Treo Blog

En este espacio puedes explorar las últimas tendencias y noticias en tecnología, seguridad informática e infraestructura TI.

  • Jonathan Rodriguez Paipa

El factor multifactor (o cómo administrar el riesgo de autenticación)

Por Wendy Nather



Crédito: Pexels

A medida que debatimos la necesidad de varios factores de autenticación, particularmente para proyectos sin contraseña, es bueno dar un paso atrás y recordar cómo llegamos aquí. Hay tres tipos clave de autenticación:


Los 3 tipos clave de autenticación


1. "Algo que sabes", también conocido como un "secretocompartido". Esto solía ser algo que memorizaste, pero resulta que el almacenamiento orgánico falible no es tan bueno para almacenar cadenas de caracteres complejos que ahora número en los cientos (estás usando contraseñas únicas para cada cuenta, ¿verdad? ¿Verdad?).


2. "Algo que tienes", lo que significa algo que no puede ser poseído por más de una entidad a la vez. Esto podría ser algo que es demasiado difícil de copiar o generar de forma independiente, que está vinculado al almacenamiento y no se puede quitar, o que existe como un elemento físico único (como un token duro o una clave).


3. "Algo que eres", refiriéndose a un atributo que es físicamente único para un individuo, como una huella digital, una huella dactilar, un patrón de retina, una marcha, un patrón de escritura o incluso un latido del corazón.


Cada uno de estos factores viene con una desventaja:


"Algo que sabes" - "Algo que olvidaste" o "Algo que alguien te golpeó".


Un secreto compartido que se adivina o deriva ... ya no es un secreto. Peor aún, puede ser robado silenciosamente sin que nadie se dé cuenta. Pero también es el factor más barato, en el sentido de que se puede crear, cambiar, ampliar, distribuir y utilizar sin tener que comprar ninguna tecnología adicional.


Si necesitas identificar a alguien de manera más definitiva, pídele información que no es probable que olvide, como el nombre de la calle en la que crecieron. Pero cualquiera de esa información histórica está cada vez más disponible en Internet, o puede ser engañado fuera del usuario a través de phishing o redes sociales "quizzes."


Otra desventaja de "algo que sabes" es que puede parecer barato en términos de tecnología, pero en términos de costo de soporte (tiempo de ayuda cuando alguien olvida un nombre de usuario o contraseña, o no puede iniciar sesión por otra razón) puede ser más caro que un factor mejor diseñado que es más difícil de equivocarse.


Esta es la razón por la que estamos trabajando en el viaje hacia un futuro sin contraseña.


"Algo que tienes" - "Algo que perdiste" o "Algo que rompiste".


Una de las mayores amenazas hoy en día es el robo de SIM, en el que un atacante logra robar un número de teléfono móvil asignado para que puedan recibir códigos de autenticación de SMS. Esto es nefasto porque, una vez más, puede ser robado en silencio; la víctima todavía tiene el teléfono físico, pero puede no darse cuenta de que el número ha sido asignado a otra persona hasta que sea demasiado tarde.


Los tokens duros que generan códigos pueden agotar sus baterías en unos años; también son difíciles de transportar si tienes varios de ellos para diferentes cuentas. En términos generales, si un usuario pierde el "algo que tienes", el respaldo es "algo que sabes", que acabamos de discutir anteriormente.


"Algo que eres" - "Algo que envejeció"


Al menos en mi caso; Análisis de la marcha para mí perdería su línea de base cada vez que tuviera un brote de artritis. El otro problema con la biometría es que no puedes cambiar tus patrones de retina o huellas dactilares si los registros de ellos son robados.


Covid ha revelado algunos problemas con la biometría. Por ejemplo: Si llevas una máscara, FaceID no funciona; los lectores de huellas dactilares compartidos no son sanitarios en estos días. Pero la biometría es extremadamente conveniente como un factor porque no se puede olvidar, no se puede dejar atrás en el taxi, y las posibilidades son buenas que nadie puede robar los originales sin que te des cuenta (gafas de agua en películas de espías a un lado).