Autenticación multifactor (MFA)

La autenticación multifactor (MFA) es un método de identificación de usuarios que presenta dos o más etapas de autenticación separadas. La autenticación de 2 factores (2FA) es el tipo de MFA más utilizado.

Normalmente, la autenticación multifactor requiere una combinación de algo que el usuario sabe, algo que el usuario tiene y, a veces, algo que el usuario es.

• Factores de conocimiento, como contraseñas, PIN o preguntas secretas.
• Factores de posesión, como una tarjeta de acceso, un teléfono o una llave de hardware.
• Factores de inherencia, que son información biométrica, como la huella dactilar, la cara o la voz del usuario.

La autenticación multifactor es importante para proporcionar una seguridad mejorada a tus sistemas críticos. Esto evitará que los atacantes que solo dispongan de uno de estos factores puedan acceder a tus cuentas; por ejemplo, si te roban la contraseña, tendrás otra capa de protección.

Las capas adicionales de MFA podrían activarse en situaciones anormales o específicas, como el inicio de sesión desde un dispositivo, ubicación o franja horaria diferentes.

Algunas de las opciones multifactor más utilizadas son las siguientes:

• Contraseña de un solo uso basada en el tiempo (TOTP): Genera una contraseña de un solo uso utilizando una clave secreta compartida y la hora actual. Estas contraseñas duran poco (entre 30 y 60 segundos) y requieren que los relojes del servidor y del dispositivo estén sincronizados. Por ejemplo, el Autenticador de Google.
• Verificación por SMS: Este método involucra una cosa que el usuario lleva siempre consigo, su teléfono móvil. Por lo tanto, cuando el usuario intente iniciar sesión, se le enviará un SMS al número de teléfono registrado con un código de un solo uso que se utilizará para validar su identidad. Un ejemplo de esto es Duo.
• Token de hardware: Se trata de pequeños dispositivos que pueden estar conectados (como las llaves USB) o desconectados (dispositivos con pantalla incorporada). Poseen la misma clave compartida secreta que el servidor y la utilizan para generar la contraseña. Por ejemplo, Yubikey.

¡Con Auth0, puedes tener MFA implementada en minutos! Puedes utilizar los proveedores preconfigurados o integrar fácilmente cualquier otro proveedor utilizando la extensibilidad de Auth0. Para implementar rápidamente la MFA, realiza los siguientes pasos:

1. En el panel de gestión de Auth0, haz clic en la opción Multifactor Auth (autenticación multifactor).
2. Pulsa el interruptor “Activar autenticación multifactor” para activar la función.
3. Selecciona uno de los proveedores incorporados (Autenticador de Google, Duo, u otros) o conecta el tuyo escribiendo unas pocas líneas de código en la plataforma extensible de Auth0.
4. Personaliza el proveedor. Simplemente, sustituye el marcador de posición por tu Id. de CLIENTE y ¡listo!

Pero las posibilidades no acaban ahí, incluso puedes crear tus propias reglas sobre cuándo se activará la MFA.

El multifactor adaptativo sensible al contexto te permite imponer la MFA o capas adicionales de autenticación basadas en diferentes condiciones tales como ubicación geográfica, hora del día/semana, tipo de red, dominios personalizados, ciertas IP o cualquier condición arbitraria que pueda ser expresada en código en la plataforma de Auth0.

Por defecto, el multifactor solo se solicita una vez al mes, pero puedes hacer que se solicite cada vez que el usuario se conecte, o incluso definir tus propias reglas para activar la MFA.

Puedes definir reglas, por ejemplo, cuando accedas a aplicaciones de misión crítica desde fuera de la intranet de tu empresa, cuando accedas desde un dispositivo diferente o desde una nueva ubicación.

Si estás utilizando un proveedor de MFA diferente o quieres construir el tuyo, puedes utilizar el protocolo de redirección en Auth0.

Para utilizar un proveedor de MFA personalizado, puedes interrumpir la transacción de autenticación y redirigir al usuario a una URL arbitraria donde pueda aparecer un factor de autenticación adicional. Una vez completada (con éxito o no), la transacción puede reanudarse en Auth0 para su posterior procesamiento. El siguiente código muestra lo sencillo que es hacerlo.

function(user, context, callback) {
    if (condition() && context.protocol !== 'redirect') {
        context.redirect = {
            url: 'https://your_custom_mfa'
        };
    }
    if (context.protocol === 'redirect') {
        //TODO: handle the result of the MFA step
    }
    callback(null, user, context);
}

Cumplimos las normas HIPAA y SOC2, lo que le garantiza que cumplimos con todas las prácticas recomendadas de gestión de identidades. Además, si necesitas una capa adicional de seguridad, puedes activar políticas avanzadas como la autenticación multifactor, políticas de contraseñas, protección por fuerza bruta y mucho más con un solo clic.