Doble factor de autenticación
Se denomina doble factor de autenticación, a la utilización de dos medios distintos -usualmente un dispositivo de seguridad físico y algo memorizado como una contraseña-para identificar al usuario.
Cuando se habla de “doble factor de autenticación”, se hace referencia a “algo que se conoce” y “algo que se tiene”. Un ejemplo común y al que muchos están acostumbrados son las tarjetas de débito, para poder retirar dinero del cajero automático el usuario necesita dos cosas: la tarjeta del banco y su PIN (algo que tiene y algo que sabe).
¿Qué son los factores de autenticación?
Un factor de autenticación es una categoría independiente de credenciales utilizada para verificar la identidad de un usuario. Las tres categorías másutilizadas son:
Factor de conocimiento
Algo que el usuario sabe, usualmente una contraseña, un PIN, etc.
Factor de posesión:
Algo que el usuario tiene, normalmente un token de seguridad, un smartphone, etc.
Factor de inherencia:
Algo que el usuario es, información biométrica como huellas dactilares, imagen de retina o de iris, etc.
Aunque el par “usuario + contraseña” son dos items, ambos pertenecen al mismo Ffactor (conocimiento) por lo que se clasifica como “un factor de autenticación”. Uno de los inconvenientes con el par “usuario/contraseña” es que requiere conocimiento y conducta para crear y recordar contraseñas robustas. También existen diferentes amenazas y riesgos que apuntan a sistemas de autenticación y usuarios que utilizan un solo factor de autenticación, como fuerza bruta, ingeniería social, etc.
Es por esto que muchos sitios ofrecen utilizar un segundo factor, generalmente usando un “código” que es generado por un dispositivo en poder del usuario. Los dos tipos de dispositivos más comunes son:
Dispositivo activos (que deben ser conectados al sistema para generar el “código”).
Dispositivo pasivos (que no requieren ser conectados basados en OTP, tiempo o secuencia).
Con los primeros es necesario que el dispositivo esté “conectado”, de manera que el sitio/servidor en el que el usuario se quiere autenticar pueda contactar al dispositivo activo que está utilizando , por ejemplo una tarjeta bancaria con chip para utilizar en un cajero automático.
La segunda familia son aquellos que pueden ser utilizados sin que estos se comuniquen con el sitio al cual el usuario se quiere conectar. Por ejemplo servicios como Google Authenticator, tokens RSA y otros, se basan en el tiempo actual; otros funcionan con base en contraseñas descartables (OTP) usualmente implementados enviándole un mensaje SMS, una llamada telefónica automatizada al usuario para indicarle una contraseña que solo puede ser utilizada esa única vez, otro ejemplo son llaves digitales de los sistemas de banca online.
Hoy existen múltiples servicios que soportan Doble Factor de Autenticación , dentro de los cuales se encuentran servicios de correo electrónico (Gmail, Outlook, etc.), redes sociales (Facebook, Google+, Twitter, etc.), incluso existe un sitio web que se dedica a recolectar que servicios cuentan con doble factor de autenticación en Internet: https://twofactorauth.org/
Utilizar un segundo factor de autenticación reduce notoriamente los incidentes de fraudes cibernéticos (suplantación de identidad en servicios online) como el phishing, dado que por más que el usuario revele su contraseña, el atacante debería, además, tener control sobre el segundo factor para poder acceder a la cuenta.
Aunque utilizar doble factor de autenticación no brinda garantías absolutas, sí genera un incremento significativo en la seguridad con un esfuerzo relativamente bajo. Por lo que es recomendable utilizarlos cuando se encuentren disponibles.