ACTUALIZACIÓN DE SEGURIDAD EN INTERNET: Autenticación de dos factores y autenticación multifactor

A mediados de la década de 1980, cuando comencé mi viaje con la electrónica informática, la gente no tenía varias cuentas en línea como las que tienen hoy. Si tenía algún tipo de “cuenta” relacionada con una computadora, probablemente estaba conectado a una agencia gubernamental, un centro de investigación o algún tipo de academia, utilizando ARPANET, CSNET O NSFNET, los precursores de la Internet moderna.

Alternativamente, si eras como yo y te limitabas a aspiraciones informáticas más modestas, usabas una computadora “doméstica” (la mía era una Commodore 64) y te conectabas a “Sistemas de tablón de anuncios”, que eran similares a la Internet moderna, usando un mostrador. . – Configuración del módem a través de redes telefónicas. También puede suscribirse a servicios de red orientados al consumidor, como FidoNet o Compuserve, que cobran por minuto.

Para acceder a todas estas maravillosas tecnologías, utilizabas, como hoy, una “cuenta”, que consistía en un nombre de usuario (asignado o inventado por ti) y una contraseña. Estas dos cosas abrieron todas las puertas a Internet que tenía. Los requisitos de la contraseña eran simples; la seguridad no era una consideración importante y los delitos cibernéticos eran relativamente raros.

Un avance rápido hasta el día de hoy, y las cosas han cambiado dramáticamente. Aunque el crimen en línea se ha disparado hasta alcanzar proporciones pandémicas colosales, todavía utilizamos nombres de usuario y contraseñas. Aunque los requisitos de contraseña se han vuelto más estrictos y la seguridad se ha convertido en un foco de atención, necesitamos más en la lucha para mantenernos seguros en línea; Los nombres de usuario y las contraseñas ya no son suficientes. Ingrese 2FA y MFA.

La autenticación de dos factores (2FA) y la autenticación de múltiples factores (MFA) son términos que describen esencialmente lo mismo: una forma de presentar evidencia adicional (llamada "factores") para demostrar que usted es quien dice ser cuando intenta acceder a un servicio en línea. Todo el proceso se llama “autenticación”, es decir, eres de buena fe, o “auténtico”, el verdadero “tú”.

El antiguo modelo de nombre de usuario/contraseña utiliza sólo un “factor”, que es la contraseña. Una razón para tener otro “factor” es que muchas bases de datos de contraseñas han sido pirateadas y expuestas a cualquiera que quiera mirar. Algunas personas también son culpables de utilizar contraseñas débiles, fáciles de adivinar y que nunca cambian. Otra razón para necesitar otro “factor” es que muchas personas usan la misma contraseña para todas sus cuentas. Tener más factores hace que sea más difícil que la persona equivocada acceda a una cuenta.

Los factores incluyen algo que usted tiene (como una tarjeta bancaria), algo que sabe (como una contraseña o PIN), algo que es (biométrico, como una huella digital u otras características físicas exclusivas de usted) y algún lugar donde se encuentra (como como conectado a una red específica o información de ubicación como GPS).

El uso más común de la autenticación multifactor es enviar un código en un mensaje de texto a su teléfono cuando intenta iniciar sesión en una cuenta en línea. Por ejemplo, inicia sesión en Amazon ingresando su contraseña (el primer factor). Amazon te envía un código que debes ingresar (el segundo factor) y luego podrás usar tu cuenta de Amazon.

Desafortunadamente, aunque todavía se usa ampliamente, ya no se recomienda el uso de mensajes de texto como forma de obtener códigos MFA/2FA. Los malos de Internet han encontrado muchas formas diferentes de piratear el método del texto. De hecho, Microsoft emitió una alerta en noviembre pasado diciendo que, debido a preocupaciones de seguridad, las personas deberían alejarse de la 2FA basada en mensajes de texto y comenzar a usar aplicaciones de autenticación como Authy, Microsoft Authenticator o "token seguro" como YubiKey.

Siguiente columna: cómo utilizar herramientas MFA/2FA como Authy y Yubikey.

Dave Moore, CISSP, ha estado reparando computadoras en Oklahoma desde 1984. Fundador de la organización sin fines de lucro Internet Safety Group Ltd, también imparte seminarios de capacitación comunitaria sobre seguridad en Internet. Puede comunicarse con él al 405-919-9901 o internetsafetygroup.org