Saltar al contenido

¿Qué es la Autenticación de Dos Factores o 2FA?

Autenticación de dos factores

La seguridad respecto a la información es un punto de suma importancia para los usuarios de sistemas informáticos. Controles de acceso robustos y fuertes crean protecciones de nuestras cuentas y datos en las redes sociales, por ejemplo. Mantener la privacidad de la información es fundamental para garantizar los derechos de cualesquiera personas. Existen muchas prácticas para generar claves de acceso robustas y que sean difíciles de romper mediante ataques informáticos.

Estos ataques pueden resultar sumamente dañinos y meternos en problemas debido a, por ejemplo, la suplantación de identidad. Es por eso que muchas plataformas exigen e implementan la obligatoriedad del uso de contraseñas y mecanismo de autenticación fuertes. Esta clave tiene que incluir letras mayúsculas y minúsculas, números y algún carácter especial, y tener más de ocho caracteres. Una clave así se puede decir que es bastante segura. Otro de los mecanismos implementados es la autenticación de dos factores.

Si quieres conocer qué es la autenticación de dos factores, y cómo emplearla, te invito a que continúes leyendo. Ya comenzamos.

Tabla de contenidos


Autenticación de múltiples factores

La autenticación de múltiples factores es un mecanismo de control de acceso a partir del cual hay que ofrecer dos o más pruebas de que el usuario es la persona correcta. El tipo de pruebas de confirmación es bastante variado. Puede ser solicitado desde contraseñas con una segunda clave aleatoria, un certificado digital o preguntas con respuestas predeterminadas que solo conozca el usuario.

Una de las variantes es la autenticación de dos factores, 2FA (del inglés two-factor authentication). Este método de confirmación de identidad combina dos componentes de tres basado en características del usuario. El usuario debe responder a criterios sobre cierta información que solo él es, sabe o posee.

La autenticación de dos factores es el método de autenticación múltiple más extendido para controlar el acceso a cuentas de correo. No obstante, este mecanismo no es obligatorio y necesita ser activado por el propio usuario para que se efectivo. Pero, es bastante recomendado utilizarlo, ya que fortalece la seguridad de nuestra información y datos.

Este sistema de autenticación es bastante usado en el día a día sin siquiera darnos cuentas. Por ejemplo, para extraer dinero de un cajero automático lo empleamos. En este caso se combina lo que el usuario posee (tarjeta magnética) con lo que sabe (el pin) para autenticarse en el cajero y así extraer el dinero.

Otra forma es cuando es necesario que el sistema sobre el que estamos accediendo envié alguna especie de código a una cuenta de correo utilizada durante la creación del servicio. De esta manera se protege el acceso mediante la clave de acceso al sistema y añadiendo la seguridad empleada sobre el correo electrónico.

Tipos de factores que intervienen en la autenticación de dos factores

La fortaleza de este sistema de autenticación se basa en la remota posibilidad de que una tercera persona pueda tener acceso a todos los factores necesarios para adquirir el acceso al sistema.  De fallar alguno de los factores de autenticación requeridos, no se valida la identidad del usuario y se deniega el acceso al recurso.

Para la autenticación de dos factores se solicitan dos de tres componentes. El primero puede estar referido a algún objeto físico que deba estar en poder del usuario. Este puede ser un dispositivo USB, una tarjeta magnética, o una llave electrónica.

Otro elemento es un secreto conocido solo por el usuario. Generalmente es una contraseña o un pin. El otro de los factores a tener en cuenta es algún dato o característica biométrica del usuario. En este caso se pueden utilizar reconocimiento de voz, huella dactilar, iris, patrones de escritura rápida y otro.

Reconocimiento de huella.
Reconocimiento de huella.

Parámetros de conocimiento en autenticación de dos factores

Estos factores son los de mayor uso en cuanto a autenticación de dos factores se refiere. El mecanismo empleado es la demostración necesaria de que el usuario conoce algún secreto guardado en el sistema de manera previa. Por ejemplo, una contraseña o una pregunta de verificación puede ser un parámetro de conocimiento.

Autenticación de dos factores utilizando contraseña.
Uso de contraseña.

Las contraseñas requeridas pueden ser palabras con varias combinaciones de distintos tipos de caracteres alfanuméricos y especiales. Además, generalmente se establece una longitud mínima para estas claves de acceso. Otros tipos de claves son los llamados pin numérico, generalmente de corta longitud.

