La autenticación es un término que se refiere al proceso de probar que algún hecho o algún documento sea genuino. En informática, este término se asocia normalmente a la demostración de la identidad de un usuario. Normalmente, un usuario demuestra su identidad proporcionando sus credenciales, es decir, una información acordada y compartida entre el usuario y el sistema.

La combinación de nombre de usuario y contraseña es el mecanismo de autenticación más popular, y también se conoce como autenticación por contraseña.

Un ejemplo muy conocido es el acceso a una cuenta de usuario en un sitio web o en un proveedor de servicios como Facebook o Gmail. Antes de poder acceder a su cuenta, debe demostrar que posee las credenciales de acceso correctas. Los servicios suelen presentar una pantalla que pide un nombre de usuario junto con una contraseña. A continuación, se comparan los datos introducidos por el usuario con los valores almacenados previamente en un repositorio interno.

Si el usuario introduce una combinación válida de estas credenciales, el proveedor de servicios le permitirá continuar y le dará acceso a su cuenta.

Si bien el nombre de usuario puede ser público, por ejemplo, una dirección de correo electrónico, la contraseña debe ser confidencial. Debido a su confidencialidad, las contraseñas deben protegerse de los robos por parte de los ciberdelincuentes. De hecho, aunque los nombres de usuario y las contraseñas son muy utilizados en Internet, tienen fama de ser un mecanismo de seguridad débil que los piratas informáticos explotan con regularidad.

La primera forma de protegerlos es imponer la fortaleza de las contraseñas, es decir, un nivel de complejidad para que los atacantes malintencionados no puedan adivinarlas fácilmente. Como regla general, una combinación compleja de letras minúsculas y mayúsculas, números y caracteres especiales da como resultado una contraseña fuerte. De lo contrario, una mala combinación de caracteres conduce a una contraseña débil.

Los usuarios finales tienden notoriamente a utilizar contraseñas débiles. En un informe anual de SplashData, una empresa de seguridad en Internet, se identificaron las 25 contraseñas más comunes. La lista, basada en millones de contraseñas expuestas por violaciones de datos, muestra que millones de usuarios confían en contraseñas como “123456” y “contraseña” para autenticarse.

Es una cuestión de usabilidad, ya que las contraseñas débiles suelen ser más fáciles de recordar. Además, a menudo reutilizan la misma contraseña con diferentes sitios web o servicios.

La combinación de estas situaciones puede dar lugar a problemas de seguridad, ya que las contraseñas débiles son fáciles de adivinar, y la contraseña filtrada puede utilizarse para acceder a múltiples servicios para el mismo usuario.

Por otro lado, las contraseñas fuertes utilizadas para la autenticación pueden resistir los ataques de fuerza bruta, pero son inútiles contra ataques como el phishing y el software keylogger o el relleno de contraseñas. Este tipo de ataques no intentan adivinar la contraseña del usuario, sino que se la roban directamente.

Las contraseñas también son un problema cuando no se almacenan de forma segura. Por ejemplo, en una noticia reciente, se demostró que Facebook había almacenado millones de contraseñas de Instagram en texto plano. Las contraseñas deben almacenarse siempre utilizando las mejores prácticas, como hashing.

Una categoría específica de credenciales, como el nombre de usuario y la contraseña, suele decirse que es un factor de autenticación. Aunque la autenticación por contraseña es el tipo de autenticación más conocido, existen otros factores de autenticación. Hay tres tipos de factores de autenticación que se suelen clasificar de la siguiente manera:

Algo que se sabe, por ejemplo, una contraseña

Algo que se tiene, por ejemplo, un teléfono inteligente

Algo que se es, por ejemplo, la autenticación biométrica

Algo que se sabe

Este factor de autenticación requiere que el usuario demuestre que sabe algo. Normalmente, será una contraseña o un número de identificación personal (Personal Identification Number, PIN) compartido entre el usuario y el sistema de gestión de identidades y accesos (Identity Access Management, IAM).

