Métodos de autenticación fuerte: ¿Está usted detrás de la curva?

Consideraciones estratégicas

Comience por comprender su caso de uso. ¿La base de usuarios es pequeña y se concentra en un pequeño conjunto de aplicaciones? Un equipo legal dentro de una gran empresa puede tener que hacer frente a grandes volúmenes de información confidencial almacenada en los sistemas de gestión de documentos y las aplicaciones de descubrimiento electrónico (e-discovery). Una empresa puede decidir que quiere usar, comprar y distribuir un número limitado de dispositivos de hardware para la generación de contraseñas de una sola vez (OTP). Un pequeño número de usuarios que tratan con datos muy valiosos puede justificar enfoques más costosos que otros escenarios.

Por otra parte, para las empresas que proporcionan software como servicio (SaaS) o que tienen un gran número de empleados que utilizan métodos de autenticación fuerte puede no resultar práctico utilizar hardware especializado y en vez de ello optarán por aplicaciones para dispositivos móviles.

Considere cómo la autenticación fuerte funcionará con su infraestructura de autenticación y gestión de identidad existente. Por ejemplo, si su empresa tiene Active Directory Federation Services en Windows Server 2012, puede utilizar la autenticación de certificados o un servicio de terceros, como el agente de autenticación RSA SecurID para Microsoft Active Directory Federation Services o el servicio de validación y protección de identidades de Symantec (VIP).

Los proveedores de la nube, como Amazon Web Services y Microsoft Azure, son cada vez componentes más importantes de la infraestructura empresarial. Idealmente, un fuerte mecanismo de autenticación funcionará tanto en las instalaciones como en plataformas en la nube. Tenga cuidado con la necesidad de soportar varias aplicaciones MFA, como el VIP de Symantec para los sistemas informáticos locales y Google Authenticator para la autenticación de múltiples factores de AWS.

Los servicios de inicio único de sesión (SSO), como Okta y OneLogin, proporcionan beneficios de SSO en entornos de nube y SaaS. Tenga en cuenta cómo se integrará MFA con un organismo de normalización si utiliza uno. ¿Su proveedor de SSO respalda el sistema de MFA elegido? ¿Desea implementar MFA a través del proveedor de SSO si sólo una aplicación garantiza la MFA? Esta pregunta puede ser especialmente importante de realizar si sólo un pequeño número de usuarios necesitan acceder a aplicaciones y datos sensibles que requieren MFA.

Es una práctica bien entendida en la seguridad evitar algoritmos propietarios relacionados con el cifrado. Favorezca los métodos que se basan en normas públicas, que hayan sido objeto de una revisión rigurosa. Los algoritmos propietarios pueden albergar vulnerabilidades imprevistas.

La autenticación de múltiples factores será nueva para muchos usuarios que se han acostumbrado a trabajar con nombres de usuario y contraseñas. Ellos pueden no estar familiarizados con las aplicaciones y dispositivos MFA, por lo que los escritorios de soporte deben estar preparados para las llamadas de asistencia. Guías y tutoriales bien desarrolladas sobre un portal de autoservicio pueden ayudar a reducir la posibilidad de un aumento en las llamadas al centro de soporte.

Una estrategia MFA complementa las contraseñas, no las reemplaza. Todavía es importante hacer cumplir las políticas de contraseñas fuertes. Estas políticas deben incluir la reducción de la vida útil de las contraseñas, longitud mínima y la variedad de caracteres, límites de reutilización y así sucesivamente.

La autenticación fuerte debe ser parte de un amplio conjunto de prácticas de seguridad de la información que incluyen funciones de separación y rotación, monitoreo y registro de eventos en sistemas de gestión de identidades así como la realización de auditorías de rutina.

Tecnologías de autenticación

Los métodos de autenticación fuerte implican típicamente OTP generadas dinámicamente o autenticación basada en certificados y en contextos.

El OTP emplea un dispositivo de seguridad en posesión del usuario y un servidor back-end. El dispositivo de seguridad puede estar basado en hardware, como por ejemplo un llavero de control remoto a prueba de manipulaciones, o basado en software, como por ejemplo, una aplicación de teléfono móvil. Las contraseñas de un solo uso pueden suministrarse también a teléfonos móviles que utilizan SMS. Ambos tipos dispositivos de usuario comparten un secreto con el servidor back-end de autenticación. El secreto se utiliza para generar una OTP limitada en el tiempo. Los dispositivos basados ​​en software tienen la ventaja de una distribución más fácil. Los usuarios simplemente tienen que descargar una aplicación, y las empresas no tienen la sobrecarga de administración del inventario físico de los llaveros.

