fbpx
Wikipedia

Autenticación de múltiples factores

Agosto 20, 2021

Este artículo o sección necesita referencias que aparezcan en una publicación acreditada.
Este aviso fue puesto el 5 de enero de 2018.

La autenticación de múltiples factores (AMF) es un método de control de acceso informático en el que a un usuario se le concede acceso al sistema solo después de que presente dos o más pruebas diferentes de que es quien dice ser. Estas pruebas pueden ser diversas, como una contraseña, que posea una clave secundaria rotativa, o un certificado digital instalado en el equipo, entre otros.

La autenticación de dos factores (A2F), también usada la sigla inglesa 2FA (de two-factor authentication), es un método que confirma que un usuario es quien dice ser combinando dos componentes diferentes de entre: 1) algo que saben; 2) algo que tienen; y 3) algo que son. Es el método más extendido en la actualidad para acceder a cuentas de correo como las de iCloud o Gmail, pero generalmente se solicita que el usuario active voluntariamente esta capa de protección adicional.

Un ejemplo de la vida cotidiana de este tipo de autenticación es la retirada de efectivo de un cajero automático. Solo tras combinar una tarjeta de crédito —algo que el usuario posee— y un pin —algo que el usuario sabe— se permite que la transacción se lleve a cabo.

La autenticación en dos pasos o verificación en dos pasos es un método de confirmar la identidad de un usuario utilizando algo que conocen (contraseña) y un segundo factor distinto a lo que sean o posean. Un ejemplo de un segundo paso es que el usuario tenga que introducir algo que le sea enviado a través de un medio alternativo, o que tenga que introducir una serie de dígitos generados por una aplicación conocida por el usuario y el sistema de autenticación.

Factores de autenticación

El uso de múltiples factores de autenticación para demostrar la identidad propia se basa en la premisa de que un tercero no autorizado probablemente no pueda ser capaz de suministrar los factores requeridos para el acceso. Si en un intento de autenticación al menos uno de los componentes falta o se suministra incorrectamente, la identidad del usuario no se valida y no puede acceder a los recursos —p. ej., un edificio o dato—.

Los factores de autenticación de un patrón de autenticación de múltiples factores podría incluir:

  • Algún objeto físico en posesión del usuario, como una memoria USB con un identificador único, una tarjeta de crédito, una llave, etc.
  • Algún secreto conocido por el usuario, como una contraseña, un pin, etc.
  • Alguna característica biométrica propia del usuario, como una huella dactilar, iris, voz, velocidad de escritura, patrón en los intervalos de pulsación de teclas, etc.

Factores de conocimiento

Los factores de conocimiento son la forma más común de autenticación. El usuario necesita demostrar que conoce algo secreto para poder autenticarse, como por ejemplo una contraseña.

Muchos sistemas de autenticación de múltiples factores confían en las contraseñas como uno de los factores de autenticación. Estos sistemas pueden precisar que se utilicen contraseñas más largas de múltiples palabras, y otros una clave más corta, por ejemplo un pin —contraseña alfanumérica—.

Se espera que estas contraseñas sean memorizadas y no compartidas con nadie. El caso particular de las preguntas de seguridad como método de verificación es un ejemplo de poca seguridad puesto que suelen referirse a conocimientos más que probablemente conocidos por el entorno del usuario, de dominio público o que se pueden averiguar fácilmente investigando la vida del usuario.

Factores físicos

Los factores físicos, algo que el usuario debe poseer, han estado en uso desde que se tiene conocimiento, ya que el ejemplo más básico es el de la llave de una cerradura. El principio básico es que la llave simboliza un secreto que se comparte con la cerradura, y el mismo principio subyace en los sistemas de computadoras que utilizan factores físicos de autenticación. Una cadena de caracteres o token de seguridad es un ejemplo de estos factores.

Tókenes sin conexión

 
El token SecurID de RSA es un ejemplo de generador de tókenes sin conexión.

Los tókenes sin conexión son generados sin que el dispositivo tenga conexión a la computadora en la que el usuario se quiere autenticar. Normalmente utilizan una pantalla integrada para mostrar la información de autenticación que genera, y que luego el usuario debe introducir manualmente en la computadora.

