¿Cómo funciona la autenticación multifactorial?
La autenticación de múltiples factores (MFA) utiliza múltiples tecnologías para autenticar la identidad de un usuario. En cambio, la autenticación de un solo factor (o simplemente "autenticación") utiliza una sola tecnología para probar la autenticidad del usuario. Con la AMF, los usuarios deben combinar tecnologías de verificación de al menos dos grupos o factores de autenticación diferentes. Estos factores se dividen en tres categorías: algo que sabes, algo que tienes y algo que eres. Por eso, utilizar un PIN con una contraseña (ambos de la categoría "algo que sabes") no se consideraría autenticación multifactor, mientras que utilizar un PIN con reconocimiento facial (de la categoría "algo que eres") sí. Tenga en cuenta que no se requiere una contraseña para poder acceder a la MFA. Una solución MFA puede ser completamente sin contraseña.
También es aceptable utilizar más de dos métodos de autenticación. Sin embargo, la mayoría de los usuarios quieren una autenticación sin fricciones (la posibilidad de ser verificados sin necesidad de realizar una verificación).
¿Qué factores de autenticación se utilizan en la AMF?
A continuación se presentan las tres categorías principales:
- Algo que se conoce (factor de conocimiento)
Suele ser una contraseña, un PIN o una frase de paso, o un conjunto de preguntas de seguridad y sus correspondientes respuestas que sólo conoce la persona. Para utilizar un factor de conocimiento para la AMF, el usuario final debe introducir correctamente la información que coincida con los detalles que se almacenaron previamente en la aplicación en línea. - Algo que tienes (factor de posesión
) Antes de los smartphones, los usuarios llevaban tokens o tarjetas inteligentes que generaban una contraseña de un solo uso o un código de acceso (OTP) que se podía introducir en la aplicación online. Hoy en día, la mayoría de los usuarios instalan una aplicación de autenticación en su smartphone para generar claves de seguridad OTP. - Algo que usted es (factor de inherencia
) Los datos biométricos sobre un individuo van desde las huellas dactilares, los escaneos de retina, el reconocimiento facial y el reconocimiento de voz hasta los comportamientos (como la intensidad o la rapidez con que la persona teclea o desliza el dedo en una pantalla).
Para lograr la autenticación multifactor, se deben utilizar al menos dos tecnologías diferentes de al menos dos grupos tecnológicos diferentes para el proceso de autenticación. En consecuencia, el uso de un PIN junto con una contraseña no se consideraría autenticación multifactor, mientras que el uso de un PIN con reconocimiento facial como segundo factor sí lo sería. También es aceptable utilizar más de dos formas de autenticación. Sin embargo, la mayoría de los usuarios desean cada vez más una autenticación sin fricciones (la posibilidad de ser verificado sin necesidad de realizar una verificación)
¿Cuál es la diferencia entre la autenticación de dos factores y la de varios factores?
Para ser considerada una autenticación de dos factores (2FA), una solución siempre requiere que el usuario presente dos factores de autenticación de dos categorías diferentes, como un factor de posesión y un factor de conocimiento, para verificar su identidad. La autenticación multifactor es más amplia que la autenticación de dos factores. Requiere que la organización utilice dos o más factores en el proceso de autenticación.
¿Cuáles son los diferentes tipos de tecnologías de autenticación multifactor?
Las siguientes son las tecnologías MFA más comunes:
- Autenticación biométrica
Las tecnologías biométricas son una forma de autenticación que permite autenticar a los usuarios de forma precisa y segura a través de sus dispositivos móviles. Las modalidades biométricas más comunes son el escaneo de huellas dactilares y el reconocimiento facial. La autenticación biométrica también incluye la biometría del comportamiento, que proporciona una capa invisible de seguridad al autenticar continuamente a una persona basándose en las formas únicas en que interactúa con su ordenador o dispositivo móvil: pulsaciones de teclas, patrón de deslizamiento, movimientos del ratón, etc. - Tokens de hardware
Los autentificadores de hardware son dispositivos pequeños y fáciles de usar que un propietario lleva consigo para autorizar el acceso a un servicio de red. Al admitir la autenticación robusta con códigos de acceso de un solo uso (OTP), los tokens físicos proporcionan un factor de posesión para la autenticación multifactorial, al tiempo que permiten mejorar la seguridad de los bancos y los proveedores de aplicaciones que necesitan proteger varias aplicaciones con un solo dispositivo. - Autenticación móvil
La autenticación móvil es el proceso de verificación de un usuario a través de su dispositivo Android o iOS o la verificación del propio dispositivo. Esta tecnología permite a los usuarios iniciar sesión en lugares seguros y acceder a los recursos desde cualquier lugar con mayor seguridad. - Autenticación fuera de banda
Este tipo de autenticación requiere un método de verificación secundario a través de un canal de comunicación independiente, normalmente la conexión a Internet de la persona y la red inalámbrica en la que opera su teléfono móvil. Estos son ejemplos de tecnologías fuera de banda:- Código Cronto®
Este código QR en color puede autentificar o autorizar una transacción financiera. El individuo ve este código QR en color a través de su navegador web. Sólo el dispositivo registrado de la persona puede leer y descifrar el código. Contiene detalles de la transacción que el usuario puede verificar antes de completarla, lo que la hace muy segura. - Notificación
push Las notificaciones push entregan un código de autenticación o una contraseña de un solo uso en el dispositivo móvil del usuario. A diferencia de un mensaje SMS, la notificación aparece en la pantalla de bloqueo del dispositivo. - Mensaje detexto SMS o mensaje
de voz Los códigos de acceso de un solo uso se envían al dispositivo móvil del usuario mediante un mensaje de texto SMS o un mensaje de voz. - Token blando
Los autenticadores de software o "tokens basados en aplicaciones" generan un PIN de inicio de sesión único. A menudo, estos tokens de software se utilizan para casos de uso de MFA en los que el dispositivo del usuario -en este caso un smartphone- proporciona el factor de posesión.
