GUÍA DE FACTORES DE AUTENTICACIÓN

Con esta guía de factores de autenticación conocerás los factores más utilizados para autenticación 2FA (Autenticación de 2 Factores), MFA (Autenticación Multifactor) y Passwordless (Autenticación sin contraseñas), con una breve descripción y una enumeración de las principales ventajas y desventajas de cada uno.

En DotForce proveemos soluciones que utilizan estos factores de autenticación, como la llave multiprotocolo YubiKey, la solución Passwordless MFA de HYPR o la plataforma de gestión de identidades y acceso a aplicaciones OneLogin. En cada método explicaremos cuáles de esas soluciones son compatibles y de qué manera.

Este es el índice de la guía de factores de autenticación:

 

  1. Estándares FIDO
    1. WebAuthn (FIDO2)
    2. FIDO U2F
  2. Biometría
  3. Inicio de sesión único (SSO)
  4. Smart Cards
    1. PIV
    2. Open-PGP
  5. Contraseñas de un solo uso (OTP)
    1. SMS
    2. OATH-TOTP
    3. YubiOTP
    4. OATH-HOTP
    5. Challenge-Response
  6. Otros
    1. Contraseña (estática)
    2. PIN
    3. Notificaciones push
    4. Preguntas “secretas”

Factores de Auntenticación (i): FIDO

Los estándares FIDO son factores de autenticación diseñados para convertirse en el estándar de facto, especialmente para inicios de sesión en la nube, pero no limitados a ese caso de uso. Han sido creados por la FIDO Alliance, una alianza que comprende compañías tecnológicas y bancarias de todo el mundo como Microsoft, Google, Apple, Amazon, Samsung, Intel, Qualcomm, PayPal, American Express, Mastercard, Visa, RSA, HYPR o Yubico entre otros.

1.1. WebAuthn / FIDO2

WebAuthn es un estándar perteneciente al proyecto FIDO2 oficialmente publicado en 2019. Al igual que U2F, utiliza criptografía de clave pública, aunque WebAuthn, entre otras mejoras, permite acceder a una aplicación o dispositivo sin utilizar contraseñas (Passwordless).

WebAuthn supone un gran avance no solo en seguridad, sino también en rapidez de acceso, mejorando la experiencia de usuario y reduciendo costes en las empresas. Este estándar va más allá de ser un simple (o múltiple) factor de autenticación, ya que es un estándar que gestiona la autenticación con criptografía de clave pública más un factor adicional como biometría o un PIN

WebAuthn es compatible con los navegadores más habituales en los sistemas operativos más utilizados. No obstante, su uso no se limita a un navegador. En entornos corporativos ya es posible iniciar sesión en Windows 10 sin contraseñas de forma segura con una llave de seguridad o un smartphone.

 
WebAuthn es compatible con
HYPR
HYPR se basa en FIDO2 para casi todos sus casos de uso para poner a disposición de sus usuarios un método Passwordless resistente al phishing. Convierte a un smartphone en un dispositivo tan seguro como una llave de seguridad FIDO2, y facilita la autenticación Passwordless con llaves de seguridad FIDO2 en muchos casos de uso.
OneLogin
OneLogin dispone de WebAuthn como su factor MFA y Passwordless  más robusto para asegurar el inicio de sesión del usuario a su Plataforma de Identidad y Acceso a Aplicaciones.
Yubico
Tanto la YubiKey 5 en todos sus formatos como la Security Key NFC son totalmente compatibles con WebAuthn. No en vano, Yubico y Microsoft fueron los principales impulsores del Proyecto FIDO2.

Ventajas

  • Múltiples factores de autenticación muy seguros.
  • Válido tanto para 2FA / MFA como para autenticación Passwordless (sin contraseñas).
  • En el caso de autenticación Passwordless, sustituye la introducción de credenciales, mejorando la productividad y la seguridad.

Desventajas

  • Únicamente que aún no esté implementado en todos los servicios web.

