¿Por qué se necesita la autenticación de dos factores?
Los sistemas de autenticación tradicionales basados en contraseñas son vulnerables a ataques de phishing y al uso de contraseñas débiles o reutilizadas. Dado que se puede acceder a muchos sistemas desde cualquier lugar a través de Internet, una contraseña comprometida hace posible que un atacante obtenga acceso no autorizado a una cuenta de usuario.
La autenticación de dos factores, también llamada verificación en dos pasos, está diseñada para agregar una capa adicional de protección para las cuentas de usuario. En lugar de requerir solo una contraseña para la autenticación, iniciar sesión en una cuenta habilitada para 2FA requiere que el usuario presente también un factor adicional.
¿Qué son los factores de autenticación?
Los factores de autenticación se dividen en tres categorías:
- Algo que sabe: Un ejemplo de un factor que es “algo que sabe” es una contraseña o la respuesta a una pregunta de seguridad (como las que se usan para restablecer contraseñas).
- Algo que tienes: Algo que tienes puede ser un teléfono inteligente o un dispositivo de autenticación física como una tarjeta inteligente o Yubikey. Estos dispositivos pueden generar o recibir códigos de acceso únicos que se pueden ingresar en una página de autenticación.
- Algo que es: “Algo que es” los factores utilizan la autenticación biométrica. Por ejemplo, un usuario puede necesitar someterse a una huella digital, huella de voz o escaneo de iris para obtener acceso a algo.
Idealmente, un sistema 2FA debería incorporar dos tipos diferentes de factores. De lo contrario, el uso de dos del mismo factor, como dos factores de “algo que sabe”, corre el riesgo de que ambos se vean comprometidos a la vez. Por ejemplo, dos factores basados en el conocimiento (como una contraseña y una pregunta de seguridad) podrían verse comprometidos en un ataque de phishing, mientras que un carterista podría robar dos factores físicos (como un teléfono inteligente y una llave USB).
Una combinación común es usar un factor físico y basado en el conocimiento. Por ejemplo, es posible que un usuario deba proporcionar una contraseña y conectar una tarjeta inteligente o una llave USB a una computadora o tocar un botón de confirmación en su teléfono inteligente. Los factores biométricos se utilizan menos porque son más difíciles de crear (los escáneres faciales y de huellas dactilares del teléfono inteligente han sido derrotados varias veces) y son difíciles de cambiar si se ven comprometidos. Pongámoslo de esta manera: es fácil cambiar su contraseña pero mucho más difícil cambiar sus huellas dactilares o retinas.
¿Cómo funciona la autenticación de dos factores (2FA)?
2FA funciona presentando una página de inicio de sesión que requiere múltiples solicitudes de entrada a un usuario. Comúnmente, esta es una solicitud de una contraseña y un código de acceso único.
Este código de acceso único se puede adquirir de varias maneras. Una opción común es enviarlo por SMS o correo electrónico. Sin embargo, este enfoque es menos seguro porque es vulnerable a ataques de intercepción o intercambio de SIM.
Una opción más segura es un algoritmo de contraseña de un solo uso basado en el tiempo (TOTP) como los que se utilizan en muchas aplicaciones de teléfonos inteligentes. Durante la configuración, el dispositivo de autenticación (teléfono inteligente, llave USB, etc.) comparte un valor inicial aleatorio secreto. Tanto el servidor como el dispositivo de autenticación utilizan un algoritmo común para transformar esta semilla con el tiempo. Esto significa que, en cualquier momento, están de acuerdo en la versión de este valor.
Si un usuario intenta iniciar sesión en un servicio, proporciona el valor actual proporcionado por su dispositivo de autenticación al sitio, que lo compara con su valor actual y autoriza la conexión si coinciden. Sin embargo, el espacio de valores posibles es lo suficientemente grande como para que un atacante sea extremadamente improbable que adivine el código correcto mientras siga siendo válido.
Cómo configurar la autenticación de dos factores (2FA)
El uso de la autenticación de dos factores ha crecido dramáticamente en popularidad en los últimos años. Como resultado, muchos sitios importantes y la mayoría de los sitios que contienen y procesan datos confidenciales tendrán soporte integrado para la autenticación de múltiples factores. En algunos casos, un sitio puede impulsar el uso de autenticación de múltiples factores, presentando una ventana emergente que guía al usuario a través del proceso. En otros, puede ser necesario visitar la página de configuración de cuenta o perfil para configurar 2FA.
Los detalles de la configuración de 2FA dependen del tipo utilizado. Para SMS o 2FA basado en correo electrónico, el único requisito de configuración es proporcionar un número de teléfono o una dirección de correo electrónico a la que enviar códigos. Para la 2FA basada en TOTP, puede ser necesaria la instalación de una aplicación de autenticación (como Authy o Google Authenticator) o el uso de una clave de seguridad basada en USB.
2FA para empresas
La autenticación de dos factores no solo es beneficiosa para los consumidores. Habilitar 2FA para el acceso a los recursos corporativos puede ayudar a proteger contra los impactos de las contraseñas de usuario comprometidas, especialmente en este mundo de trabajo remoto.
Check Point ofrece soluciones sencillas para implementar 2FA en toda su organización. Esto incluye soporte para acceso remoto seguro y soluciones Secure Access Service Edge (SASE). Para ver las soluciones de Check Point en acción, solicite una demostración.
Comentarios