Treo Blog

  • Jonathan Rodriguez Paipa

El factor multifactor (o cómo administrar el riesgo de autenticación)

Por Wendy Nather



Crédito: Pexels

A medida que debatimos la necesidad de varios factores de autenticación, particularmente para proyectos sin contraseña, es bueno dar un paso atrás y recordar cómo llegamos aquí. Hay tres tipos clave de autenticación:


Los 3 tipos clave de autenticación


1. "Algo que sabes", también conocido como un "secretocompartido". Esto solía ser algo que memorizaste, pero resulta que el almacenamiento orgánico falible no es tan bueno para almacenar cadenas de caracteres complejos que ahora número en los cientos (estás usando contraseñas únicas para cada cuenta, ¿verdad? ¿Verdad?).


2. "Algo que tienes", lo que significa algo que no puede ser poseído por más de una entidad a la vez. Esto podría ser algo que es demasiado difícil de copiar o generar de forma independiente, que está vinculado al almacenamiento y no se puede quitar, o que existe como un elemento físico único (como un token duro o una clave).


3. "Algo que eres", refiriéndose a un atributo que es físicamente único para un individuo, como una huella digital, una huella dactilar, un patrón de retina, una marcha, un patrón de escritura o incluso un latido del corazón.


Cada uno de estos factores viene con una desventaja:


"Algo que sabes" - "Algo que olvidaste" o "Algo que alguien te golpeó".


Un secreto compartido que se adivina o deriva ... ya no es un secreto. Peor aún, puede ser robado silenciosamente sin que nadie se dé cuenta. Pero también es el factor más barato, en el sentido de que se puede crear, cambiar, ampliar, distribuir y utilizar sin tener que comprar ninguna tecnología adicional.


Si necesitas identificar a alguien de manera más definitiva, pídele información que no es probable que olvide, como el nombre de la calle en la que crecieron. Pero cualquiera de esa información histórica está cada vez más disponible en Internet, o puede ser engañado fuera del usuario a través de phishing o redes sociales "quizzes."


Otra desventaja de "algo que sabes" es que puede parecer barato en términos de tecnología, pero en términos de costo de soporte (tiempo de ayuda cuando alguien olvida un nombre de usuario o contraseña, o no puede iniciar sesión por otra razón) puede ser más caro que un factor mejor diseñado que es más difícil de equivocarse.


Esta es la razón por la que estamos trabajando en el viaje hacia un futuro sin contraseña.


"Algo que tienes" - "Algo que perdiste" o "Algo que rompiste".


Una de las mayores amenazas hoy en día es el robo de SIM, en el que un atacante logra robar un número de teléfono móvil asignado para que puedan recibir códigos de autenticación de SMS. Esto es nefasto porque, una vez más, puede ser robado en silencio; la víctima todavía tiene el teléfono físico, pero puede no darse cuenta de que el número ha sido asignado a otra persona hasta que sea demasiado tarde.


Los tokens duros que generan códigos pueden agotar sus baterías en unos años; también son difíciles de transportar si tienes varios de ellos para diferentes cuentas. En términos generales, si un usuario pierde el "algo que tienes", el respaldo es "algo que sabes", que acabamos de discutir anteriormente.


"Algo que eres" - "Algo que envejeció"


Al menos en mi caso; Análisis de la marcha para mí perdería su línea de base cada vez que tuviera un brote de artritis. El otro problema con la biometría es que no puedes cambiar tus patrones de retina o huellas dactilares si los registros de ellos son robados.


Covid ha revelado algunos problemas con la biometría. Por ejemplo: Si llevas una máscara, FaceID no funciona; los lectores de huellas dactilares compartidos no son sanitarios en estos días. Pero la biometría es extremadamente conveniente como un factor porque no se puede olvidar, no se puede dejar atrás en el taxi, y las posibilidades son buenas que nadie puede robar los originales sin que te des cuenta (gafas de agua en películas de espías a un lado).


Pero, ¿qué riesgos están tratando de abordar estos factores de autenticación? Vamos a enumerar algunos.


Riesgos de autenticación


  1. Alguien está intentando iniciar sesión en la máquina del usuario con el nombre de usuario y la contraseña del usuario real.

  2. El usuario real se alejó de su máquina desbloqueada y ahora un atacante está tratando de usarlo.

  3. Alguien está conectado remotamente a la máquina del usuario y está tratando de pretender ser el usuario sentado en esa máquina.