1.2. FIDO U2F (Universal 2nd Factor)

En un contexto en el que las OTP eran el principal factor adicional de autenticación, Yubico se alió con Google para desarrollar un factor de autenticación resistente al phishing, ataques MiTM, malware, etc.  Corría el año 2012 cuando se acordó iniciar este proceso, y finalmente en 2014 se hizo el lanzamiento oficial.

U2F es un estándar que utiliza criptografía de clave pública que, como su propio nombre indica, solo se utiliza como segundo factor de autenticación. Para ello se utiliza una llave física compatible. El usuario debe tener la llave conectada al dispositivo y, tras introducir sus credenciales, simplemente debe dar un toque a la llave.

Por lo tanto, el factor es doble en sí mismo: primero, es algo que el usuario tiene, la llave con un certificado de clave pública, y algo que es, puesto que aunque no utilice biometría, se demuestra que detrás del intento de inicio de sesión hay un usuario real y no un proceso malicioso.

Este método es resistente al phishing, ataques MiTM, malware y cualquiera de las ciberamenazas más comunes.

FIDO U2F es compatible con
Yubico
Las llaves de seguridad de Yubico son compatibles con U2F para autenticarse vía MFA.

Ventajas

  • Factor de autenticación seguro.
  • Muy rápido, apenas añade tiempo al proceso de autenticación.

Desventajas

  • Aunque es un factor de autenticación muy rápido y resuelve el problema de seguridad de las contraseñas, sigue siendo un factor 2FA / MFA, lo que quiere decir que habitualmente esto significa que el usuario tiene que emplear demasiado tiempo en teclear contraseñas, además de tener que recordar muchas de ellas o necesitar un gestor de contraseñas.

Factores de Auntenticación (ii): BIOMETRÍA

2. Biometría

La biometría es la toma de medidas de características físicas o biológicas que se pueden utilizar para identificar a una persona. Los reconocimientos biométricos más comunes utilizados para autenticar a un usuario son de las huellas dactilares, el rostro y el iris.

Dado que considera que los datos biométricos son únicos para cada persona, este es un método a priori muy seguro para autenticar a un usuario.

No obstante, el tratamiento de los datos biométricos debe realizarse con mucha precaución, ya que el robo de datos biométricos puede llegar a ser más peligroso que el robo de una contraseña, tal y como ya vimos en el artículo de nuestro blog Llaves de Seguridad o Biometría para autenticación. En resumen, el principal problema es que mientras que es muy fácil cambiar una contraseña, no podemos cambiar los datos biométricos de un usuario. Por tanto, un robo masivo de datos biométricos, como ya ha ocurrido en el pasado, puede suponer una grave amenaza de por vida para miles e incluso millones de usuarios. Por ello, las bases de datos que almacenen datos biométricos de sus usuarios deben tener la máxima protección posible.

Entonces, ¿significa esto que nos estamos poniendo en riesgo cuando configuramos datos biométricos en nuestros ordenadores y smartphones? Nada más lejos de la realidad. Desde hace años, estos dispositivos vienen equipados con una tecnología que mantiene seguros nuestros datos biométricos. Esto es porque las tareas de almacenamiento y verificación de los datos biométricos se realizan por un chip protegido y aislado del resto del hardware, de forma que ni el sistema operativo ni un supuesto malware podrían acceder a estos datos biométricos.

Como ya hemos comentado en el apartado de WebAuthn / FIDO2, la biometría es un método seguro y muy rápido para utilizar con FIDO2 en autenticación MFA o Passwordless.

La biometría es compatible con
HYPR
Cuando se configura HYPR para iniciar sesión sin contraseñas desde un smartphone, como factor adicional de autenticación se puede elegir entre Biometría, un PIN o incluso ambos. En este caso, los datos biométricos de cada usuario se guardan de forma segura en su propio dispositivo.
OneLogin
Aunque OneLogin no dispone de biometría de forma nativa, son muchos los casos de uso en los que se utiliza de forma indirecta. Por ejemplo, OneLogin Desktop permite utilizar el inicio de sesión en Windows con HYPR, Windows Hello o Mac Touch Id para iniciar sesión de forma automática en OneLogin, ¡incluso sin contraseña! Y cuando no se puede utilizar OneLogin Desktop, por ejemplo en equipos ajenos a la organización, HYPR también permite el acceso Passwordless gracias a la biometría, entre otros factores de autenticación.
Yubico (próximamente)
La YubiKey Bio permite autenticación Passwordless MFA simplemente con un toque biométrico a la llave. Los datos biométricos del usuario se almacenan de forma segura en la llave.

