¿Cuál es la mejor solución 2FA / MFA?

21 enero 2022
Autenticación

¿Cuál es la mejor solución 2FA / MFA? 

En este artículo repasamos las ventajas y desventajas de las diferentes opciones de autenticación de múltiples factores. También explicaremos cómo Google y Microsoft, entre otros, han abordado el reto de protegernos de las debilidades de las contraseñas estáticas con FIDO2 y WebAuthn, estándar que ha abierto el camino hacia la autenticación segura sin contraseñas fijas o de un solo uso. Por último, veremos cuál ha elegido el prestigioso diario The New York Times como la mejor solución 2FA / MFA en un completo y exhaustivo análisis.

La quimera de elegir una solución

Si tu organización está considerando implementar 2FA (Autenticación de 2 factores), MFA (Autenticación de Múltiples Factores, 2 o más) o autenticación Passwordless (sin contraseñas), probablemente te sientas perdido al tratar de elegir una opción entre el amplísimo abanico de opciones existentes. O quizá ya tengas una solución 2FA pero estés buscando mejorar su seguridad y reducir los tiempos de acceso y las incidencias.

Por poner un ejemplo de ese amplio abanico, compañías como Google, Microsoft, Salesforce, Dropbox, Amazon y otros sitios de comercio electrónico, además de bancos y otras entidades financieras, permiten elegir entre una multitud de opciones 2FA. Después, dentro de cada una de esas opciones hay que elegir entre multitud de fabricantes y proveedores de aplicaciones.

Vulnerabilidad de algunos métodos 2FA

Y, por si fuera poco, por desgracia muchos métodos 2FA son vulnerables y son atacados constantemente por hackers maliciosos. Algunos de los más utilizados son:

– Mensajes de correo electrónico o SMS. Estos métodos son tan utilizados como vulnerables, dado que son susceptibles de ser interceptados a través de ataques de phishing, vishing, malware (incluyendo bots que interceptan las OTP), man-in-the-middle y de ingeniería social.
– Autenticadores como Google Authenticator y dispositivos legacy que proporcionan OTP. También son muy utilizados, pero también son vulnerables a los ataques anteriormente mencionados. Este método se basa en estándares como HOTP y TOTP que utilizan secretos compartidos entre la aplicación de autenticación y el servidor al que se accede. Para que un método 2FA sea seguro no debe utilizar secretos compartidos.
phishing– Otro método inseguro son las notificaciones push en nuestros smartphones, que también son vulnerables a ataques de phishing, entre otros. Además, en muchos casos esas aplicaciones implican un pago recurrente.

Por supuesto, es preferible disponer de un 2FA vulnerable que no disponer de ninguno. Pero ¿por qué elegir una opción vulnerable cuando existe un método más seguro, fácil de usar, rápido y que genera menos incidencias de soporte?

La solución pasa por recurrir a un estándar de confianza

Las grandes compañías tecnológicas conocen estos hechos y por ello fundaron, en 2013, la FIDO Alliance. Su objetivo es crear estándares de autenticación seguros, basados en criptografía de clave pública, que tengan un impacto positivo en la productividad de los trabajadores. Actualmente compañías como Microsoft, Google, Intel, Apple, Samsung, Paypal, American Express, VISA, MasterCard o Bank of America, entre muchos otros, son miembros de esta alianza.

De hecho, incluso Google sentencia que las llaves de seguridad que utilizan protocolos FIDO son el método más seguro en lugar de su Google Authenticator y sus notificaciones push en smartphones. Según un estudio que han realizado durante años entre 350.000 usuarios, las llaves de seguridad fueron el único método de autenticación que mantuvo a sus usuarios 100% seguros ante los robos de cuentas, no solo ante bots automatizados y ataques de phishing, sino también ante los ataques dirigidos.

El último estándar lanzado por la FIDO Alliance, en colaboración con la W3C es WebAuthn (FIDO2). Este estándar permite incluso realizar autenticación Passwordless. La compañía Yubico, fabricante de llaves de seguridad fundada en 2007 en Suecia y con sede central en Silicon Valley desde 2011, es miembro tanto de la FIDO Alliance como de la W3C y fue, junto con Microsoft, el principal impulsor del proyecto FIDO2 para eliminar las contraseñas.

En el siguiente gráfico elaborado por Microsoft, vemos que la autenticación Passwordless mediante FIDO2 es la opción más segura y fácil frente a la autenticación con contraseñas y la autenticación 2FA y MFA:

Conveniencia de la Autenticación Passwordless

fuente: Microsoft – Inicio de sesión sin contraseña de Azure Active Directory

Dadas las ventajas para organizaciones y usuarios, ya hay cientos de fabricantes que han desarrollado aplicaciones compatibles con FIDO2, y otras muchas ya se están desarrollando.

