, así como, varias contraseñas a la vez.
Relacionadas con las técnicas empleadas por los ciberdelincuentes, que cada vez son más sofisticadas y consiguen obtener nuestras claves más fácilmente.
En la actualidad los ciberdelincuentes están continuamente buscando nuevas formas con las que acceder a nuestra información, ya sea para robar nuestros datos, tener acceso a nuestros servicios, extorsionarnos, etc. Las formas mediante las cuales tratan de obtener nuestras credenciales son muy variadas como ya hemos contado en otras ocasiones: fuerza bruta, phishing, malware, etc.
Mediante el factor doble y múltiple de autenticación se reducen una gran cantidad de estos riesgos, ya que, aunque obtengan nuestras contraseñas, para acceder a nuestros servicios necesitarán estar en posesión de esa segunda capa de seguridad que hemos implementado.
Sin embargo, aunque utilicemos múltiples factores de autenticación, probablemente el uso de usuarios y contraseñas como parte del proceso de autenticación seguirá siendo parte de nuestra rutina durante mucho tiempo, por tanto, tendremos que esforzarnos en crear contraseñas robustas.
Dependiendo de lo crítica o sensible que sea la información que estemos tratando de proteger, podemos implementar una política de contraseñas u otra. De esta forma, si se trata de un servicio que contiene información poco o nada sensible, emplearemos contraseñas robustas (por ejemplo, 8 caracteres alfanuméricos) pero sin factor de autenticación con más elementos.
En cualquier caso, debemos seguir tratando de implementar buenos hábitos relacionados con la creación de contraseñas robustas y con la utilización de herramientas como los gestores de contraseñas para no tener que memorizar todas ellas. Y, por supuesto, de ser posible, siempre utilizar el factor de autenticación doble o múltiple.
REFERENCIAS
Eguía, Alejandro, El tercer factor de autenticación ¿es necesario?, archivo seguridad, recuperado: https://www.spamloco.net/2017/04/el-tercer-factor-de-autenticacion-es-necesario.html
Servicios Empresariales, Ciberseguridad: El Factor de autentificación doble y triple, Ayse Lucus, recuperado: https://www.ayselucus.es/noticia/ciberseguridad-el-factor-de-autentificaci%C3%B3n-doble-y-triple