Para utilizar este factor, el sistema requiere que el usuario proporcione esa información compartida.

Algo que tiene

En este caso, el usuario tiene que demostrar que tiene algo, como un teléfono inteligente, una tarjeta inteligente, un buzón de correo. El sistema presenta un reto al usuario para asegurarse de que tiene el factor de autenticación requerido. Por ejemplo, puede enviar una contraseña única basada en el tiempo (Time-based One-Time-Password, TOTP) en un mensaje de texto al teléfono inteligente del usuario. O puede enviar un código de texto por correo electrónico.

Algo que se es

Este factor de autenticación se basa en una información que está en el usuario y es inherente a ese usuario (factor de inherencia). Normalmente, esta información es una característica biométrica como las huellas dactilares o la voz. También el reconocimiento facial entra en este tipo de factor de autenticación.

El proceso de autenticación basado en un solo factor se denomina autenticación de factor único.

Este es el caso común de usar simplemente nombres de usuario y contraseñas para la autenticación de usuarios, pero se aplica a cualquier otro factor de autenticación.

Como se ha comentado anteriormente, la autenticación por contraseña puede ser un mecanismo de autenticación débil. Las investigaciones han demostrado que alrededor del 76% de las empresas han sufrido un ataque de phishing, mientras que el 81% de las violaciones de datos se basan en contraseñas robadas o débiles.

Puede utilizar factores de autenticación adicionales para aumentar la seguridad del proceso de autenticación. Por ejemplo, en su cuenta de Google, puede habilitar una transmisión de notificaciones a su dispositivo móvil después de la autenticación habitual basada en el nombre de usuario y la contraseña. En este caso, está utilizando una autenticación de dos factores (2FA), es decir, un mecanismo de autenticación basado en dos categorías de credenciales: algo que sabe y algo que tiene.

Al añadir este segundo factor, su cuenta es más segura. De hecho, incluso si un atacante roba su contraseña, no puede autenticarse porque le falta el segundo factor de autenticación.

Puede combinar múltiples factores de autenticación, aumentando aún más la seguridad de su identidad. En este caso, está utilizando una autenticación multifactor (MFA). Por supuesto, la 2FA es solo una forma de MFA.

Como su nombre indica, la autenticación sin contraseña es un mecanismo de autenticación que no utiliza una contraseña. La principal motivación de este tipo de autenticación es mitigar la fatiga de las contraseñas, es decir, el esfuerzo que requiere el usuario para recordar y mantener segura una contraseña fuerte.

Eliminar la necesidad de memorizar contraseñas también ayuda a hacer inútiles los ataques de phishing.

Se puede hacer una autenticación sin contraseña con cualquier factor de autenticación basado en lo que se tiene y lo que se es. Por ejemplo, puede permitir que el usuario acceda a un servicio o a una aplicación enviando un código por correo electrónico o mediante reconocimiento facial.

Como Auth0 es una empresa de identidad como servicio, la autenticación reside en el núcleo de nuestros servicios. Mensualmente, Auth0 gestiona 2500 millones de procesos de autenticación para ayudar a empresas de todos los tamaños a proteger sus sistemas. Cada uno de los empleados que trabajan en Auth0 está de alguna manera involucrado en hacer que los procesos de autenticación sean más seguros y más fáciles de implementar.

Desde certificaciones de Compliance, como ISO27001 y SOC 2 tipo II hasta las características de seguridad como detección de contraseñas vulneradas, los empleados de Auth0 trabajan todo el día para proporcionar soluciones de autenticación de clase mundial que se ajustan a las necesidades de cada empresa. Si quiere saber más sobre la autenticación o sobre cómo Auth0 puede ayudarle a implementarla de forma segura, consulte esta formación.

Siga leyendo en nuestra página de Introducción a IAM para explorar más temas en torno a la gestión de identidades y accesos.