¿Cuál es la mejor llave de seguridad?

Igual que no todos los métodos 2FA y MFA son iguales, no todas las llaves de seguridad lo son. Desde su nacimiento, Yubico es la referencia del sector. Pero, para corroborar la versatilidad, seguridad y fiabilidad de sus productos lo ideal es recurrir a una fuente externa fiable como lo es The New York Times. Tras probar los principales modelos de llave del mercado durante años, el prestigioso diario neoyorquino ha elegido las llaves de seguridad de Yubico.

En primer lugar, ha nombrado a la Security Key NFC como “The best security key for most people”, mientras que la YubiKey 5 fue nombrada como “pick upgrade” (elección mejorada). De la YubiKey 5 destaca que “soporta una lista de protocolos de seguridad más amplia que la Security Key” y que “también ofrece más opciones de conexión […] e incluyen modelos «Nano» del tamaño de una uña”; y concluyen afirmando que “su robusta compatibilidad con más dispositivos y cuentas justifican su mayor precio”.

Respecto a la Security Key, “admite una amplia gama de protocolos y es compatible con la mayoría de los servicios online más utilizados, incluidos Google, GitHub y Dropbox. Está disponible para puertos USB-C como Yubico Security Key C NFC y para puertos USB-A como Yubico Security Key NFC. Este modelo ofrece la mayoría de las ventajas que ofrece nuestra “upgrade pick” (elección mejorada), la serie YubiKey 5, a una fracción del precio. Después de probar las llaves de seguridad durante años y mantenerlas en nuestros llaveros, las consideramos duraderas y fiables. Yubico también proporciona la mejor documentación que hemos visto de cualquier fabricante de llaves de seguridad, y su excelente experiencia introductoria facilita el proceso para quienes la utilizan por primera vez.”, añaden los autores.

Gama de llaves de Yubico 2022, la mejor solución 2FA / MFA

Las llaves de Yubico no comparten secretos.

La crítica positiva hacia Yubico contrasta con su valoración sobre otras marcas que “recibieron críticas de los expertos por la falta de transparencia en el proceso de producción de las llaves, que se fabrican en China”. Esto es algo difícilmente aceptable para dispositivos en los que se confía la seguridad de las organizaciones, incluyendo operadores críticos que manejan recursos públicos de necesidad básica. Por ello, Yubico fabrica sus llaves en Suecia y EEUU.

Conclusión: La mejor opción debe ser segura, fiable y rentable

El resultado final es que con las llaves de Yubico reducimos el tiempo de autenticación de los habituales 20 segundos o más, a 4 segundos para autenticación Passwordless, e incluso a solo 1 segundo cuando se utiliza una llave biométrica. Contando todos los inicios de sesión de todos los usuarios de una organización a lo largo de un año, el ahorro puede llegar a ser millonario, a la vez que evitamos ser víctimas de brechas de seguridad que pueden ocasionar pérdidas también millonarias, además de interrupción en las operaciones y en suministros básicos.

Otros beneficios adicionales son la desaparición de los bloqueos de cuentas y los reseteos de contraseñas, o que las llaves de Yubico siempre están disponibles. Esto es posible porque no necesitan conexión a internet ni baterías, eliminando pérdidas de productividad por falta de conectividad o batería agotada en dispositivos de autenticación.

Para calcular el ahorro que puedes obtener en tu organización al adoptar las llaves de seguridad Yubico, puedes ir a https://www.dotforce.es/calculadoraROIyubikey/.

Desde el anterior enlace también puedes rellenar un formulario solicitando un cálculo personalizado que tendrá en cuenta la situación y el entorno particular de tu organización. También puedes solicitarlo llamando al +34 914 230 991.

PUBLICADO POR:<br>Zane Ryan
PUBLICADO POR:
Zane Ryan
PUBLICADO POR:<br>Zane Ryan
PUBLICADO POR:
Zane Ryan

Artículos relacionados

MFA en SalesForce rápido y seguro

MFA en SalesForce rápido y seguro

por | Dic 9, 2021

MFA en SalesForce rápido y seguro Recientemente, SalesForce anunció que a partir del 1 de febrero de 2022 solo se podrá acceder a su plataforma con autenticación MFA (o SSO). Dado que hay disponibles varias opciones MFA en SalesForce, vamos a exponer las...