Tókenes conectados

Los tókenes conectados son dispositivos que están físicamente conectados a la computadora con la que se van a utilizar, y por tanto transmiten información automáticamente. Existen distintos tipos, como por ejemplo lectores de tarjetas, etiquetas inalámbricas y tókenes en USB. El Universal 2nd Factor es un estándar abierto que establece una forma sencilla de operar para este tipo de dispositivos.[1]

Factores inherentes

Son factores que están asociados al usuario, y generalmente son métodos biométricos, como los lectores de huellas, de retina o reconocimiento de voz.

Factores de autenticación según la UIT

Instituciones como la UIT establecen un paradigma de la tipología de los factores de autenticación basándolos en los tipos de atributos que puede tener una entidad/identidad.[2]​ De esta forma se dividirían en los siguientes bloques, que se pueden explicar según lo que:

  • la entidad conoce. Este factor incluye cualquier cosa que pueda comprometer el conocimiento. Las contraseñas en sí entran en esta categoría. Por ejemplo, aquella pregunta de desafío-respuesta para recordar la posible contraseña, cuando la hemos olvidado.
  • la entidad tiene. Algo que tiene (físicamente), como por ejemplo un número de teléfono o un token físico que podría haber recibido de su banco y que muestra una contraseña de un solo uso (OTP).
  • la entidad es. La que tiene que ver con la biometría (reconocimiento facial, reconocimiento de voz, lectura del iris, etc.), es algo que simplemente no se puede separar de su identidad física fundamental.
  • la entidad hace. Son sus matices de comportamiento, cómo se comporta día a día con las cosas y las personas con las que interactúa.
  • es la localización de la entidad. La tecnología de seguimiento de direcciones como las IP o la geolocalización GPS se utilizan para validar la autenticidad o incluso la posibilidad de un intento de acceso.
  • se pida que sea la combinación de los anteriores.

Para realizar una autenticación se utilizan uno o varios de estos atributos de una identidad, de forma que se pueda asegurar que la entidad reclamadora sea la identidad que dice ser.

Autenticación de dos factores mediante teléfono móvil

La mayor desventaja de la autenticación empleando algo que el usuario posea y otro factor cualquiera es que el token físico utilizado —una memoria USB, tarjeta bancaria, llave o similar— debe ser llevado siempre encima. Además, si se lo roban, se pierde, o si el usuario simplemente no lo tiene consigo, el acceso es imposible. También tiene costes relacionados con el reemplazo de los objetos perdidos necesarios para la autenticación. Por último, existen conflictos y concesiones a realizar para encontrar el equilibrio entre la usabilidad y la seguridad.

La autenticación móvil de dos factores fue creada para proporcionar un método alternativo que evitara los problemas derivados de usar un token físico. Esta aproximación utiliza dispositivos móviles como teléfonos móviles para servir como algo que el usuario posea. Si los usuarios se quieren autenticar, pueden utilizar su licencia de acceso personal —por ejemplo, algo que sólo el usuario individual sabe— más una contraseña de un solo uso y no reutilizable constituida por varios dígitos. El código puede ser enviado a su dispositivo móvil por SMS o a través de una aplicación especial.

La ventaja de este método es que no hay ninguna necesidad para tener un token físico adicional, ya que los usuarios tienden a llevar sus móviles encima en todo momento. Algunas soluciones profesionales de autenticación de dos factores también se aseguran de que siempre haya una contraseña válida disponible para el usuario. Si ya ha utilizado una contraseña válida, se borra automáticamente y el sistema envía un nuevo código al dispositivo móvil. Si el nuevo código no se utiliza en un periodo de tiempo determinado, el sistema lo reemplaza automáticamente. Esto asegura que los códigos viejos o utilizados no sean almacenados en el dispositivo. Para añadir más seguridad, es posible especificar cuántas veces se puede introducir el código erróneamente antes de que el sistema se bloquee.

La seguridad de los tókenes entregados a dispositivos móviles depende totalmente de la seguridad de la operadora y de los protocolos implicados, ya que podría ser rota mediante un pinchazo, clonando la SIM o aprovechando las vulnerabilidades de SS7

Ventajas

  • No se necesitan tókenes adicionales puesto que utiliza los dispositivos móviles que se portan en todo momento.
  • Puesto que se cambian continuamente, los códigos generados dinámicamente son más seguros de utilizar que la información de autenticación fija o estática.
  • Dependiendo de la solución, los códigos que se han utilizados son reemplazados para asegurarse de que siempre hay un código válido disponible. Por lo tanto, los problemas de transmisión o recepción no son un impedimento para la autenticación del usuario.
  • La opción de especificar un número máximo de intentos fallidos reduce el riesgo de que haya ataques de personas no autorizadas.
  • Fácil de configurar y de fácil uso.