Ventajas

  • Método muy fiable para verificar la identidad de un usuario
  • Muy rápido.

Desventajas

  • Un robo de datos biométricos, que puede darse en un servidor que almacene multitud de registros biométricos, es una amenaza para los usuarios.

Factores de Auntenticación (iii): SSO

3. Inicio de sesión único (Single Sign-On – SSO)

El inicio de sesión único o SSO representa el escenario ideal de autenticación. En este escenario, el proceso de inicio de sesión se seguro y rápido, sin solicitar al usuario interacción alguna. Simplemente elige la aplicación a la que desea acceder, y esta se abre con la sesión del usuario ya iniciada. 

El aprovisionamiento de usuarios a cada aplicación también puede ser automatizado según los criterios especificados: departamento, cargo, sede, …, tanto para usuarios internos como externos, incluyendo empresas colaboradoras o contratistas entre otros.

Igualmente, las políticas de seguridad también pueden ser asignadas a distintos usuarios o grupos de usuarios de forma manual o automatizada. A ello se une la monitorización de todas las acciones que realice el usuario.

Este aprovisionamiento se puede realizar desde el/los directorio/s de los que la compañía disponga, habitualmente Active Directory, Azure AD, LDAP, Google Workspace (antes G-Suite) entre otros, y permanentemente sincronizado. Esto significa que se puede programar qué sucede si un usuario es eliminado de su directorio, por ejemplo, denegar acceso a todas las aplicaciones o incluso eliminar definitivamente su perfil.

SSO puede considerarse un factor de autenticación, ya que puede autenticar al usuario en casi cualquier aplicación, aunque requiere que el usuario previamente se autentique en la plataforma de SSO. Por supuesto, el acceso a esta plataforma debe cumplir altos requisitos de seguridad mediante autenticación MFA o incluso Passwordless.

SSO es compatible con
HYPR
A pesar de que las principales plataformas de SSO disponen de opciones de acceso Passwordless, hay muchos casos de uso donde esa opción no está disponible. HYPR viene a llenar ese vacío para facilitar autenticación Passwordless en multitud de casos de uso en los que no es posible hacerlo de forma nativa.
OneLogin
El principal cometido de la Plataforma de OneLogin es el de ofrecer acceso SSO, no solo a los usuarios de una organización, sino también a los usuarios externos y colaboradores si así se desea. Sus integraciones con HYPR y Yubico refuerzan la seguridad y mejoran la experiencia de usuario.
Yubico
Cualquier plataforma que facilite SSO debe ser compatible con la YubiKey, al menos vía FIDO. Algunas como OneLogin no solo lo ofrecen vía FIDO2, sino también con YubiOTP.

 

Ventajas

  • Un único inicio de sesión para acceder a todas las aplicaciones.
  • Autenticación muy segura para acceder a todas las aplicaciones.
  • Detallada monitorización de los accesos de los usuarios a las aplicaciones.

Desventajas

  • Puede ser complejo de implementar en organizaciones sin una estructura bien definida.

Factores de auntenticación (iv): Smart Card

Las Smart Cards son uno de esos dispositivos que usamos mucho más de lo que pensamos. Más allá del escasamente utilizado DNI electrónico, las tarjetas de pago con chip son, quizá, la Smart Card más utilizada del mundo.

No obstante, su uso con ordenadores o dispositivos móviles no es muy amplio, debido a que su interfaz no es la más amigable. La YubiKey, en formatos USB, NFC y Lightning, puede funcionar como una Smart Card, solventando el principal problema para la adopción de Smart Cards.

