Privacidad &Cookies
Este sitio utiliza cookies. Al continuar, aceptas su uso. Más información, incluyendo cómo controlar las cookies.
Publicidad
Me he vuelto a encontrar con esto. Otra organización que piensa que dos identificadores de usuario y contraseñas constituyen la autenticación de dos factores y cumplen con el requisito 8.3 de PCI DSS. Con toda la documentación disponible en Internet, uno pensaría que este tema estaría cubierto en frío. Sin embargo, parece que todavía hay confusión con respecto a lo que constituye la autenticación de uno, dos y tres factores, así que pensé que iba a tomar este tiempo para explicar estos conceptos.
Hablemos de las definiciones de los tres factores de autenticación.
- Autenticación de un factor – esto es «algo que un usuario sabe». El tipo más reconocido de método de autenticación de un factor es la contraseña.
- Autenticación de dos factores – además del primer factor, el segundo factor es «algo que un usuario tiene». Ejemplos de algo que un usuario tiene son un fob que genera un código predeterminado, un certificado digital firmado o incluso un biométrico como una huella digital. La forma más reconocida de autenticación de dos factores es el omnipresente fob de RSA SecurID.
- Autenticación de tres factores: además de los dos factores anteriores, el tercer factor es «algo que un usuario es». Ejemplos de un tercer factor son todos los biométricos como la voz del usuario, la configuración de la mano, una huella digital, un escáner de retina o similares. La forma más reconocida de autenticación de tres factores suele ser el escaneo de retina.
Lo importante a notar sobre las definiciones mencionadas es que en ningún lugar mencionan el uso de dos contraseñas o frases de paso, dos huellas digitales o dos escaneos de retina. El uso de dos de los mismos factores se considera autenticación multifactor y no está relacionado con ninguna de las definiciones mencionadas. Por lo tanto, los que utilizan dos identificadores de usuario y contraseñas diferentes no están utilizando la autenticación de dos factores, sino la autenticación multifactor. La PCI DSS es muy específica en el requisito 8.3 y requiere una autenticación de dos factores o mejor. Así que el multifactor no es aceptable.
Otra cosa a mencionar es que los puristas de la seguridad argumentarán que el uso de un biométrico para un segundo factor viola las reglas del tercer factor. Sin embargo, otros profesionales de la seguridad dicen que algo que un usuario tiene o es puede ser algo como un token o un biométrico. Su lógica es que un usuario tiene una huella dactilar o una retina, por lo que se califica como cualquiera de los dos factores. La clave es que sólo se utilice una vez una biometría concreta. Así que si usas una huella dactilar para tu segundo factor, no puedes usar una huella dactilar para el tercer factor.
Por último, aunque es obvio, mucha gente pasa por alto este punto. Un factor es menos seguro que dos factores, que son menos seguros que la autenticación de tres factores. Sin embargo, si los usuarios construyen adecuadamente sus contraseñas o frases de paso y se aplican otras restricciones de inicio de sesión, la autenticación de un factor puede ser bastante eficaz contra las violaciones de seguridad, posiblemente en el rango del 90%. La autenticación de dos factores suele elevar la eficacia hasta probablemente un 97 o 98%. Y la autenticación de tres factores probablemente lleva las cosas a un nivel de eficacia de seis sigmas. Hay que tener en cuenta que incluso con la autenticación de tres factores sólo se llega al 99,9999% de efectividad. Como he señalado en repetidas ocasiones, la seguridad no es perfecta.
Mucha gente no se da cuenta del hecho de que utiliza la autenticación de dos factores regularmente. Para utilizar un cajero automático se necesita una tarjeta (algo que se tiene) y un número de identificación personal o PIN de cuatro dígitos (algo que se conoce). Otro ejemplo que es común en estos días es que para entrar en instalaciones seguras, se requiere que un usuario autorizado utilice su tarjeta de acceso HID e introduzca un PIN en un teclado antes de que se abra una puerta. Algo a tener en cuenta es que no importa el orden en que se utilicen los factores. En el caso de los ejemplos del cajero automático y de la entrada, primero se pasa la tarjeta (algo que se tiene) y luego se introduce el PIN (algo que se sabe).
Sólo porque el segundo factor es algo que el usuario tiene, no significa que el usuario deba saber que lo tiene. Un ejemplo claro es el caso de un certificado digital. Muchas organizaciones emiten un certificado digital con su software VPN para proporcionar una autenticación de dos factores. La mayoría de los usuarios no saben que necesitan un certificado digital para que la VPN funcione. El certificado digital suele estar vinculado al usuario o al ordenador y se instala como parte de la instalación del software VPN. La única manera de que un usuario se dé cuenta del certificado digital es si éste se corrompe o se desactualiza, lo que da lugar a un error cuando intenta conectarse a la VPN. (NOTA: En el Suplemento de Información de Autenticación Multi-Factor del Consejo de 2017, el uso de certificados digitales como se discute aquí fue desautorizado para cumplir con la autenticación de dos factores compatible con PCI.)
Otro punto importante es que en los casos en que todo lo que se utiliza es la tarjeta de acceso HID, se está utilizando la autenticación de un factor. Las definiciones de los factores se establecieron para facilitar el aprendizaje y la memoria. Sin embargo, el uso de cualquiera de los factores por sí solo es un factor de autenticación. El uso de cada tipo de factor junto con otro, da como resultado la autenticación de dos y tres factores. Como tal, se pueden utilizar diferentes combinaciones de todos los factores para disminuir la probabilidad de un compromiso. Por ejemplo, en muchas películas de espías, hay una sala ultrasegura en la que para entrar se necesita, por ejemplo, una tarjeta de identificación, un PIN, un escáner de retina y decir la frase de contraseña. Este no es un ejemplo de autenticación de cuatro factores; se trata de una autenticación de tres factores con el uso de dos factores biométricos (es decir, multifactor).
Por último, hay un riesgo en el uso de factores biométricos del que a la mayoría de la gente no le gusta hablar, pero que es importante considerar. La gente sufre accidentes todo el tiempo. Los dedos se cortan o incluso se quitan. Las manos se rompen o se mutilan. Los ojos se dañan. La gente pierde la voz. Como resultado, si usted está buscando para utilizar la biometría para la autenticación, asegúrese de planificar para este tipo de incidentes.
Es de esperar que ahora entiende los diversos factores de autenticación y entender cómo se utilizan.