+34 914 230 991 info@dotforce.es

¿Cuál es la mejor solución 2FA / MFA?

21 enero 2022

¿Cuál es la mejor solución 2FA / MFA? 

En este artículo repasamos las ventajas y desventajas de las diferentes opciones de autenticación de múltiples factores. También explicaremos cómo Google y Microsoft, entre otros, han abordado el reto de protegernos de las debilidades de las contraseñas estáticas con FIDO2 y WebAuthn, estándar que ha abierto el camino hacia la autenticación segura sin contraseñas fijas o de un solo uso. Por último, veremos cuál ha elegido el prestigioso diario The New York Times como la mejor solución 2FA / MFA en un completo y exhaustivo análisis.

La quimera de elegir una solución

Si tu organización está considerando implementar 2FA (Autenticación de 2 factores), MFA (Autenticación de Múltiples Factores, 2 o más) o autenticación Passwordless (sin contraseñas), probablemente te sientas perdido al tratar de elegir una opción entre el amplísimo abanico de opciones existentes. O quizá ya tengas una solución 2FA pero estés buscando mejorar su seguridad y reducir los tiempos de acceso y las incidencias.

Por poner un ejemplo de ese amplio abanico, compañías como Google, Microsoft, Salesforce, Dropbox, Amazon y otros sitios de comercio electrónico, además de bancos y otras entidades financieras, permiten elegir entre una multitud de opciones 2FA. Después, dentro de cada una de esas opciones hay que elegir entre multitud de fabricantes y proveedores de aplicaciones.

Vulnerabilidad de algunos métodos 2FA

Y, por si fuera poco, por desgracia muchos métodos 2FA son vulnerables y son atacados constantemente por hackers maliciosos. Algunos de los más utilizados son:

– Mensajes de correo electrónico o SMS. Estos métodos son tan utilizados como vulnerables, dado que son susceptibles de ser interceptados a través de ataques de phishing, vishing, malware (incluyendo bots que interceptan las OTP), man-in-the-middle y de ingeniería social.
– Autenticadores como Google Authenticator y dispositivos legacy que proporcionan OTP. También son muy utilizados, pero también son vulnerables a los ataques anteriormente mencionados. Este método se basa en estándares como HOTP y TOTP que utilizan secretos compartidos entre la aplicación de autenticación y el servidor al que se accede. Para que un método 2FA sea seguro no debe utilizar secretos compartidos.
phishing– Otro método inseguro son las notificaciones push en nuestros smartphones, que también son vulnerables a ataques de phishing, entre otros. Además, en muchos casos esas aplicaciones implican un pago recurrente.

Por supuesto, es preferible disponer de un 2FA vulnerable que no disponer de ninguno. Pero ¿por qué elegir una opción vulnerable cuando existe un método más seguro, fácil de usar, rápido y que genera menos incidencias de soporte?

La solución pasa por recurrir a un estándar de confianza

Las grandes compañías tecnológicas conocen estos hechos y por ello fundaron, en 2013, la FIDO Alliance. Su objetivo es crear estándares de autenticación seguros, basados en criptografía de clave pública, que tengan un impacto positivo en la productividad de los trabajadores. Actualmente compañías como Microsoft, Google, Intel, Apple, Samsung, Paypal, American Express, VISA, MasterCard o Bank of America, entre muchos otros, son miembros de esta alianza.

De hecho, incluso Google sentencia que las llaves de seguridad que utilizan protocolos FIDO son el método más seguro en lugar de su Google Authenticator y sus notificaciones push en smartphones. Según un estudio que han realizado durante años entre 350.000 usuarios, las llaves de seguridad fueron el único método de autenticación que mantuvo a sus usuarios 100% seguros ante los robos de cuentas, no solo ante bots automatizados y ataques de phishing, sino también ante los ataques dirigidos.

El último estándar lanzado por la FIDO Alliance, en colaboración con la W3C es WebAuthn (FIDO2). Este estándar permite incluso realizar autenticación Passwordless. La compañía Yubico, fabricante de llaves de seguridad fundada en 2007 en Suecia y con sede central en Silicon Valley desde 2011, es miembro tanto de la FIDO Alliance como de la W3C y fue, junto con Microsoft, el principal impulsor del proyecto FIDO2 para eliminar las contraseñas.