La YubiKey permite almacenar certificados tanto para verificar la identidad del usuario, como para cifrar correo electrónico. Aunque este último caso (cifrado con OpenPGP) queda fuera de los factores de autenticación, dada su naturaleza, consideramos que es necesario incluirlo en esta lista.

4.1. PIV (Personal Identity Verification)  

La utilización de certificados permite autenticar al usuario de forma segura. El usuario utiliza un certificado para firmar con la clave privada, que nadie conoce y está almacenada de forma segura, la solicitud de inicio de sesión.

Los certificados están protegidos por un PIN y por un PUK que se debe cambiar antes de que la llave sea utilizada.

Según el servicio, la Smart Card puede ser utilizada tanto como segundo factor de autenticación, como de factor de autenticación Passwordless, es decir, sin contraseñas.

Precisamente, el caso de uso más popular de la YubiKey es la autenticación de usuarios de Active Directory, gracias a que no se requiere de hardware adicional y a su flexibilidad que permite a los administradores inscribir los certificados en nombre del usuario, así como la auto-inscripción de los certificados por parte del usuario. En Windows, se recomienda la instalación del Yubico Minidriver para habilitar todas las funcionalidades de la YubiKey como Smart Card para PIV.

 

Otra opción es utilizar una solución de autenticación más completa como HYPR que además de facilitar la emisión de certificados para los usuarios de la organización, permite que también utilicen el smartphone para acceder a sus cuentas de Active Directory, utilizando un método resistente al phishing con tecnología FIDO2. Cada usuario puede disponer de ambas opciones o elegir entre una de ellas.

PIV mediante Smart Card es compatible con
HYPR
HYPR no solo ayuda a gestionar la emisión de certificados y la auto-inscripción de certificados en llaves de seguridad para cuentas de Active Directory on-premise. Además, permite utilizar un smartphone como alternativa al inicio de sesión con certificados, utilizando FIDO2, en cualquier equipo del dominio, incluso si el equipo de escritorio, el smartphone o ambos están offline.
Yubico
Ya YubiKey tiene funcionalidad de Smart Card con múltiples opciones. La gestión de certificados puede ser realizada de forma sencilla con varios métodos disponibles. Además, dado que dispone de interfaces USB-A, USB-C, NFC y Lightning, es compatible con casi cualquier dispositivo Windows, Mac, Linux, iOS o Android.

Ventajas

  • Sistema de autenticación seguro.
  • La YubiKey como Smart Card es compatible con todo tipo de equipos de escritorio y dispositivos móviles.

Desventajas

  • Su despliegue puede ser complejo.

4.2. OpenPGP

PGP (Pretty Good Privacy) es un programa de cifrado fundado en 1991 por Phil Zimmermann para la firma, cifrado y descifrado de todo tipo de documentos, archivos y mensajes. Debido a problemas con patentes de PGP, se inicia el desarrollo de OpenPGP como estándar abierto de cifrado y firma, publicado en 1997.

En la actualidad, OpenPGP habilita la firma y el cifrado mediante algoritmos RSA o ECC utilizando la clave privada de un certificado almacenado en una Smart Card, como la YubiKey, a través de interfaces comunes como PKCS#11, y es utilizado para el envío seguro de emails.

También en 1997 nace GPG (GNU Privacy Guard), una herramienta software que utiliza el estándar OpenPGP y que tiene licencia GPL. Esta herramienta se puede instalar tanto en Windows como en macOS, mientras que en Linux viene preinstalada en las distribuciones más comunes.

 
OpenPGP es compatible con
Yubico
Ya YubiKey tiene funcionalidad de Smart Card con múltiples opciones. La gestión de certificados puede ser realizada de forma sencilla con varios métodos disponibles. Además, dado que dispone de interfaces USB-A, USB-C, NFC y Lightning, es compatible con casi cualquier dispositivo Windows, Mac, Linux, iOS o Android.

