YubiKey es un ejemplo de una llave física que puede conectar a su dispositivo para verificar su identidad. Crédito: Formatoriginal/Shutterstock
Las filtraciones de datos se están volviendo vulgar tanto en pequeñas como en grandes empresas tecnológicas. La víctima más reciente fue empresa australiana de telecomunicaciones Optuslo que resultó en el acceso no autorizado a los datos de identidad de aproximadamente 10 millones de personas.
Sumado a la miseria de las víctimas, este ataque cibernético desató aún más una plétora de ataques posteriores. intentos de phishing y fraude utilizando los datos obtenidos de este incumplimiento.
Tener medidas de seguridad más rigurosas al iniciar sesión puede ayudar a proteger sus cuentas, y significativamente reduce la probabilidad de muchos ciberataques automatizados.
La autenticación multifactor (MFA) es una medida de seguridad que requiere que el usuario proporcione dos (también conocido como verificación en dos pasos o autenticación en dos pasos) o más pruebas de identidad para obtener acceso a los servicios digitales. Esto generalmente requiere una combinación de algo que el usuario sabe (pin, pregunta secreta), algo que tiene (tarjeta, token) o algo que es (huella digital u otra biometría).
Por ejemplo, la Oficina de Impuestos de Australia endureció recientemente algunas reglas para los proveedores de servicios digitales en el uso obligatorio de la autenticación multifactor. Si usa ciertos servicios, ya está familiarizado con MFA.
Pero no todas las soluciones MFA son igualescon estudios recientes que demuestran formas simples de subvertir métodos más comunes que se utilizan para presentar ataques cibernéticos.
Además, las personas también prefieren diferentes opciones de MFA según sus necesidades y nivel de conocimiento tecnológico.
Entonces, ¿cuáles son las opciones disponibles actualmente, sus ventajas y desventajas, y para quién son adecuadas?
Hay cuatro métodos principales de autenticación multifactor
SMS: Actualmente, la opción más común que involucra una contraseña de un solo uso (como un código) enviada por mensaje de texto. Aunque es bastante popular y fácil de usar, la contraseña o el código que se le envía por mensaje de texto puede ser pirateado por aplicaciones maliciosas en el teléfono o al redirigir el SMS a un teléfono diferente. El método también falla si su teléfono inteligente no tiene servicio o está apagado.
Basado en autenticador: Otro método común, en el que una aplicación instalada en su teléfono inteligente (como Google Authenticator) genera contraseñas de un solo uso válidas por un período de tiempo muy corto, como 30 segundos. Aunque son más seguras que los mensajes de texto, las aplicaciones maliciosas aún pueden robar estas contraseñas de un solo uso. El método también falla si su teléfono inteligente no tiene energía.
Aplicación movil: similar a las aplicaciones de autenticación, pero al usuario se le envía un aviso de verificación en lugar de una contraseña de un solo uso. Esto requiere que su teléfono inteligente tenga una conexión a Internet activa y esté encendido.
Clave de seguridad física: El mecanismo más seguro; utiliza una clave de seguridad de hardware (como YubiKey, VeriMark o Feitian FIDO) que debe conectarse al dispositivo para verificar la identidad; muchos de estos se parecen mucho a las memorias USB. Es el método líder actual respaldado por empresas como Google, Amazon y Microsofttanto como agencias gubernamentales en todo el mundo.
Cada uno de estos cuatro métodos varía en usabilidad y seguridad. Por ejemplo, a pesar de que las llaves de seguridad físicas ofrecen el mayor nivel de seguridad, la tasa de adopción es la más baja, con cifras que sugieren sólo un 10% de aceptación.
Las preferencias importan
Los diferentes tipos de autenticación multifactor no solo varían en seguridad, sino que también tienen diferentes niveles de popularidad. Esto da como resultado una discrepancia entre los más de confianza método MFA (la clave de seguridad física) y cuál es en realidad el más ampliamente utilizado (SMS).
nuestro equipo de Centro de Investigación e Innovación en Seguridad Cibernética de la Universidad de Deakin recientemente realizó un estudio sobre la adopción de tecnologías MFA. Encuestamos a más de 400 participantes pertenecientes a diferentes grupos de edad, niveles educativos y experiencia con MFA.
Los resultados de nuestro estudio indican que las preferencias de las personas se ven afectadas no solo por sus necesidades de seguridad, sino también por la facilidad de uso. A la mayoría de los usuarios les importaba más el sencillez del método MFA: esto explica claramente por qué las soluciones basadas en SMS aún dominan el panorama, a pesar de que existen alternativas más seguras.
En nuestro estudio de seguimiento, los usuarios recibieron las llaves de seguridad físicas más populares durante un mes, para probarlas sin supervisión. Los resultados preliminares sugieren que la mayoría de los usuarios encontraron las teclas físicas efectivas e intuitivas de usar.
Sin embargo, la falta de soporte de la plataforma y las instrucciones de configuración crearon una percepción que estas claves eran difíciles y complejas de instalar y usar, lo que resultó en una falta de voluntad para adoptar.
Una talla no sirve para todos
Creemos que debe haber una consideración cuidadosa antes de que cualquier agencia gubernamental o empresa ordene la MFA, con algunos pasos clave a considerar.
Diferentes personas y organizaciones tendrán diferentes necesidades, por lo que en algunos casos una combinación de métodos podría funcionar mejor. Por ejemplo, una solución basada en SMS se puede usar junto con una clave de seguridad física para acceder a sistemas de infraestructura críticos que necesitan niveles más altos de seguridad.
Además, la educación y concienciación de los usuarios es vital. Muchas personas no son conscientes de la importancia de MFA y no saben qué métodos son los más seguros.
Al asumir cierta responsabilidad personal y utilizar métodos altamente efectivos, como claves de seguridad físicas para proteger nuestras cuentas más vulnerables, todos podemos hacer nuestra parte para hacer de la web un lugar más seguro.
Google actualiza su línea de llaves de seguridad Titan con versiones USB-A y USB-C
Este artículo se vuelve a publicar de La conversación bajo una licencia Creative Commons. Leer el artículo original.
Citación: ¿Qué es la autenticación multifactor y cómo debo usarla? (5 de octubre de 2022) recuperado el 5 de octubre de 2022 de https://techxplore.com/news/2022-10-multi-factor-authentication.html
Este documento está sujeto a derechos de autor. Aparte de cualquier trato justo con fines de estudio o investigación privados, ninguna parte puede reproducirse sin el permiso por escrito. El contenido se proporciona únicamente con fines informativos.
