Una introducción a la autenticación multifactor y los tipos de MFA

La autenticación multifactor (MFA) es un método de verificación de inicio de sesión en el que se requieren al menos 2 factores de prueba diferentes. MFA ayuda a proteger sus activos de datos al agregar una capa adicional de seguridad en un proceso llamado endurecimiento. El uso de 2 o 3 tipos de factores en el proceso de protección de activos se denomina autenticación multifactor. MFA puede evitar que un atacante acceda a un perfil de usuario y se haga pasar por un usuario, ya que debe recopilar muchos tipos diferentes de datos de usuario para obtener acceso. Esto sería más difícil de hacer que si solo se usara una contraseña.

Hay varios tipos de MFA:

Algo que sabes : esto es cualquier cosa que necesites recordar y escribir o decir. Es algo que tienes que recordar de memoria. Un ejemplo podría ser el apellido de soltera de su madre, una contraseña, una frase de contraseña o un PIN.

Algo que tienes - Esto incluye todos los artículos que son objetos físicos que debes tener. Específicamente, incluye el uso de tokens físicos para proporcionar un PIN basado en el tiempo u otro número generado que debe ingresarse para verificar la identidad de alguien. Un ejemplo podría ser este token de hardware: el token de hardware RSA SecurID SID700 o el token de 6 dígitos basado en el tiempo HyperOTP para usar con Amazon Web Services.

Algo que eres : incluye el uso de una parte del cuerpo que se puede usar para la verificación (datos biométricos), como huellas dactilares, escaneo de la palma de la mano, reconocimiento facial, escaneo de retina, escaneo de iris, reconocimiento de voz. Esto funciona porque cada persona es única, pero puede ser invasivo porque puede revelar información sobre los problemas de salud de una persona. Un ejemplo podría ser este Reconocimiento Facial y Lector de Huellas Dactilares con WIFI.

Somewhere you are : utiliza datos basados en la ubicación para determinar si alguien se encuentra en las inmediaciones correctas para acceder a los datos. En este artículo de Microsoft se muestra un ejemplo de restricción de ubicación mediante Azure.

Restricciones de tiempo : el tiempo se puede usar como parte de MFA porque los activos de datos pueden tener restricciones sobre cuándo se puede acceder a ellos. Si los intentos de acceso ocurren fuera de la ventana de tiempo, alguien puede ser descalificado. Un ejemplo en el que se puede usar el tiempo es en una contraseña de un solo uso basada en el tiempo (TOTP). Según el sitio web de Rublon , un TOTP "es un código de acceso válido de 30 a 90 segundos que se ha generado utilizando el valor del secreto compartido y la hora del sistema". Esto combina el factor "algo que tienes" con restricciones de tiempo.

¿Cuáles son los pros y los contras de MFA? Una lista de Mary Shacklett de Transworld Data en este enlace muestra que puede ser complicado, pero vale la pena.

Es importante destacar que hay muchas violaciones de datos que ocurrieron como resultado de no usar la autenticación de múltiples factores. Un artículo de Jean Shin incluye información sobre varias de estas infracciones que afectaron a Target y Equifax, entre otros.

El futuro es MFA

Es poco probable que usar solo contraseñas sea un método de autenticación muy seguro y probablemente no sea el método del futuro. La autenticación multifactor se está haciendo cargo. Este sitio web escribe: “En un clima donde los ataques cibernéticos están en su apogeo (siendo los ataques de fuerza bruta en las contraseñas los más comunes), no sorprende que los profesionales de TI en las compañías Fortune 500 como Google estén impulsando nuevos regímenes de seguridad. Una empresa tras otra está agregando autenticación multifactor (MFA) a su infraestructura de seguridad, y la tecnología biométrica se está convirtiendo en el elemento más buscado con un crecimiento de mercado esperado de $ 55,420 millones para 2027”. En particular, el uso de datos biométricos está creciendo.

Conocer la autenticación multifactor es importante para la vida diaria, pero a veces el concepto puede entenderse poco o mal. Es importante para el endurecimiento de los datos y la información personal, por lo que puede ser un tema interesante para un examen más detenido.

Referencias:

• https://www.tyntec.com/blog/breaches-multifactor-authentication-could-have-prevented
• https://www.techtarget.com/searchsecurity/definition/multifactor-authentication-MFA
• https://www.biometricupdate.com/202202/back-to-the-secure-future-the-need-for-multi-factor-authentication
• https://www.globalknowledge.com/us-en/resources/resource-library/articles/the-three-types-of-multi-factor-authentication-mfa/#gref