Aunque el concepto de autenticación parece muy complicado, en realidad es bastante sencillo: es una manera de demostrar que eres quien dices ser. En el mundo offline, este proceso es simple y universal. La mayoría de los países cuentan con procedimientos bien documentados mediante los cuales se puede obtener un pasaporte que demuestre tu identidad en cualquier lugar donde te encuentres. En el mundo de las computadoras, no existe un documento único que te sirva para probar tu identidad donde sea que estés. Como resultado, la mayoría de los sitios web y servicios utilizan distintas técnicas.
En mi publicación anterior sobre las cuatro “A” de la administración de cuentas, hablamos sobre la autenticación relacionada a la autorización, el control del acceso y el registro de auditorías. La implementación de una buena autenticación es un paso previo esencial para poder proceder con las otras tres funciones de gestión de cuentas.
Si uno no sabe quién es realmente un usuario, no puede saber a qué recursos o servicios debe tener derecho de acceso, ni tampoco es posible identificar las acciones que realizaron.
Cómo demostrar quiénes somos en el mundo online
Cuando tenemos que demostrar que somos quienes aseguramos ser, debemos buscar algo único e inalterable acerca nuestro. Para ello, podemos recurrir a algunas estrategias; por ejemplo, en las películas o los programas de televisión, si hay alguna duda sobre la identidad de una persona, se acostumbra hacer lo siguiente:
- Se le pide que verifique un dato que solo ella sabrá, o
- Se le pide que muestre algún objeto que solo ella puede llevar, o
- Se busca en la persona la presencia de algún rasgo notable y único
También hay opciones similares disponibles para verificar a los usuarios online. El conjunto de estos tres métodos básicos se denomina "factores de autenticación". Individualmente, estos factores se conocen como:
- Factor de conocimiento: lo que sabes
Involucra un dato que (idealmente) solo conoces tú (la persona cuya identidad se está tratando de verificar) y la persona o proceso que está verificando tu identidad.
- Factor de posesión o propiedad: lo que tienes
Involucra un objeto entregado por la persona u organización que te está verificando, que puedes mostrar para verificar tu identidad.
- Factor de inherencia o existencia: lo que eres
Involucra las cosas que forman parte de lo que eres; por lo general son cosas que nunca cambiarán.
Los tres primeros factores
Hay ciertas cosas que se utilizan comúnmente como "factores de conocimiento": las contraseñas, las claves de acceso, las frases de contraseña o el PIN (que es el acrónimo en inglés de Número de Identificación Personal). Muchas personas no se dan cuenta de que las "preguntas secretas" (que algunos sitios web te exigen que utilices además de tu contraseña) también son factores de conocimiento.
La mayoría de nosotros tenemos al menos un "factor de propiedad" en la billetera, posiblemente varios. Si bien tu licencia de conducir o tu documento de identidad sin duda pertenecen a esta categoría, las tarjetas de pago también lo son, por lo que a veces está permitido utilizarlas como una forma muy básica de identificación.
Las tarjetas de crédito o débito que llevas en la billetera no son solo una señal de que el banco te considera capaz de pagar tus deudas; también indican que el banco ya ha verificado tu identidad.
Pero el documento personal y las tarjetas de pago no son los únicos ejemplos de "factores de propiedad". Cualquier cosa que pueda vincularse a ti en forma exclusiva es útil; por ejemplo, una dirección de correo electrónico, un dispositivo móvil o un número telefónico. Los sitios online también pueden generar códigos de claves temporales y enviártelos por mensajes SMS, llamadas de voz o correos electrónicos, para que luego los puedas usar como credenciales de inicio de sesión.
Y, por último, está el "factor de inherencia". Este factor de autenticación que antes solo estaba disponible para los espías, hoy en día está presente en muchos smartphones o equipos portátiles. El escáner de huellas dactilares, que es el ejemplo más común, tiene el propósito de verificar el patrón único de las puntas de tus dedos. Algunos smartphones ahora vienen con un escáner de iris, que verifica las manchas y coloraciones exclusivas de tus ojos.
La Oficina de Aduanas y Protección Fronteriza de los Estados Unidos está probando escáneres de reconocimiento facial, como una manera de automatizar la verificación de la identificación mediante fotografías.
Cuando un factor no es suficiente
El uso de más de un factor para autenticar a propietarios de cuentas es cada vez más popular
A esta altura, la mayoría de nosotros conocemos a alguien cuya cuenta online fue comprometida. La autenticación que solo utiliza el nombre de usuario y la contraseña le genera tantos problemas de seguridad a tanta gente que los investigadores buscan constantemente nuevas formas de autenticar a sus usuarios en forma rápida y segura. El uso de más de un factor para autenticar a los propietarios de cuentas es una opción cada vez más popular.
El inicio de una sesión mediante el uso de dos factores de autenticación se denomina "autenticación en dos fases", "autenticación de dos factores", "verificación en dos pasos"; o, para abreviar, 2FA. Si un proceso de inicio de sesión tiene habilitada la 2FA, incluso si los usuarios dan a conocer sus credenciales (ya sea accidental o intencionalmente), sus cuentas aún seguirán protegidas si el atacante no tiene también acceso al segundo factor.
Los factores del futuro
Otro método para mejorar la seguridad de la autenticación es encontrar nuevos factores. Hay un par que ya se están utilizando sin que la gente lo sepa:
- Factor de ubicación: dónde estás
- Factor de comportamiento: lo que haces
Pueden parecer un poco extraños, porque la gente viaja y su comportamiento va cambiando con el tiempo. Seguramente te preguntarás cómo pueden ser únicos si los datos cambian. Pero al parecer pueden ser muy útiles, en especial cuando se usan en conjunto con otros factores.
El "factor de ubicación" se basa en que es posible esperar que una persona esté en cierto lugar en determinado momento (es decir, en casa o en el trabajo) o que use ciertas máquinas específicas. Obviamente, no siempre será el caso; entonces, por sí misma, esta información solo tiene utilidad marginal. Pero si te encuentras en un lugar conocido o estás usando una dirección IP o MAC conocida, puede utilizarse como tu segundo factor de autenticación, además del nombre de usuario y la contraseña. De lo contrario, si no estás en ese lugar conocido o en ese equipo conocido, se te pedirá que utilices un factor diferente de autenticación, como un código de clave temporal.
Por otra parte, el "factor de comportamiento" se basa en que los comportamientos pueden ser tan únicos como las huellas dactilares; por ejemplo, nuestros hábitos de navegación, nuestras voces, nuestros movimientos del mouse o en la pantalla táctil, o nuestra letra cuando escribimos a mano. Algunos smartphones ya están utilizando este factor. Si configuras una clave de acceso numérica o gestual, no solo registran el código en sí, sino también la forma en que lo escribes o deslizas el dedo para ingresarlo.
Próximos pasos: establecer límites
Una vez que la identidad de una persona ha sido autenticada, muchos administradores les abren las puertas de par en par a los usuarios (metafóricamente hablando), lo que les permite acceder sin restricciones a todo el contenido de sus redes. En nuestro próximo artículo, hablaremos de los siguientes pasos para la gestión de cuentas: la Autorización y el Control del Acceso.
Estas técnicas te permiten establecer controles adecuados para que los usuarios puedan acceder a los recursos o servicios que necesitan, y bloquear la disponibilidad de lo que no necesitan, de modo de limitar los daños accidentales e intencionales y el robo de datos.
Sigue leyendo: Infografía - ¿qué alternativas hay a las contraseñas?