Ventajas

  • Estándar abierto.
  • Como todos los sistemas de criptografía de clave pública, es muy seguro.

Desventajas

  • Sistema complejo de configurar y utilizar para muchos usuarios.

Factores de Autenticación (V): OTP

La mayoría de nosotros hemos utilizado las contraseñas de un solo uso (OTP por sus siglas en inglés) en alguna ocasión, al menos vía SMS. Los distintos factores de autenticación con OTP se utilizan habitualmente como factor adicional de autenticación. Se trata de una contraseña que, en teoría, solo el usuario y el servicio remoto conocen y que, por lo tanto, sirve para verificar su identidad.

Tras su aparición, y durante muchos años, este sistema supuso una mejora importante de la seguridad. Actualmente, las OTP siguen siendo muy utilizadas, aunque poco a poco están siendo reemplazadas por sistemas más rápidos, robustos y seguros.

 

5.1. SMS

El SMS es el segundo factor de autenticación más utilizado. La mayoría de nosotros recibimos varias veces a la semana un SMS que debemos introducir para autenticarnos o para aprobar una transacción.

De hecho, si lo estamos haciendo en nuestro smartphone, lo más probable es que ni siquiera tengamos que teclearlo, ya que el propio dispositivo lo hace de forma automática.

Además de las habituales vulnerabilidades asociadas a las OTP, el SMS es muy vulnerable al malware, por no hablar de los múltiples métodos de interceptarlos o del SIM-Swapping.

No en vano, el SMS es el segundo factor de autenticación que más veces es violado, y no solo por ser muy utilizado, sino por ser muy vulnerable por naturaleza.

Afortunadamente, el SMS está siendo sustituido paulatinamente por factores más robustos.

 
El SMS es compatible con
OneLogin
Aunque el SMS como 2FA es un método poco seguro, OneLogin lo ofrece para casos en los que no es posible establecer otro factor de autenticación para acceder a la plataforma. Por supuesto, los administradores de la plataforma de OneLogin pueden desactivarlo para algunos o todos los usuarios.

Ventajas

  • Fácil de configurar, solo es necesario especificar el número del teléfono móvil.

Desventajas

  • Muy vulnerable a multitud de amenazas distintas.

5.2. OATH-TOTP

Aunque no es tan popular como el SMS, OATH-TOTP es un sistema muy utilizado. En este caso, también utilizaremos un código, habitualmente de 6 cifras, como factor de autenticación. Este código se genera utilizando un secreto compartido que llamaremos semilla y está basado en tiempo, es decir, cambia cada 30 segundos (valor por defecto).

Para generar el código el usuario debe instalar un autenticador en su smartphone. Los autenticadores más conocidos son los de Google o el de Microsoft, aunque existen otros como el Yubico Authenticator, que también está disponible para PC y solo funciona si se dispone de una YubiKey, lo que le da una mayor versatilidad.

Para configurar una cuenta normalmente se escanea un código QR con el Autenticador, aunque también se puede configurar de forma manual.

OATH-TOTP fue publicado oficialmente en 2011 y venía a sustituir a OATH-HOTP, sistema basado en eventos del que hablamos en el siguiente punto.

A pesar de que es un sistema menos vulnerable que el SMS, también es vulnerable a diversas amenazas, como el phishing, ataques MiTM, ingeniería social e incluso, según qué tipo de autenticador se utilice, al malware.

 
OATH-TOTP es compatible con
OneLogin
OneLogin ofrece la opción OATH-TOTP para acceder a la plataforma como 2FA. Por supuesto, los administradores de la plataforma de OneLogin pueden desactivar este método para todos los usuarios o para los grupos de usuarios que requieran factores de autenticación más seguros.
Yubico
Como ya se ha comentado, la YubiKey es compatible con OATH-TOTP. A diferencia de otros autenticadores, tiene la versatilidad de que las cuentas quedan guardadas en la llave, por lo que se puede obtener la OTP en cualquier dispositivo. Además, se pueden proteger con un PIN.