Desventajas

  • El teléfono móvil debe ser portado por el usuario, estar cargado y cerca de una señal de red telefónica en el momento en que se pueda necesitar autenticarse. Si el teléfono no puede mostrar mensajes, el acceso suele ser imposible sin algún plan de contingencia.
  • El usuario debe compartir su número móvil personal con el proveedor del servicio, reduciendo su privacidad y potencialmente facilitando que le llegue información basura.
  • Los mensajes de texto a los teléfonos móviles utilizando SMS son inseguros y pueden ser interceptados. Por tanto, el token puede ser robado y utilizado por terceros.
  • Los mensajes de texto pueden no ser entregados instantáneamente, añadiendo retardos adicionales al proceso de autenticación.
  • La recuperación de cuentas normalmente se salta la autenticación de dos factores.
  • Los teléfonos inteligentes actuales son utilizados para enviar correos electrónicos como recibir SMS. El correo suele estar autenticado permanentemente. Por tanto, si el teléfono se extravía o es robado, todas las cuentas para las que el correo sea la clave pueden ser pirateadas puesto que el teléfono puede recibir el segundo factor. Los teléfonos inteligentes combinan los dos factores en un solo factor.
  • Los teléfonos móviles pueden ser robados, permitiendo potencialmente al ladrón obtener acceso a las cuentas del usuario.

Véase también

Referencias

  1. «U2F - FIDO Universal 2nd Factor authentication | YubiKey». Yubico (en inglés estadounidense). Consultado el 29 de enero de 2021. 
  2. «X.1252 : Términos y definiciones sobre gestión de identidad de referencia». www.itu.int. Consultado el 30 de agosto de 2019. 
  •   Datos: Q7878662