- Código Cronto®
¿Por qué las organizaciones necesitan la autenticación multifactorial?
El fraude de toma de posesión de cuentas (ATO) es una amenaza de ciberseguridad en auge, alimentada por la sofisticada ingeniería social (es decir, los ataques de phishing), el malware móvil y otros ataques. Los métodos de AMF correctamente diseñados y aplicados son más fiables y eficaces contra los ataques sofisticados que la anticuada autenticación de un solo factor, nombre de usuario/contraseña, que puede ser fácilmente comprometida por los ciberdelincuentes a través de herramientas de hacking ampliamente disponibles.
¿Cuáles son las principales ventajas del AMF?
Como parte de su estrategia de seguridad, las organizaciones utilizan la AMF para conseguir:
-
Seguridad mejorada
La autenticación multifactorial proporciona mayor seguridad que las contraseñas estáticas y los procesos de autenticación de un solo factor. -
Cumplimiento de la normativa
La autenticación multifactorial puede ayudar a las organizaciones a cumplir con la normativa de su sector. Por ejemplo, la AMF es necesaria para satisfacer el requisito de autenticación fuerte de la PSD2 para la autenticación fuerte de clientes (SCA). -
Mejora de la experiencia del
usuario Romper la dependencia de las contraseñas puede mejorar la experiencia del cliente. Al centrarse en los retos de autenticación de baja fricción, las organizaciones pueden aumentar la seguridad y mejorar la experiencia del usuario.
¿Cómo está influyendo la computación en nube en la AMF?
Los bancos, las instituciones financieras y otras organizaciones de servicios financieros están empezando a abandonar las aplicaciones alojadas internamente en favor de las aplicaciones de software como servicio (SaaS) basadas en la nube, como Office 365, Salesforce, Slack y OneSpan Sign. Como resultado, la cantidad de datos y archivos sensibles alojados en la nube está aumentando, lo que eleva el riesgo de que se produzca una filtración de información personal comprometida (PII) que impulsa la toma de cuentas. Para aumentar el riesgo de seguridad, los usuarios de las aplicaciones SaaS pueden estar en cualquier lugar, no sólo en las redes corporativas. Las capas adicionales de seguridad que ofrece la AMF frente a la simple protección con contraseña pueden ayudar a contrarrestar estos riesgos. Además de los factores de conocimiento, posesión e inherencia, algunas tecnologías de AMF utilizan factores de localización, como las direcciones de control de acceso a los medios (MAC) de los dispositivos, para garantizar que el recurso sea accesible sólo desde dispositivos específicos.
Otra forma en que la nube está afectando a la AMF es a través del alojamiento en la nube de las soluciones de AMF, que suelen ser más rentables de implementar, menos complejas de administrar y más flexibles que las soluciones locales. Los productos basados en la nube pueden ofrecer más opciones dirigidas a los usuarios móviles, como aplicaciones de autentificación móvil, notificaciones push, análisis de contexto como la geolocalización y la biometría.
¿Cómo pueden los bancos empezar a utilizar la autenticación multifactor?
Las soluciones de autenticación multifactor de OneSpan han sido diseñadas desde el principio para salvaguardar las cuentas y las transacciones ofreciendo múltiples factores de autenticación y satisfaciendo al mismo tiempo la demanda de un proceso de inicio de sesión sencillo. OneSpan ha invertido mucho tiempo y recursos para crear soluciones fáciles de usar, escalables y fiables que ofrezcan una autenticación sólida mediante una serie de opciones de verificación sencillas, como los códigos QR en color y el Bluetooth. Entre ellas se encuentran:
- Autenticación del software
- Autenticadores móviles
- Entrega de SMS
- Autenticación por hardware
- Autenticadores USB
- Lectores de tarjetas inteligentes
- Autenticación biométrica
- Notificación push
- Cronto
¿Por qué los consumidores de servicios financieros deberían utilizar la AMF?
Los consumidores deben utilizar la AMF siempre que accedan a datos sensibles. Un buen ejemplo es utilizar un cajero automático para acceder a una cuenta bancaria. El propietario de la cuenta utiliza la AMF combinando algo que conoce (el PIN) y algo que tiene (la tarjeta del cajero automático). Del mismo modo, al iniciar sesión en una cuenta de Facebook, Google o Microsoft desde una nueva ubicación o dispositivo, los consumidores utilizan la AMF introduciendo algo que conocen (la contraseña) y un segundo factor, algo que tienen (la aplicación móvil que recibe la notificación push o SMS).