El propósito principal de usar software de autenticación multifactor (MFA) es aumentar la seguridad cuando los usuarios inician sesión en cuentas. Las empresas utilizan este software para garantizar que solo los usuarios autorizados, como empleados, contratistas o clientes, tengan acceso seguro a cuentas específicas de la empresa. Esto ayuda a prevenir tanto amenazas internas, como empleados no autorizados que acceden a datos sensibles, como amenazas externas, como los ciberdelincuentes que despliegan ataques de phishing para violaciones de datos, de acceder a cuentas restringidas.
MFA requiere que los usuarios completen pasos de autenticación adicionales para probar su identidad antes de que se les conceda acceso a aplicaciones, sistemas o información sensible. El software ayuda a asegurar las cuentas proporcionando seguridad adicional mediante un enfoque de autenticación en capas y de múltiples pasos. Generalmente, el primer paso para autenticar la identidad de un usuario incluye un proceso de inicio de sesión estándar con nombre de usuario y contraseña. Después de este intento de inicio de sesión inicial, el segundo paso podría requerir que los usuarios ingresen un código proporcionado por una aplicación de software en un dispositivo móvil, un token de hardware como un llavero, o un código enviado a un usuario a través de mensaje de texto (SMS), correo electrónico o llamada telefónica. Otros pasos de autenticación podrían incluir presentar un dato biométrico como una huella digital o un reconocimiento facial, o presentar otras señales de identificación como la dirección IP típica del usuario, su ID de dispositivo, o mediante factores de comportamiento verificados por herramientas de autenticación basada en riesgos (RBA).
¿Qué significa MFA?
MFA significa autenticación multifactor. Requiere dos o más factores de autenticación diferentes. Este software también puede ser referido como autenticación de dos factores (2FA) o verificación en dos pasos cuando se emplean exactamente dos factores de autenticación diferentes.
¿Cuáles son los factores de autenticación?
El software MFA requiere que los usuarios se autentiquen con algunos o todos los siguientes cinco factores:
Autenticación de un solo factor: La autenticación de un solo factor requiere que los usuarios se autentiquen con algo que saben. La autenticación de un solo factor más común es la basada en contraseñas. Esto se considera inseguro porque muchas personas usan contraseñas débiles o contraseñas que son fácilmente comprometidas.
Autenticación de dos factores: La autenticación de dos factores requiere que los usuarios se autentiquen con algo que tienen. Requiere que los usuarios proporcionen la información que tienen, generalmente, un código proporcionado por una aplicación de autenticación en sus dispositivos móviles, SMS o mensaje de texto, token de software (token blando), o token de hardware (token duro). El código proporcionado puede ser una contraseña de un solo uso basada en HMAC (HOTP) que no expira hasta que se use, o una contraseña de un solo uso basada en tiempo (TOTP) que expira en 30 segundos.
Autenticación de tres factores: La autenticación de tres factores requiere que los usuarios se autentiquen con lo que son. Tiene en cuenta algo único para el usuario, como factores biométricos. Pueden incluir escaneos de huellas digitales, geometría de los dedos, escaneos de la palma de la mano o geometría de la mano, y reconocimiento facial. El uso de biometría para la autenticación se está volviendo cada vez más común a medida que los inicios de sesión biométricos en dispositivos móviles, incluido el software de reconocimiento facial y las capacidades de escaneo de huellas digitales, han ganado popularidad entre los consumidores. Otros métodos de autenticación biométrica, como el reconocimiento de la forma de la oreja, las huellas de voz, los escaneos de retina, los escaneos de iris, el ADN, la identidad del olor, los patrones de marcha, los patrones de venas, el análisis de escritura a mano y firma, y el reconocimiento de escritura, aún no se han comercializado ampliamente para propósitos de MFA.
Autenticación de cuatro factores: La autenticación de cuatro factores requiere que los usuarios se autentiquen con dónde están y cuándo. Considera la ubicación geográfica de un usuario y el tiempo que les llevó llegar allí. Por lo general, estos métodos de autenticación no requieren que un usuario autentique activamente esta información, en su lugar, esto se ejecuta en segundo plano al determinar el riesgo de autenticación de un usuario específico. La autenticación de cuatro factores verifica la geolocalización de un usuario, que apunta a dónde se encuentran actualmente y su geo-velocidad, que es la cantidad razonable de tiempo que le toma a una persona viajar a una ubicación dada. Por ejemplo, si un usuario se autentica con un proveedor de software MFA en Chicago y 10 minutos después intenta autenticarse desde Moscú, hay un problema de seguridad.
Autenticación de cinco factores: La autenticación de cinco factores requiere que los usuarios se autentiquen con algo que hacen. Se relaciona con gestos específicos o patrones de toque que los usuarios generan. Por ejemplo, usando una pantalla táctil habilitada con un sistema operativo relativamente nuevo, que admite la función, los usuarios pueden crear una contraseña de imagen donde dibujan círculos, líneas rectas, o tocan una imagen para crear una contraseña de gesto única.
