La autenticación multifactor (MFA) se refiere a un método de autenticación en el que se requiere que un usuario utilice dos o más factores de autenticación antes de que se le conceda acceso al recurso solicitado. Un factor de autenticación es un mecanismo utilizado para realizar la autenticación, como un nombre de usuario y una contraseña, un código de un solo uso, una tarjeta inteligente, etc. Al implementar una estrategia de MFA, cuando un usuario se registra para aprovechar los recursos, las aplicaciones, el servidor web, etc. lo desafían con un segundo factor o más factores de autenticación (de ahí el nombre). Estos múltiples factores de autenticación, que pueden incluir la biometría, por ejemplo, el reconocimiento facial, ayudan a los sistemas a tener mayor confianza en la identidad de sus usuarios. De este modo, el método de MFA contribuye a disminuir la probabilidad de ataques de suplantación de identidad y robo de credenciales.

Probablemente ya haya visto al menos un tipo de MFA en acción si alguna vez recibió un código temporal enviado a través de un SMS a su dispositivo móvil (es decir, teléfono inteligente/teléfono móvil). La combinación de nombre de usuario y contraseña tradicionales y de códigos SMS es un ejemplo de autenticación de dos factores, un subconjunto de la MFA. Por ejemplo, si tiene una cuenta de Facebook o de Google, probablemente haya visto un mensaje de uno de estos servicios animándolo a activar la autenticación de dos factores (2FA). Y, si ha activado esta función en uno de ellos, después de proporcionar su nombre de usuario y contraseña, es probable que haya recibido un código temporal y desechable enviado a su dispositivo móvil que el servicio le pidió que introdujera para completar el proceso de autenticación. Todo el proceso de inicio de sesión utilizaba más de un factor para autenticar la identidad del usuario (la contraseña y el código SMS, también conocido como código de acceso).

Nota: Si utiliza el inicio de sesión único, se recomienda encarecidamente la autenticación multifactor, ya que mitiga los riesgos potenciales de robo de identidad.

Hay muchos diferentes ejemplos de factores que un sistema asegurado con MFA puede utilizar para aumentar su confianza en la identidad de sus usuarios.

• Una contraseña

• Códigos temporales de un solo uso, enviados a una aplicación móvil

• OTP (contraseña de un solo uso) que puede utilizarse con una aplicación web

• Autenticación biométrica en forma de huella dactilar o rostro de un usuario

• Códigos QR, tarjeta inteligente

Debido a que hay muchos tipos diferentes de factores disponibles para la autenticación del usuario final, los especialistas en seguridad los han organizado en tres categorías:

• Conocimiento: Esta categoría se refiere a los factores de autenticación en los que los usuarios tienen que demostrar que saben algo (como una contraseña o la respuesta a una pregunta de seguridad, aunque esta última se utiliza con menos frecuencia, ya que el rastreo en línea de los datos del usuario ha hecho que este método sea menos seguro).

• Posesión: El factor de posesión requiere que los usuarios demuestren que son propietarios de algo (como un dispositivo móvil en el que pueden recibir un código SMS).

• Herencia: La última categoría se refiere a los factores en los que los usuarios tienen que verificar su identidad a través de la biometría (por ejemplo, un escáner de retina o reconocimiento facial o un escáner de huellas dactilares).

Un mecanismo que las aplicaciones modernas están empezando a adoptar para aumentar su seguridad es el uso de la “Autenticación por pasos” como caso de uso. Este mecanismo se basa en la MFA para aumentar la seguridad en partes específicas de una aplicación. En resumen, una aplicación desafía a los usuarios finales a usar factores adicionales solo cuando tratan de acceder a los recursos que son más sensibles que otros.

Por ejemplo, imagine un sistema que requiere que los usuarios se autentifiquen con su nombre de usuario y contraseña para acceder a los datos del cliente. Acceder a esta información podría ser una tarea común que algunos empleados realizan a diario, y usted podría considerar esta actividad como no sensible. Sin embargo, podría considerar que la actualización de esta información o el acceso a más detalles sobre los clientes (como los detalles del contrato) es una tarea sensible que requiere una mayor protección. En esta situación, el uso de la autenticación escalonada sería lo ideal. Cuando los usuarios hacen clic en el botón “editar”, el sistema podría desafiarlos con otro factor para disminuir las posibilidades de acceso no autorizado.

Este enfoque tiende a proporcionar un mejor equilibrio entre la experiencia del usuario y la seguridad de los datos. Es decir, en lugar de desafiar a los usuarios con un factor diferente cada vez que inician sesión, puede dejarles hacer su trabajo diario y asegurar solo los datos que necesitan más protección.

Auth0 es una plataforma de identidad utilizada por miles de clientes en todos los sectores del mercado. Les permite centralizar la gestión de identidades para sus aplicaciones y viene con MFA en su núcleo. Es decir, el proceso de implementación de MFA con Auth0 es una brisa, que consiste en uno o dos simples pasos:

• En primer lugar, inicie sesión en su tablero de Auth0, diríjase a la pantalla de autenticación multifactor y elija los factores que desea habilitar. Puede utilizar tantos factores como desee simultáneamente.

• Luego, según los factores que haya activado, puede que tenga que realizar alguna configuración adicional. Después de eso, sus aplicaciones tendrán una mayor seguridad y estarán protegidas contra las amenazas.

Aparte de la autenticación multifactor, Auth0 también soporta la autenticación por pasos, y el proceso de activación es bastante sencillo también. Para conocer los detalles sobre cómo utilizar Auth0 para asegurar sus aplicaciones con estas funciones de autenticación, consulte la documentación oficial:

• Autenticación multifactor en Auth0

• Autenticación por pasos

Siga leyendo en nuestra página de Introducción a IAM para explorar más temas en torno a la gestión de identidades y accesos.