Ventajas

  • Estándar abierto y popular.
  • Si se utiliza con una YubiKey, no es necesario teclear el código.

Desventajas

  • Como con todas las OTP, se requieren otros factores adicionales de autenticación.
  • Se necesita una aplicación de autenticación o un dispositivo físico que muestre la OTP.
  • La mayoría de autenticadores solo tienen versión para smartphone.

5.3. YUBIOTP 

YubiOTP, también conocida como Yubico OTP, es un sistema de OTP basado en eventos para utilizar con la YubiKey. La OTP es validada por el servicio YubiCloud, gestionado por Yubico.

Todas las YubiKey vienen configuradas de fábrica para utilizar YubiOTP, por lo que la implementación y la puesta en marcha es muy rápida. Además, el usuario no necesita utilizar ninguna aplicación adicional, con un simple toque la clave es insertada automáticamente en todo tipo de dispositivos.

 
YubiOTP es compatible con
OneLogin
OneLogin ofrece la opción YubiOTP para acceder a la plataforma como factor 2FA.
Yubico
Como ya se ha comentado, es un sistema gestionado por Yubico, y compatible con la YubiKey.

Ventajas

  • Estándar soportado por Yubico.
  • En ningún momento el secreto compartido está expuesto o es enviado.
  • El código es insertado con un toque a la llave.
  • El usuario no tiene que configurar la llave, ya que viene configurada de fábrica.

Desventajas

  • Aunque resuelve algunas vulnerabilidades comunes en las OTP, sigue siendo necesario contar con otros factores de autenticación adicionales.

5.4. OATH-HOTP

El factor de autenticación OATH-HOTP, publicado en 2005, es un sistema de OTP escasamente utilizado en la actualidad, aunque algunas soluciones corporativas lo siguen usando. A efectos prácticos el funcionamiento es parecido a OATH-TOTP, con la diferencia fundamental de que a diferencia de este, OATH-HOTP está basado en eventos. Esto quiere decir que el autenticador genera los  códigos de forma secuencial, en lugar de generarlos de forma periódica como lo hace OATH-TOTP (cada 30 segundos por defecto).

Además de las ya mencionadas en OATH-TOTP, OATH-HOTP tiene más vulnerabilidades. Por ejemplo, un código robado puede ser válido durante mucho tiempo.

No obstante, tiene como ventaja que si se configura en una YubiKey, la OTP se puede insertar con un simple toque a la llave. Para configurarlo se puede utilizar el YubiKey Manager, el Yubico Authenticator y la aplicación legacy YubiKey Personalization Tool.

 
OATH-HOTP es compatible con
Yubico
Como ya se ha comentado, la YubiKey es compatible con OATH-HOTP, permitiendo insertarla con un simple toque a la llave.

Ventajas

  • Estándar abierto.
  • Si se utiliza con una YubiKey, el código se puede insertar con un simple toque a la llave.

Desventajas

  • Sistema vulnerable y obsoleto.

5.5. Challenge-Response 

Challenge-Response es otro factor de autenticación desarrollado por OATH. A diferencia de los dos anteriores, donde se establece una sincronización de las OTP por tiempo o por evento, este sistema lanza un desafío que debe ser firmado por el autenticador, por ejemplo, una YubiKey.

Una aplicación popular que utiliza este sistema es Yubico Login for Windows, compatible para cuentas locales. Este sistema no es válido para cuentas de AD o Azure AD o para usuarios que utilicen Escritorio Remoto.

 
Challenge-Response es compatible con
Yubico
Como ya se ha comentado, la YubiKey es compatible con Challenge-Response, permitiendo insertarla con un simple toque a la llave.

Ventajas

  • Estándar abierto.
  • Si se utiliza con una YubiKey, el código se puede insertar con un simple toque a la llave.

Desventajas

  • No es el sistema más seguro que existe, pero sí una opción interesante en algunos casos offline donde no hay mejores alternativas.

Factores de Auntenticación (VI): Otros

Además de los factores de autenticación anteriormente tratados, hay otros más genéricos que deben ser contemplados para entender sus limitaciones y sus posibilidades de uso.