¿Qué tipos de software de autenticación multifactor (MFA) existen?
Existen varios tipos de software MFA. Además de la funcionalidad estándar de MFA, muchas empresas se están moviendo hacia el software RBA, también conocido como MFA inteligente, que utiliza monitoreo de riesgos para determinar cuándo solicitar a los usuarios autenticación. Los diferentes tipos de métodos de autenticación pueden incluir:
Aplicaciones móviles: Una forma común en que los usuarios prefieren autenticarse es usando la aplicación móvil del software MFA.
Token de software: Los tokens de software permiten a los usuarios usar aplicaciones móviles MFA, incluidos dispositivos portátiles. Usar tokens de software se considera más seguro que usar OTP a través de SMS, ya que estos mensajes pueden ser interceptados por hackers. Los tokens de software pueden usarse cuando están desconectados, lo que lo hace conveniente para los usuarios finales que pueden no tener acceso a Internet.
Notificaciones push: Las notificaciones push hacen que la autenticación sea simple para los usuarios finales. Se envía una notificación al dispositivo móvil de un usuario pidiéndole que apruebe o niegue la solicitud de autenticación. La conveniencia es crucial para la adopción de herramientas MFA por parte de los usuarios.
Token de hardware: Los tokens de hardware son piezas de hardware que los usuarios llevan consigo para autenticar su identidad. Ejemplos incluyen llaveros OTP, dispositivos USB y tarjetas inteligentes. Los problemas comunes con los tokens de hardware incluyen el costo del hardware más el costo adicional de los reemplazos cuando los usuarios los pierden.
Contraseñas de un solo uso (OTP) a través de SMS, voz o correo electrónico: Los usuarios que no pueden usar aplicaciones móviles en sus teléfonos pueden optar por usar OTP enviados a sus dispositivos móviles a través de mensajes de texto SMS, llamadas de voz o correo electrónico. Sin embargo, recibir códigos de autenticación a través de SMS se considera una de las formas menos seguras de autenticar a los usuarios.
Software de autenticación basada en riesgos (RBA): RBA, también conocido como MFA inteligente o adaptativo, utiliza información en tiempo real sobre los usuarios finales para evaluar su riesgo y solicitarles autenticación cuando sea necesario. El software RBA analiza direcciones IP, dispositivos, comportamientos e identidades para establecer métodos de autenticación personalizados para cada usuario distinto que intenta acceder a la red.
Autenticación sin contraseña: La autenticación sin contraseña, también conocida como autenticación invisible, se basa en factores RBA como la ubicación, la dirección IP y otros comportamientos del usuario. Las notificaciones push se consideran autenticación sin contraseña, ya que no se requiere que un usuario ingrese un código, sino que simplemente se le pide que acepte o rechace una solicitud de autenticación.
Biometría: Los factores de autenticación biométrica, como el reconocimiento facial y de huellas digitales, están ganando popularidad entre los consumidores, y por lo tanto, los proveedores de software MFA están comenzando a admitirlos. Actualmente, otros factores biométricos, como el escaneo de iris, no están disponibles en las herramientas MFA. Un problema con el uso de biometría para la autenticación es que una vez que se comprometen, están comprometidos para siempre.
MFA como servicio: Vinculándose con los directorios basados en la nube de una empresa, algunos proveedores de MFA ofrecen una solución de MFA como servicio basada en la nube. Estos a menudo admiten múltiples métodos de autenticación, incluidas notificaciones push, tokens de software, tokens de hardware, autenticación en línea y fuera de línea, y biometría.
MFA en las instalaciones: Las soluciones MFA en las instalaciones se ejecutan en el servidor de una empresa. Muchos proveedores de software están eliminando gradualmente este tipo de soluciones MFA y empujando a los clientes hacia soluciones basadas en la nube.
MFA disponible sin conexión: Los usuarios que necesitan autenticarse, pero no tienen acceso a Internet, pueden usar soluciones MFA con soporte sin conexión. Por ejemplo, muchos empleados federales trabajan en entornos controlados y seguros y podrían no tener acceso a Internet. Los empleados civiles del gobierno federal podrían usar tarjetas de verificación de identidad personal (PIV) para autenticarse, mientras que los empleados del Departamento de Defensa se autentican usando una tarjeta de acceso común (CAC). Para los civiles en general, pueden autenticarse sin conexión usando una aplicación móvil con acceso sin conexión a OTP o una que use una llave de seguridad U2F basada en hardware.
Soluciones empresariales: Las empresas que gestionan implementaciones de MFA para muchos usuarios necesitan soluciones robustas y optarán por software con consolas de administrador, visibilidad de puntos finales y conexión con software de inicio de sesión único (SSO).