En cuanto a las preguntas de seguridad, estas se realizan una vez se contrata el servicio o se crea la cuenta. El usuario debe responder a preguntas predefinidas con datos que sean conocidos solo por él. De esta manera, una vez el sistema lanza una pregunta y el usuario responde la respuesta correcta, se concede el acceso.

Este último mecanismo no es el más seguro. Esto se debe a que quizás sea posible conocer las respuestas simplemente indagando un poco en la vida del usuario.

Parámetros físicos

Este se refiere a un objeto físico que solo debe estar en posesión del usuario. El caso más sencillo de estos puede la combinación de un candado o cerradura y una llave. Este mismo principio es aplicado a los sistemas informáticos que emplean el mecanismo de factor físico de autenticación. Las claves electrónicas generadas por estos dispositivos físicos se nombran comúnmente como tokens de seguridad.

Autemticacion de dos factores token SecurID de RSA.
Token SecurID de RSA.

Estos tokens se obtienen en medios sin conexión. De esta manera, el dispositivo electrónico genera por sí mismo la clave sin necesidad de conectarse al ordenador. Estos generalmente integran un display o pantalla mostrando la cadena de caracteres generada para la autenticación. La cadena obtenida se introduce en el sistema para proceder a la autenticación.

También existe la variante de tokens conectados. De esta manera el dispositivo se conecta al ordenador y la clave generada transmitida directamente. En este ámbito podemos encontrar los lectores de tarjetas, tokens USB, y etiquetas inalámbricas. Para el diseño de estos dispositivos se ha establecido el estándar Universal 2nd Factor.

Parámetros biométricos

Esos no son más que factores inherentes a los usuarios. Aquí encontramos los lectores de huellas dactilares, reconocimiento facial y de voz o lectores de retinas. Generalmente se aplican sobre rasgos únicos de la anatomía humana o a patrones de comportamiento preconfigurados y asociados al usuario, por ejemplo, patrones de escritura.

Reconocimiento del iris en la autenticación de dos factores.
Reconocimiento del iris en la autenticación de dos factores.

Autenticación de dos factores en telefonía móvil

Una de los problemas de la autenticación de dos factores cuando se usa el factor físico es que el dispositivo físico de autenticación debe ser traído encima del usuario cada vez que se quiera acceder al sistema. Este trae asociado el problema de seguridad de que es susceptible a robos. Además, puede ser algo costoso reemplazar el dispositivo cuando se daña o extravía.

La autenticación móvil de dos factores soluciona en parte los problemas asociados al factor de autenticación físico. Mediante este se utilizan dispositivos móviles, ya sean teléfonos celulares o cualquier otro, para reemplazar el dispositivo físico de autenticación.

En caso de que un usuario desee autenticarse en un sistema, puede ser requerido un código de acceso personal el cual es enviado por SMS al teléfono móvil. Esto trae como ventaja el uso de un dispositivo tan común hoy en día como un teléfono celular y evitan tener que cargar con otro tipo de dispositivo físico.

Uno de los métodos empleados es la de tener siempre disponible una contraseña válida para cada usuario. Cada vez que le usuario lo requiera se le enviará esta clave. Esta contraseña puede ser cambiante y aleatoria, eliminando así el supuesto de usuario la misma clave para varios servicios.

Desventajas

Las principales desventajas en cuanto a este mecanismo es la obligatoriedad de portar e todo momento el teléfono para poder recibir los tokens. Además de que se debe garantizar que haya cobertura telefónica en el lugar donde estemos.

También es necesario compartir el número de teléfono con el proveedor del servicio debilitando así la privacidad de la información. Además, el mecanismo de envió de mensajes a móviles es bastante inseguro, por lo que se debilita la fortaleza del mecanismo de autenticación.

Por otro lado, es común que existan retrasos en la entrega de los SMS, añadiendo demoras en el proceso de autenticación. Otra debilidad en cuanto a seguridad es que también se emplean correos electrónicos para el recibo de SMS. Es común en los teléfonos móviles que se esté permanentemente autenticado al correo. En caso de robo cualquiera puede acceder al correo y así recibir los tokens de autenticación.


Artículos relacionados que te podrían resultar interesantes: