¿Alguna vez escuchó hablar de la autenticación fuerte?
Muchas personas asimilan ese concepto de autenticación con el de dispositivos OTP (One Time Password), también conocidos como tokens.
El token es un dispositivo electrónico que genera para sus usuarios una secuencia aleatoria de números cuya validez dura sólo unos segundos.
Combinada con un PIN (Personal Identification Number), que debe memorizarse, esta secuencia de números compone la contraseña del usuario.
La autenticación es una manera de asegurar que la persona que se está identificando en un sistema es realmente quien dice ser. Es decir, es un modo de comprobar su identidad.
Todos los días, cuando usted llega a su trabajo y enciende la computadora, probablemente vea una pantalla de autenticación que le solicita su nombre de usuario (su identificación) y su contraseña (autenticación del usuario) para que tenga acceso a los recursos de la red. Y este es el sistema de autenticación de su empresa, que se basa en algo que "usted sabe": la contraseña.
Un sistema de autenticación puede basarse en tres factores básicos:
1. Algo que la persona sabe: contraseña, PIN, número de un documento personal, nombre de algún pariente, etc.
2. Algo que la persona posee: credencial, tarjeta magnética, token, etc.
3. Algo que la persona es: impresión digital, reconocimiento facial, voz, iris, retina, etc.
Se habla de autenticación fuerte cuando un sistema de autenticación utiliza por lo menos dos de los tres factores citados arriba. De este modo, si uno de los factores se ve comprometido, todavía existe un segundo factor que garantiza la seguridad.
Los tokens son conocidos como dispositivos que proveen autenticación fuerte, dado que por más que el usuario pierda el dispositivo, si otra persona se apodera del token extraviado, todavía necesita conocer el PIN para poder autenticarse.
Si bien los dispositivos de OTP permiten la autenticación fuerte, hay muchos otros sistemas que utilizan esta técnica para garantizar la seguridad de sus usuarios. Por ejemplo, cuando usted va a un cajero electrónico para retirar dinero, se le solicita que inserte su tarjeta magnética (algo que usted tiene) y que ingrese su contraseña (algo que usted sabe).
Por esta razón, es necesario ser muy cuidadoso con los sistemas que no proveen autenticación fuerte (credencial de entrada al edificio, login de acceso a la red, contraseña en sitios de Internet, entre otros.), ya que en caso de ser comprometidos, cualquier persona podrá hacerse pasar por usted instantáneamente. Y nunca desatienda ninguno de los dos factores en sistemas que proveen autenticación fuerte, porque es la única manera de garantizar un poco más de seguridad a su identidad.
Fuente:
Walber Alexandre de Castro
Consultor de Seguridad de la información
CISSP – CCNA – ITIL - JNSS.SA – LPI - Security Officer
Global Crossing Brasil – Datacenter & Security