Hay dos formas comunes para la generación de OTP: basados en tiempo ​​y basados en algoritmos. Los que están basados ​​en el tiempo utilizan el tiempo, junto con un secreto compartido o token, para generar una contraseña. El algoritmo de contraseñas de una sola vez basado en tiempo es un estándar IETF para la generación de contraseñas de vida corta y de una sola vez. Los algoritmos no basados ​​en tiempo empiezan con una función hash y un valor de semilla para generar contraseñas. Después de que se genera la clave de acceso inicial, la contraseña anterior se utiliza como entrada para generar la siguiente contraseña. Otras normas OTP incluyen la S/KEY One-Time Password System (RFC 1760), el sistema de contraseñas de una sola vez (RFC 2289) y el algoritmo de contraseñas de una sola vez basado en MAC.

La autenticación basada en certificados emplea criptografía de clave pública para generar las claves públicas y privadas. Las claves privadas se pueden almacenar en un dispositivo portátil, como una unidad USB, o almacenarse de forma segura en la computadora de un usuario. El uso de un dispositivo basado en USB mitiga el riesgo de que un usuario asegure incorrectamente un archivo de clave privada, pero añade la sobrecarga de administración de otro dispositivo físico.

La autenticación basada en el contexto utiliza la información sobre un usuario, como la ubicación geográfica, para autenticarlo. Este tipo de autenticación se utiliza generalmente en conjunción con otros métodos de autenticación. Para entornos de alta seguridad, por ejemplo, se puede requerir que un usuario proporcione un nombre de usuario, contraseña, OTP y pase una verificación de la ubicación geográfica del dispositivo que inicia la sesión. Otras técnicas incluyen el registro del dispositivo o las huellas dactilares, la reputación de la dirección IP de origen y análisis del comportamiento.

Errores que deben evitarse

La tecnología de autenticación no existe en el vacío. Independientemente del rigor matemático detrás de un método de autenticación, una vez que se implementa –y que funciona en la compleja mezcla de usuarios, aplicaciones e infraestructuras– se introducirán vulnerabilidades. Por ejemplo, Trend Micro documentó el caso de ataques a los clientes de bancos europeos que fueron atraídos a descargar una aplicación maliciosa supuestamente diseñada para generar OTP para sus cuentas bancarias en línea.

La educación de los usuarios finales es esencial y se extiende desde instruir a los usuarios sobre cómo instalar una aplicación OTP para evitar introducir un una OTP en un sitio web sospechoso.

Al igual que con cualquier inversión en TI, los métodos de autenticación deben justificarse sobre la base de que los beneficios son superiores a los costes. Las aplicaciones que gestionan la información a disposición del público no pueden presentar un caso fuerte para la inversión en tecnología de autenticación fuerte. Los sistemas financieros, bases de datos de asistencia sanitaria y otras aplicaciones de gestión de información privada y protegida son los mejores candidatos para el despliegue inicial de la MFA.

El costo de los sistemas MFA ha sido un obstáculo para la adopción. Sin embargo, el empuje hacia la consumerización de métodos de autenticación fuerte puede cambiar la estructura de costos. La Alianza Nacional de Seguridad Cibernética está trabajando con proveedores de servicios de consumo, tales como Google, Dropbox, Microsoft y Facebook para promover mejores prácticas para asegurar las cuentas en línea.

La autenticación de múltiples factores es una práctica de seguridad bien establecida. Aunque existen desafíos para implementar y mantener sistemas de MFA, éstos proporcionan ventajas significativas sobre los mecanismos de autenticación por contraseña única. A medida que los servicios de consumo de las principales compañías de internet y las empresas de servicios financieros presionan por el uso de la MFA, el costo de la tecnología de autenticación puede caer. Al mismo tiempo, la conciencia de los usuarios finales acerca de la necesidad de una autenticación fuerte y el entendimiento de cómo usarlo aumentará. El balance de costos y beneficios está claramente a favor de métodos de autenticación fuerte para muchos casos de uso empresarial.

Sobre el autor: Dan Sullivan es autor, arquitecto de sistemas y consultor con más de 20 años de experiencia en TI, comprometido con la analítica avanzada, arquitectura de sistemas, diseño de base de datos, seguridad empresarial y la inteligencia empresarial. Tiene un grado de maestría en ciencias de la computación y ha escrito extensamente sobre temas que van desde el almacenamiento de datos, cómputo de nube y analítica avanzada hasta la gestión de la seguridad, la colaboración y la minería de texto.