ESET Latinoamérica ha publicado recientemente un nuevo documento titulado ¿El fin de las contraseñas? La autenticación simple cada vez más amenazada. El objetivo del texto es explicar el funcionamiento de la doble autenticación y la importancia de implementar este método de protección.
Las contraseñas son un recurso ampliamente utilizado por los usuarios. Prácticamente cualquier servicio en el cual se maneje información sensible (correo electrónico, redes sociales, portales bancarios, recursos corporativos, entre otros.), requiere del ingreso de credenciales de acceso como método de autenticación. El objetivo es similar al de una llave; proteger aquellos recursos importantes del acceso no autorizado de terceros, sin embargo, la efectividad de este método se ha visto amenazada tanto por factores técnicos como humanos.
En relación al aspecto técnico, ataques como el sufrido por Twitter en donde se comprometieron 250.000 usuarios, el restablecimiento de 28 millones de contraseñas por parte de Formspring, la fuga de información que afectó a LinkedIn, y la posible brecha de seguridad que involucró a Yahoo!, dejaron entrever que la autenticación simple no es una medida suficiente para proteger información sensible. Además de todo esto, el avance tecnológico ha permitido que un cluster de 25 GPU descifre contraseñas de 8 caracteres en 5.5 horas, por lo tanto, existen aún más herramientas para que los atacantes pongan en riesgo las credenciales del usuario.
Con respecto al factor humano, y en base a una encuesta realizada por ESET Latinoamérica, las contraseñas siguen siendo un punto débil de los usuarios. En esta línea, el 36,7% de los encuestados aseveró emplear una o pocas claves para varios servicios. Por otro lado, el 42,3% afirmó utilizar frases reales para generar contraseñas. Frente a un escenario adverso tanto en el aspecto técnico como humano, los sistemas de doble autenticación permiten proteger la información de un modo considerablemente más seguro. Para comprender el funcionamiento de la doble autenticación es necesario entender los factores de autenticación:
- Factor de conocimiento (algo que yo sé): se trata de algo que el usuario conoce como contraseñas, PIN, etc.
- Factor de posesión (algo que tengo): es algo que el usuario posee como un token, teléfono inteligente, entre otros.
- Factor de inherencia (algo que soy): son rasgos conductuales y físicos intrínsecos del ser humano como huella dactilar, iris, etc.
Considerando lo mencionado anteriormente, la autenticación simple consta solo del factor conocimiento, es decir, algo que la persona sabe o conoce. En cambio, con la doble autenticación se combina el acceso con un segundo factor. Por ejemplo, se puede combinar algo que sé con algo que tengo. El funcionamiento sería el siguiente, una vez que el usuario ha ingresado sus credenciales (factor de conocimiento), deberá esperar hasta que el sistema le envíe un código a su teléfono u otro dispositivo (factor de posesión). Es importante destacar que dicho número es generado de forma aleatoria y varía de acuerdo a cada sesión.
Este sistema permite mitigar la amenaza que un atacante pueda acceder a los servicios de la víctima, por ejemplo, a través de credenciales de acceso robadas. Aunque algunos sitios implementan este sistema, nuestra compañía lanzó al mercado ESET Secure Authentication, solución destinada para empresas que desean proteger el acceso de sus redes VPN y Outlook Web App (OWA) con un sistema de doble autenticación.
¿Se tratará del fin de las contraseñas? Para conocer la respuesta de esta interrogante y profundizar sobre el tema, los invitamos a descargar y leer el documento ¿El fin de las contraseñas? La autenticación simple cada vez más amenazada.
André Goujon
Especialista de Awareness & Research