  4. Alguien está tratando de iniciar sesión con el nombre de usuario y la contraseña del usuario real desde un sistema diferente (como una máquina comprometida en una red de bots).

  5. El usuario real está tratando de iniciar sesión, pero la máquina está comprometida y podría ser utilizado para robar el nombre de usuario y la contraseña, o plantar malware.

  6. El usuario real está intentando iniciar sesión desde una ubicación, pero otra persona también está intentando iniciar sesión como ese usuario desde una ubicación diferente.

  7. Alguien ha obtenido acceso al nombre de usuario, contraseña y segundo factor del usuario real (como un token duro o un número de teléfono para recibir mensajes de texto SMS), y está intentando iniciar sesión desde un dispositivo diferente.

  8. Alguien está escuchando en la secuencia de red e intentando secuestrar la sesión del usuario en curso.

Cuando modelamos amenazas, se nos ocurre este tipo de ataques y más. Los CIO a menudo corren a través de una lista completa de posibles ataques en su cabeza cada vez que están mirando una nueva propuesta. A continuación, tienen que elegir los controles que abordan tantos de los riesgos como sea posible. Por ejemplo:


Controles a los riesgos de autenticación


Un factor 2FA que está físicamente separado del portátil de un usuario protegería contra 1), 2), 3), 4) y 6 enumerados en la sección anterior), suponiendo que el usuario tiene ese factor con ellos y no lo deja cerca del portátil.


Un tiempo de espera de sesión, que requiere la reautenticación, se utiliza a menudo para proteger contra 2), 3) y en cierta medida 8).


Marcar un portátil como de confianza, enlazado específicamente al usuario, se utiliza para evitar 4), 6) y 7).


Asegurarse de que la conexión de red está cifrada entre el usuario y la aplicación protege contra 8).


El uso de un uso biométrico para la autenticación está destinado a proteger contra 1), 2), 3), 4), 6 y 7), pero eso supone que el usuario no está bajo coacción (siendo forzado por un atacante a suministrarlo).


Comprobar el estado de seguridad del dispositivo del usuario y cualquier evidencia de compromiso está destinada a proteger contra 2), 3) y 5).


El uso de un segundo factor como una clave U2F, que requiere una respuesta física del usuario para activar, también protege contra 3) y 5) - demuestra que el usuario está realmente presente y tiene la intención de autenticarse.



Establecer controles de políticas como barandillas


Para agregar controles de directiva de conjunto de protección, utilizando otros factores, como barandillas. Factores como la ubicación (ya sea por GPS o dirección IP) pueden ayudar a reducir los vectores de ataque si, por ejemplo, nunca espera que un usuario intente autenticarse desde cualquier lugar que no sea una determinada red o región geográfica. Pero sabemos que las direcciones IP no son infalibles, todo lo que tienes que hacer es obtener acceso a un sistema en la red "correcta". Por lo tanto, estos no pueden ser los únicos factores de autenticación en los que confiar. Piense en estos más como una función de estrechamiento: está bloqueando más ataques desde el principio, dejando menos para tamizar y validar.


Conclusión


Como puede ver, hay capas sobre capas de defensa que puede construir para tratar de abordar los escenarios de riesgo más comunes. Pero también hay que tener en cuenta las desventajas de cada factor al diseñar la solución.


Si tienes una lista de 30 personas que cambia sin fin usando el mismo sistema de punto de venta, no puedes registrar una aplicación biométrica o telefónica para cada una de ellas, hacer que cada una de ellas inicie y salga de cuentas si se apresuran a servir a una línea de clientes, o hacer que todos compartan un token duro. La empresa moderna termina con una cartera de factores, desplegadas donde funcionan mejor y donde abordan los riesgos adecuados.


Hemos aprendido mucho este año sobre las suposiciones que hicimos al elegir los factores de autenticación originales para una organización, factores que dejaron de funcionar tan bien cuando nos separamos físicamente de otras personas. A medida que hacemos planes para el futuro estado de autenticación, ayuda a volver a los primeros principios y actualizar las listas anteriores para un resultado flexible.


Fuente:https://duo.com/blog/the-multi-factor-factor-or-how-to-manage-authentication-risk

8 vistas
D&S colores.png

Un Servidor en Quien Confiar

Servicio al cliente:

contactodirecto@datayservice.com

PBX + 57 6 8812277

Calle 54 # 26-60

ZIP 170004

Manizales, Colombia

Peticiones quejas y reclamos:

pqr.datayservice@datayservice.com

 

 © Data&Service, todos los derechos reservados.