En el siguiente gráfico elaborado por Microsoft, vemos que la autenticación Passwordless mediante FIDO2 es la opción más segura y fácil frente a la autenticación con contraseñas y la autenticación 2FA y MFA:

Cuadrante Autenticación Passwordless

fuente: Microsoft – Forget passwords, go passwordless

Dadas las ventajas para organizaciones y usuarios, ya hay cientos de fabricantes que han desarrollado aplicaciones compatibles con FIDO2, y otras muchas ya se están desarrollando.

¿Cuál es la mejor llave de seguridad?

Igual que no todos los métodos 2FA y MFA son iguales, no todas las llaves de seguridad lo son. Desde su nacimiento, Yubico es la referencia del sector. Pero, para corroborar la versatilidad, seguridad y fiabilidad de sus productos lo ideal es recurrir a una fuente externa fiable como lo es The New York Times. Tras probar los principales modelos de llave del mercado durante años, el prestigioso diario neoyorquino ha elegido las llaves de seguridad de Yubico.

En primer lugar, ha nombrado a la Security Key NFC como “The best security key for most people”, mientras que la YubiKey 5 fue nombrada como “pick upgrade” (elección mejorada). De la YubiKey 5 destaca que “soporta una lista de protocolos de seguridad más amplia que la Security Key” y que “también ofrece más opciones de conexión […] e incluyen modelos «Nano» del tamaño de una uña”; y concluyen afirmando que “su robusta compatibilidad con más dispositivos y cuentas justifican su mayor precio”.

Respecto a la Security Key, “admite una amplia gama de protocolos y es compatible con la mayoría de los servicios online más utilizados, incluidos Google, GitHub y Dropbox. Está disponible para puertos USB-C como Yubico Security Key C NFC y para puertos USB-A como Yubico Security Key NFC. Este modelo ofrece la mayoría de las ventajas que ofrece nuestra “upgrade pick” (elección mejorada), la serie YubiKey 5, a una fracción del precio. Después de probar las llaves de seguridad durante años y mantenerlas en nuestros llaveros, las consideramos duraderas y fiables. Yubico también proporciona la mejor documentación que hemos visto de cualquier fabricante de llaves de seguridad, y su excelente experiencia introductoria facilita el proceso para quienes la utilizan por primera vez.”, añaden los autores.

Gama de llaves de Yubico 2022, la mejor solución 2FA / MFA

Las llaves de Yubico no comparten secretos.

La crítica positiva hacia Yubico contrasta con su valoración sobre otras marcas que “recibieron críticas de los expertos por la falta de transparencia en el proceso de producción de las llaves, que se fabrican en China”. Esto es algo difícilmente aceptable para dispositivos en los que se confía la seguridad de las organizaciones, incluyendo operadores críticos que manejan recursos públicos de necesidad básica. Por ello, Yubico fabrica sus llaves en Suecia y EEUU.

Conclusión: La mejor opción debe ser segura, fiable y rentable

El resultado final es que con las llaves de Yubico reducimos el tiempo de autenticación de los habituales 20 segundos o más, a 4 segundos para autenticación Passwordless, e incluso a solo 1 segundo cuando se utiliza una llave biométrica. Contando todos los inicios de sesión de todos los usuarios de una organización a lo largo de un año, el ahorro puede llegar a ser millonario, a la vez que evitamos ser víctimas de brechas de seguridad que pueden ocasionar pérdidas también millonarias, además de interrupción en las operaciones y en suministros básicos.

Otros beneficios adicionales son la desaparición de los bloqueos de cuentas y los reseteos de contraseñas, o que las llaves de Yubico siempre están disponibles. Esto es posible porque no necesitan conexión a internet ni baterías, eliminando pérdidas de productividad por falta de conectividad o batería agotada en dispositivos de autenticación.

Para calcular el ahorro que puedes obtener en tu organización al adoptar las llaves de seguridad Yubico, puedes ir a https://www.dotforce.es/calculadoraROIyubikey/.

Desde el anterior enlace también puedes rellenar un formulario solicitando un cálculo personalizado que tendrá en cuenta la situación y el entorno particular de tu organización. También puedes solicitarlo llamando al +34 914 230 991.

PUBLICADO POR:<br>Zane Ryan
PUBLICADO POR:
Zane Ryan
PUBLICADO POR:<br>Zane Ryan
PUBLICADO POR:
Zane Ryan

Artículos relacionados

MFA en SalesForce rápido y seguro

MFA en SalesForce rápido y seguro

MFA en SalesForce rápido y seguro Recientemente, SalesForce anunció que a partir del 1 de febrero de 2022 solo se podrá acceder a su plataforma con autenticación MFA (o SSO). Dado que hay disponibles varias opciones MFA en SalesForce, vamos a exponer las...