Agosto 20, 2021
autenticación, múltiples, factores, este, artículo, sección, necesita, referencias, aparezcan, publicación, acreditada, este, aviso, puesto, enero, 2018, autenticación, múltiples, factores, método, control, acceso, informático, usuario, concede, acceso, sistem. Este articulo o seccion necesita referencias que aparezcan en una publicacion acreditada Este aviso fue puesto el 5 de enero de 2018 La autenticacion de multiples factores AMF es un metodo de control de acceso informatico en el que a un usuario se le concede acceso al sistema solo despues de que presente dos o mas pruebas diferentes de que es quien dice ser Estas pruebas pueden ser diversas como una contrasena que posea una clave secundaria rotativa o un certificado digital instalado en el equipo entre otros La autenticacion de dos factores A2F tambien usada la sigla inglesa 2FA de two factor authentication es un metodo que confirma que un usuario es quien dice ser combinando dos componentes diferentes de entre 1 algo que saben 2 algo que tienen y 3 algo que son Es el metodo mas extendido en la actualidad para acceder a cuentas de correo como las de iCloud o Gmail pero generalmente se solicita que el usuario active voluntariamente esta capa de proteccion adicional Un ejemplo de la vida cotidiana de este tipo de autenticacion es la retirada de efectivo de un cajero automatico Solo tras combinar una tarjeta de credito algo que el usuario posee y un pin algo que el usuario sabe se permite que la transaccion se lleve a cabo La autenticacion en dos pasos o verificacion en dos pasos es un metodo de confirmar la identidad de un usuario utilizando algo que conocen contrasena y un segundo factor distinto a lo que sean o posean Un ejemplo de un segundo paso es que el usuario tenga que introducir algo que le sea enviado a traves de un medio alternativo o que tenga que introducir una serie de digitos generados por una aplicacion conocida por el usuario y el sistema de autenticacion Indice 1 Factores de autenticacion 1 1 Factores de conocimiento 1 2 Factores fisicos 1 2 1 Tokenes sin conexion 1 2 1 1 Tokenes conectados 1 3 Factores inherentes 1 4 Factores de autenticacion segun la UIT 2 Autenticacion de dos factores mediante telefono movil 3 Vease tambien 4 ReferenciasFactores de autenticacion EditarEl uso de multiples factores de autenticacion para demostrar la identidad propia se basa en la premisa de que un tercero no autorizado probablemente no pueda ser capaz de suministrar los factores requeridos para el acceso Si en un intento de autenticacion al menos uno de los componentes falta o se suministra incorrectamente la identidad del usuario no se valida y no puede acceder a los recursos p ej un edificio o dato Los factores de autenticacion de un patron de autenticacion de multiples factores podria incluir Algun objeto fisico en posesion del usuario como una memoria USB con un identificador unico una tarjeta de credito una llave etc Algun secreto conocido por el usuario como una contrasena un pin etc Alguna caracteristica biometrica propia del usuario como una huella dactilar iris voz velocidad de escritura patron en los intervalos de pulsacion de teclas etc Factores de conocimiento Editar Los factores de conocimiento son la forma mas comun de autenticacion El usuario necesita demostrar que conoce algo secreto para poder autenticarse como por ejemplo una contrasena Muchos sistemas de autenticacion de multiples factores confian en las contrasenas como uno de los factores de autenticacion Estos sistemas pueden precisar que se utilicen contrasenas mas largas de multiples palabras y otros una clave mas corta por ejemplo un pin contrasena alfanumerica Se espera que estas contrasenas sean memorizadas y no compartidas con nadie El caso particular de las preguntas de seguridad como metodo de verificacion es un ejemplo de poca seguridad puesto que suelen referirse a conocimientos mas que probablemente conocidos por el entorno del usuario de dominio publico o que se pueden averiguar facilmente investigando la vida del usuario Factores fisicos Editar Los factores fisicos algo que el usuario debe poseer han estado en uso desde que se tiene conocimiento ya que el ejemplo mas basico es el de la llave de una cerradura El principio basico es que la llave simboliza un secreto que se comparte con la cerradura y el mismo principio subyace en los sistemas de computadoras que utilizan factores fisicos de autenticacion Una cadena de caracteres o token de seguridad es un ejemplo de estos factores Tokenes sin conexion Editar El token SecurID de RSA es un ejemplo de generador de tokenes sin conexion Los tokenes sin conexion son generados sin que el dispositivo tenga conexion a la computadora en la que el usuario se quiere autenticar Normalmente utilizan una pantalla integrada para mostrar la informacion de autenticacion que genera y que luego el usuario debe introducir manualmente en la computadora Tokenes conectados Editar Los tokenes conectados son dispositivos que estan fisicamente conectados a la computadora con la que se van a utilizar y por tanto transmiten informacion automaticamente Existen distintos tipos como por ejemplo lectores de tarjetas etiquetas inalambricas y tokenes en USB El Universal 2nd Factor es un estandar abierto que establece una forma sencilla de operar para este tipo de dispositivos 1 Factores inherentes Editar Son factores que estan asociados al usuario y generalmente son metodos biometricos como los lectores de huellas de retina o reconocimiento de voz Factores de autenticacion segun la UIT Editar Instituciones como la UIT establecen un paradigma de la tipologia de los factores de autenticacion basandolos en los tipos de atributos que puede tener una entidad identidad 2 De esta forma se dividirian en los siguientes bloques que se pueden explicar segun lo que la entidad conoce Este factor incluye cualquier cosa que pueda comprometer el conocimiento Las contrasenas en si