AUTENTIFICACION DE DOBLE FACTOR. Two Factor Auth (2FA)
Muchos servicios, negocios y Wallet de criptomonedas online
ofrecen doble autenticación como medida de seguridad extra,
para proteger las cuentas de sus usuarios.
Dos mejor que uno: doble factor para acceder a servicios críticos
Desde finales del siglo pasado, cuando en las empresas se empezaron a utilizar ordenadores personales y software de oficina para automatizar algunas tareas, estamos familiarizados con el uso de la pareja: usuario/contraseña.
Al principio parecía algo innecesario, e incluso incómodo, pues
¿quién iba a acceder a nuestros ordenadores si estaban aislados
y dentro de nuestras oficinas?
Hoy en día este entorno ha cambiado:
conexión a Internet, comercio electrónico, dispositivos móviles,
servicios en la nube, redes inalámbricas, etc.
Parece que ya nadie duda de la necesidad de controlar los accesos a los sistemas y aplicaciones.
La pareja usuario/contraseña sigue siendo la forma más extendida:
-
el usuario nos identifica, es decir, le dice al sistema o aplicación quienes somos;
-
la contraseña nos autentica, es decir, es un método para comprobar que realmente somos quienes decimos ser.
Además de autenticarnos con una contraseña o con PIN, es decir con «algo que sé»,
también podemos hacerlo con «algo que tengo»
(un token USB o una tarjeta de coordenadas)
o con «algo que soy»
(la huella, el iris, la voz o el rostro)
o bien con varios de estos elementos o factores.
Algunos bancos llevan haciendo esto desde hace tiempo.
Es lo que se llama autenticación de doble (o triple) factor. No hay que confundirlo con la autenticación en dos pasos en la que se utilizan dos factores del tipo «algo que sé» por ejemplo contraseña y un código que nos envían por SMS o email.
¿Doble factor o autenticación en dos pasos?: cómo distinguirlas
En TwoFactorAuth.org puedes comprobar los servicios de todo tipo que utilizan doble factor —y también autenticación en dos pasos— y qué mecanismo utilizan.
Métodos de autenticación de doble factor
En la autenticación de doble factor, el primer factor suele ser la contraseña y el segundo un código aleatorio generado por un token, un dispositivo externo, o por una app en el móvil o en el ordenador que en ambos casos posee el usuario.
Hace unos años RSA fabricó un token de autenticación que se llamaba SecureID que por su precio sólo utilizaban algunas empresas grandes. Después algunas empresas de seguridad se unieron para crear un consorcio y elaborar un estándar abierto que llamaron OATH. Este estándar es el utilizado por tokens basados en hardware o en software.
Los tokens basados en hardware son como un llavero o una tarjeta con un display.
Generan una clave para cada ocasión.
Para ello realizan una operación criptográfica cuando ocurre un evento
(pulsar un botón o conectar el dispositivo)
utilizando el instante de tiempo y un protocolo estándar para generar una clave de un solo uso OTP (One-Time Password).
También hay tokens basados en software que generan
contraseñas de un solo uso OTP
como los que utilizan
una app en el móvil o una aplicación en el ordenador de sobremesa.
Algunos de estos son:
-
Google Authenticator (Android, iPhone y BlackBerry),
-
Amazon AWS MFA (Android)
-
Microsoft (Windows Phone 7)
-
Duo Mobile (Android e iPhone)
-
Facebook (Android, iPhone, iPad y navegadores de móviles)
-
Authy (móviles y sobremesa)
Más recientemente la alianza FIDO (Fast Identity Online) ha especificado un protocolo estándar U2F (Universal Second Factor) abierto, escalable y interoperable para que los servicios online (web o aplicaciones cloud) puedan incorporar un segundo factor, utilizando criptografía de clave pública, vía un token, un dispositivo confiable o llave de seguridad de autenticación física que se conecta vía USB o NFC.
El token guarda la clave privada y la clave pública se comparte con el servicio online.
Actualmente a través del navegador Chrome es posible utilizar estas llaves con distintos tipos de servicios cloud, productos de ciberseguridad y cuentas de Google, Salesforce y Dropbox.