Mientras que desde DotForce disponemos de soluciones para implementar todos los factores de autenticación anteriores, nuestras soluciones no contemplan los siguientes factores. En realidad, sí pueden ser implementados con nuestras soluciones, pero en general recomendamos configuraciones que los sustituyen por otros más robustos.

 

6.1. Contraseña (estática) 

El más básico y primitivo de todos los factores de autenticación sigue siendo, paradójicamente, el más utilizado. Actualmente, en casi todas las aplicaciones y servicios en los que iniciamos sesión, necesitamos introducir un nombre de usuario y una contraseña. Incluso cuando se puede iniciar sesión sin contraseña es necesario configurar una contraseña, aunque no sea necesario utilizarla.

Aunque no es necesario explicar en qué consiste este factor de autenticación, sí que debemos recordar que las contraseñas pueden ser interceptadas o robadas al usuario o al servidor remoto. Incluso una contraseña cifrada puede ser útil para un atacante en muchos casos.

Por ello, recomendamos, en la medida de lo posible, establecer contraseñas seguras (largas y con minúsculas, mayúsculas, números y otros caracteres), no reutilizar contraseñas, ni siquiera parcialmente y no compartirlas con nadie.

Pero es importante recordar que incluso siguiendo las mejores prácticas, incluso las contraseñas robustas son vulnerables, por lo que la mejor recomendación es prescindir de las contraseñas siempre que sea posible o, al menos, utilizar un sistema 2FA o MFA.

 
Las Contraseñas estáticas son compatibles con
OneLogin
Para los casos en los que no se configure acceso Passwordless con OneLogin, se puede utilizar la contraseña como uno de los factores de autenticación. Mediante políticas de seguridad, se pueden configurar los requisitos de complejidad de las contraseñas, así como su el plazo de vigencia.
Yubico
Es posible almacenar hasta 2 contraseñas estáticas en una YubiKey. Su uso está totalmente desaconsejado, excepto para guardar cadenas de texto o códigos largos difíciles de teclear, pero no contraseñas de cuentas de usuario.

 

Ventajas

  • Lo mejor de las contraseñas es que cada vez es más fácil reemplazarlas por factores más seguros.

Desventajas

  • Las contraseñas son la principal vulnerabilidad en cualquier organización.
  • Establecer contraseñas complejas totalmente diferentes para cada cuenta es una tarea difícil de gestionar.

6.2. PIN

Aunque el cometido del PIN es el mismo que el de la contraseña, el uso de un PIN es mucho más seguro y amigable que el de una contraseña.

Al igual que una contraseña, un PIN es algo que solo el usuario sabe y que, por lo tanto, puede servir para verificar su identidad. No obstante, mientras que la contraseña se almacena de forma remota y se envía a través de Internet, el PIN se almacena de forma segura en el dispositivo.

Por ello no es necesario que un PIN sea complejo, ni se le han de aplicar políticas tan restrictivas como a las contraseñas.

 
El PIN es compatible con
HYPR
HYPR permite establecer un PIN como uno de los factores de autenticación Passwordless MFA. Los administradores de la plataforma de HYPR pueden permitir y/o exigir cuántos factores debe utilizar el usuario en cada autenticación o firma, así como cuáles de ellos pueden utilizarse en cada caso.
Yubico
Dada la seguridad del PIN, en multitud de casos la YubiKey permite utilizar un PIN como uno de los factores de autenticación MFA y Passwordless. Este PIN puede ser gestionado desde el YubiKey Manager

Ventajas

  • Es un método muy seguro y rápido de utilizar.
  • Es fácil de recordar.

Desventajas

  • Por señalar alguna desventaja, al igual que con todos los factores de autenticación, necesitaremos configurar otros factores de autenticación para recuperar la cuenta en caso de olvido, algo poco habitual.

6.3. Notificaciones Push

Las notificaciones push son un factor de autenticación que requiere que el usuario disponga de un dispositivo de confianza, habitualmente un smartphone.