entran en esta categoria Por ejemplo aquella pregunta de desafio respuesta para recordar la posible contrasena cuando la hemos olvidado la entidad tiene Algo que tiene fisicamente como por ejemplo un numero de telefono o un token fisico que podria haber recibido de su banco y que muestra una contrasena de un solo uso OTP la entidad es La que tiene que ver con la biometria reconocimiento facial reconocimiento de voz lectura del iris etc es algo que simplemente no se puede separar de su identidad fisica fundamental la entidad hace Son sus matices de comportamiento como se comporta dia a dia con las cosas y las personas con las que interactua es la localizacion de la entidad La tecnologia de seguimiento de direcciones como las IP o la geolocalizacion GPS se utilizan para validar la autenticidad o incluso la posibilidad de un intento de acceso se pida que sea la combinacion de los anteriores Para realizar una autenticacion se utilizan uno o varios de estos atributos de una identidad de forma que se pueda asegurar que la entidad reclamadora sea la identidad que dice ser Autenticacion de dos factores mediante telefono movil EditarLa mayor desventaja de la autenticacion empleando algo que el usuario posea y otro factor cualquiera es que el token fisico utilizado una memoria USB tarjeta bancaria llave o similar debe ser llevado siempre encima Ademas si se lo roban se pierde o si el usuario simplemente no lo tiene consigo el acceso es imposible Tambien tiene costes relacionados con el reemplazo de los objetos perdidos necesarios para la autenticacion Por ultimo existen conflictos y concesiones a realizar para encontrar el equilibrio entre la usabilidad y la seguridad La autenticacion movil de dos factores fue creada para proporcionar un metodo alternativo que evitara los problemas derivados de usar un token fisico Esta aproximacion utiliza dispositivos moviles como telefonos moviles para servir como algo que el usuario posea Si los usuarios se quieren autenticar pueden utilizar su licencia de acceso personal por ejemplo algo que solo el usuario individual sabe mas una contrasena de un solo uso y no reutilizable constituida por varios digitos El codigo puede ser enviado a su dispositivo movil por SMS o a traves de una aplicacion especial La ventaja de este metodo es que no hay ninguna necesidad para tener un token fisico adicional ya que los usuarios tienden a llevar sus moviles encima en todo momento Algunas soluciones profesionales de autenticacion de dos factores tambien se aseguran de que siempre haya una contrasena valida disponible para el usuario Si ya ha utilizado una contrasena valida se borra automaticamente y el sistema envia un nuevo codigo al dispositivo movil Si el nuevo codigo no se utiliza en un periodo de tiempo determinado el sistema lo reemplaza automaticamente Esto asegura que los codigos viejos o utilizados no sean almacenados en el dispositivo Para anadir mas seguridad es posible especificar cuantas veces se puede introducir el codigo erroneamente antes de que el sistema se bloquee La seguridad de los tokenes entregados a dispositivos moviles depende totalmente de la seguridad de la operadora y de los protocolos implicados ya que podria ser rota mediante un pinchazo clonando la SIM o aprovechando las vulnerabilidades de SS7Ventajas No se necesitan tokenes adicionales puesto que utiliza los dispositivos moviles que se portan en todo momento Puesto que se cambian continuamente los codigos generados dinamicamente son mas seguros de utilizar que la informacion de autenticacion fija o estatica Dependiendo de la solucion los codigos que se han utilizados son reemplazados para asegurarse de que siempre hay un codigo valido disponible Por lo tanto los problemas de transmision o recepcion no son un impedimento para la autenticacion del usuario La opcion de especificar un numero maximo de intentos fallidos reduce el riesgo de que haya ataques de personas no autorizadas Facil de configurar y de facil uso Desventajas El telefono movil debe ser portado por el usuario estar cargado y cerca de una senal de red telefonica en el momento en que se pueda necesitar autenticarse Si el telefono no puede mostrar mensajes el acceso suele ser imposible sin algun plan de contingencia El usuario debe compartir su numero movil personal con el proveedor del servicio reduciendo su privacidad y potencialmente facilitando que le llegue informacion basura Los mensajes de texto a los telefonos moviles utilizando SMS son inseguros y pueden ser interceptados Por tanto el token puede ser robado y utilizado por terceros Los mensajes de texto pueden no ser entregados instantaneamente anadiendo retardos adicionales al proceso de autenticacion La recuperacion de cuentas normalmente se salta la autenticacion de dos factores Los telefonos inteligentes actuales son utilizados para enviar correos electronicos como recibir SMS El correo suele estar autenticado permanentemente Por tanto si el telefono se extravia o es robado todas las cuentas para las que el correo sea la clave pueden ser pirateadas puesto que el telefono puede recibir el segundo factor Los telefonos inteligentes combinan los dos factores en un solo factor Los telefonos moviles pueden ser robados permitiendo potencialmente al ladron obtener acceso a las cuentas del usuario Vease tambien EditarAdministracion de identidadesReferencias Editar U2F FIDO Universal 2nd Factor authentication YubiKey Yubico en ingles estadounidense Consultado el 29 de enero de 2021 X 1252 Terminos y definiciones sobre gestion de identidad de referencia www itu int Consultado el 30 de agosto de 2019 Datos Q7878662Obtenido de https es wikipedia org w index php title Autenticacion de multiples factores amp oldid 133250564, wikipedia, wiki, leyendo, leer, libro, biblioteca,

español

, española, descargar, gratis, descargar gratis, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, imagen, música, canción, película, libro, juego, juegos