¿Condenados por un error humano?

¿Condenados por un error humano?

¿Condenados por un error humano? Es cierto que, desde hace tiempo, todos los estudios que analizan las causas de un ciberataque apuntan a que un 90-95% de ellos son ocasionados por fallos humanos. Y el ejemplo que hoy está en boca de todos es la caída de WhatsApp,...

Utilizamos cookies propias y de terceros para obtener datos estadísticos de la navegación de nuestros usuarios y mejorar nuestros servicios. Si acepta o continúa navegando, consideramos que acepta su uso. Puede obtener más información en el siguiente enlace. Más información

POLITICA DE COOKIES Dot Force S.L. utiliza cookies en sus sitios web para atender a nuestros visitantes de acuerdo con este aviso de cookies. Puede obtener más información sobre esto a continuación. Si no acepta el uso de estas cookies, desactívelas siguiendo las instrucciones más abajo en esta página o cambie la configuración de su navegador para que las cookies de este sitio web no puedan enviarse ni almacenarse en su dispositivo. Acerca de las cookies Una cookie de Internet es un pequeño archivo que se envía desde un sitio web y se almacena en la computadora, tableta o dispositivo móvil de un usuario cuando visita un sitio web. Suelen ser anónimos y se utilizan con fines de mantenimiento de registros, pero pueden contener información sobre su visita a un sitio web en particular, como el estado de inicio de sesión, la personalización y las preferencias publicitarias, etc. Las cookies tienen un tiempo de vida predefinido, después del cual no se podrán utilizar y se eliminarán automáticamente. Las cookies pueden ser cookies "persistentes" o de "sesión". El navegador almacenará una cookie persistente y seguirá siendo válida hasta la fecha de caducidad establecida, a menos que el usuario la elimine antes de la fecha de caducidad. Una cookie de sesión, por otro lado, caducará al final de la sesión del usuario cuando se cierre el navegador web. Algunas cookies extremadamente persistentes que pueden persistir después de la eliminación se denominan "Evercookies". Uso de cookies DotForce no utiliza Evercookies. Todas nuestras cookies caducan automáticamente, después de lo cual se eliminarán de su dispositivo. Nuestras cookies no contienen ninguna información que lo identifique personalmente, pero la información personal que almacenamos sobre usted puede ser vinculada, por nosotros, a la información almacenada y obtenida de las cookies. Podemos utilizar la información que obtenemos de su uso de nuestras cookies para los siguientes propósitos. - Para reconocer su computadora cuando visita nuestro sitio web; - Para mejorar la usabilidad del sitio web; - Para analizar el uso de nuestro sitio web; - En la administración de este sitio web; - Cookies de terceros Cuando utiliza nuestro sitio web, también puede recibir cookies de terceros. Nuestros proveedores de servicios pueden enviarle cookies. Pueden usar la información que obtienen de su uso de sus cookies: - Para rastrear su navegador a través de múltiples sitios web; - Para construir un perfil de su navegación web; - Para dirigir anuncios que puedan ser de su interés particular.   Desactivación y/o eliminación de cookies Los navegadores web permiten a los usuarios controlar o eliminar cualquiera o todas las cookies almacenadas en el navegador, esta funcionalidad es común en la mayoría de los navegadores. La mayoría de los navegadores le permiten negarse a aceptar cookies. Por ejemplo: en Internet Explorer puede rechazar todas las cookies haciendo clic en "Herramientas", "Opciones de Internet", "Privacidad" y seleccionando "Bloquear todas las cookies" con el selector deslizante en Firefox puede bloquear todas las cookies haciendo clic en "Herramientas", "Opciones" y desmarcando "Aceptar cookies de sitios" en el cuadro "Privacidad". Sin embargo, bloquear todas las cookies tendrá un impacto negativo en la usabilidad de muchos sitios web. Lista de Cookies Nuestros sitios web y servicios pueden utilizar cualquiera o todas las siguientes cookies: Nombre: _gid Propósito: Esta cookie es utilizada para Google Analytics Tipo: Persistente Duración: 3 Meses  Cookies pasadas y activas Si ha deshabilitado una o más cookies analíticas o de contenido, es posible que aún tengamos información recopilada de cookies que no hayan expirado antes de que se establezca su preferencia deshabilitada. Sin embargo, dejaremos de usar las cookies deshabilitadas para recopilar más información. Una vez que las cookies no caducadas hayan caducado, se eliminarán de su sistema.

Cerrar aviso