Al autenticarse o al efectuar una transacción que requiera confirmar su identidad, el usuario recibirá una notificación en su dispositivo, con las opciones de aceptar o rechazar.

Además de esta acción, para que este factor sea seguro, se debe solicitar biometría o un PIN para efectuar una doble confirmación, e incluso ambos si es posible.

En cualquier caso, este factor de autenticación puede ser vulnerable al phishing. Si intentamos iniciar sesión en una app o página web maliciosa que esté suplantando a una legítima, podríamos estar facilitando el acceso a un atacante.

Por ello, es recomendable que las aplicaciones que utilicen las notificaciones push utilicen FIDO para confirmar la identidad del usuario, y que soliciten otro factor de autenticación adicional.

 
Las Notificaciones PUSH son compatibles con
HYPR
Para determinados accesos, HYPR permite el acceso Passwordless con notificaciones push que utilizan FIDO2 y que verifican la identidad del usuario mediante biometría o un PIN, elevando la seguridad al máximo posible con este método. No obstante, para autenticación con cuentas sensibles o firma de transacciones críticas, en lugar de las Notificaciones Push se recomienda utilizar una llave de seguridad, que puede ser gestionada por HYPR y ofrece mayor seguridad.
OneLogin
OneLogin tiene varios casos de uso que permiten utilizar las notificaciones push como uno de los factores de autenticación MFA o Passwordless. Dado que se complementa con otros factores de autenticación, en conjunto el proceso de autenticación es muy seguro.

 

Ventajas

  • Sistema resistente a la mayoría de las vulnerabilidades conocidas.
  • Solo es necesario tener un smartphone para poder utilizar este factor de autenticación.
  • Sin ser el factor más rápido, es más rápido que escribir una contraseña o una OTP.

Desventajas

  • Vulnerable a determinados ataques de phishing.
  • Requiere instalar una app para cada cuenta en la que se configure.

6.4. Preguntas “Secretas”

De todos los factores de autenticación, las preguntas secretas son el método más fácil de quebrantar y menos amigable para el usuario. El sistema plantea distintas preguntas al usuario, cuya respuesta almacena. Si en un futuro el sistema quiere comprobar la identidad del usuario, le vuelve a plantear las preguntas que, en teoría (poco realista), solo el usuario puede contestar.

De hecho, en muchas ocasiones se descifran contraseñas a partir de información personal del usuario debido a que muchos usuarios eligen como contraseña el nombre de una ciudad, de un equipo de fútbol o de su mascota. Aunque añadamos más caracteres, esta práctica pone en riesgo la integridad de la contraseña.

En el caso de las preguntas “secretas” la pregunta incluso nos da una pista de la respuesta. Además, dado que hay preguntas como “en qué ciudad naciste” o “cuál es el nombre del colegio al que fuiste de niño”, es muy sencillo para un atacante obtener la respuesta, que incluso puede encontrarse simplemente accediendo al perfil del usuario en una red social.

Esto es especialmente peligroso sobre todo porque, habitualmente, este factor de autenticación se utiliza como método de recuperación de la contraseña.

A pesar de que actualmente este método apenas se utiliza, sigue habiendo servicios críticos que utilizan este sistema. Esperemos que dejen de hacerlo muy pronto.

 
Las Preguntas Secretas son compatibles con
OneLogin
Aunque al igual que con el SMS, este es un método poco seguro. OneLogin lo ofrece para casos en los que no es posible establecer otro factor de autenticación para acceder a la plataforma. Por supuesto, los administradores de la plataforma de OneLogin pueden desactivarlo para algunos o todos los usuarios.

Ventajas

  • Ninguna, este método es aún más vulnerable que una contraseña.

Desventajas

  • Probablemente es el factor de autenticación más vulnerable que existe.
  • La elección y creación de las preguntas es un proceso largo y tedioso.
  • Puede ser complicado encontrar preguntas que encajen con el usuario, sobre todo cuando las preguntas no están adaptadas al país del usuario.