Inicio de sesión

Autenticación de dos factores (2FA)

Conozca los distintos tipos de autenticación de dos factores y las ventajas e inconvenientes de cada uno.

two-factor-authentication

¿Qué es la autenticación de dos factores?

Autenticación de dos factores (2FA o TFA) es el término técnico para el proceso de requerir que un usuario verifique su identidad de dos maneras únicas antes de que se le conceda acceso al sistema. Tradicionalmente, los usuarios han confiado y están acostumbrados a sistemas de autenticación que les exigen proporcionar un identificador único, como una dirección de correo electrónico, un nombre de usuario o un número de teléfono, y una contraseña o pin correctos para acceder al sistema.

La 2FA amplía este paradigma añadiendo un paso adicional al proceso de autenticación, que por lo general requiere que el usuario introduzca un token de un solo uso que se genera dinámicamente y se entrega a través de un método al que solo el usuario tiene acceso. Otro método habitual es utilizar los datos biométricos del usuario, como las huellas dactilares o la retina, como segundo factor.

Mayor seguridad y tranquilidad

La autenticación de dos factores no es nueva; de hecho, la tecnología se creó allá por 1984. Es cada vez más importante en el mundo moderno, ya que nuestras vidas, tanto personales como empresariales, se trasladan cada vez más a medios digitales y las amenazas de piratería, robo y pérdida de acceso pueden tener consecuencias graves.

Durante años, las empresas han intentado mejorar la seguridad de la autenticación de usuarios al exigir cada vez más requisitos, como la longitud de la contraseña, caracteres especiales, que el usuario cambie su contraseña con frecuencia, algoritmos de hash y sal sofisticados que ocultan la contraseña real y mucho más. Al fin y al cabo, un sistema basado únicamente en contraseñas sigue siendo vulnerable, ya que los usuarios tienden a utilizar la misma contraseña en varios sistemas, las técnicas de phishing e ingeniería social que consiguen que el usuario revele su contraseña sin saberlo son demasiado comunes y muchas otras situaciones pueden llevar a que una contraseña se vea comprometida.

La autenticación de dos factores ofrece tranquilidad al usuario y al administrador del sistema, ya que garantiza que, incluso si la contraseña del usuario se ve comprometida, no se podrá acceder a la cuenta sin conocer no solo el método utilizado como segundo factor, sino también sin tener acceso al segundo factor, como una contraseña de un solo uso (OTP) generada dinámicamente o un token biológico.

Algo que sabes, tienes y eres

La autenticación de dos factores se basa en que el usuario proporcione dos de los tres “algo” siguientes:

  • Algo que sabes: la contraseña o pin de una cuenta
  • Algo que tienes: un dispositivo físico como un teléfono móvil o una aplicación informática que puede generar contraseñas de un solo uso
  • Algo que eres: una característica biológica única en ti, como tus huellas dactilares, tu voz o tus retinas

Aprender la contraseña o el pin de una cuenta es lo que persiguen la mayoría de los hackers. Acceder a un generador de tokens físico o conseguir características biológicas es más difícil y la razón por la que la 2FA es eficaz para proporcionar mayor seguridad a las cuentas de usuario.

Tipos de autenticación de dos factores

Existen numerosas formas de aplicar la 2FA. Todas tienen sus puntos a favor y en contra, pero todas aumentan significativamente la seguridad de las cuentas de usuario cuando se aplican. La clave de todos los métodos que se exponen a continuación es que, una vez que el usuario ha verificado su nombre de usuario y contraseña, se le pide que introduzca una segunda contraseña que se genera dinámicamente y cambia constantemente antes de que pueda acceder al sistema.

Las empresas suelen aplicar normas adicionales sobre cuándo y cómo se utiliza la 2FA. Puede que el usuario no necesite utilizar la 2FA si está dentro de la intranet de la empresa o en un dispositivo en el que ya utilizó la 2FA para iniciar sesión. En otros casos, el usuario puede tener que utilizar la 2FA cada vez que se autentique. Auth0 admite estas y otras reglas de implementación personalizadas para satisfacer las necesidades empresariales.

Token SMS

Quizás es el método más común de implementar la 2FA. Este método envía al usuario un token único a través de un mensaje de texto SMS, normalmente un código de entre 5 y 10 dígitos, después de que haya introducido correctamente su nombre de usuario y contraseña. El usuario debe proporcionar este token único antes de que se le conceda el acceso.

A favor:

  • Facilidad de uso: la mayoría de los usuarios se sienten cómodos recibiendo mensajes de texto
  • Disponibilidad: la mayoría de los teléfonos pueden enviar SMS
  • Costo: bajo costo de instalación y mantenimiento

En contra:

  • Conectividad: señal de móvil y recepción necesarias para recibir el token
  • Seguridad: los mensajes SMS pueden ser interceptados por terceros
  • Hardware: se requiere un dispositivo físico, de modo que si se pierde o si roban el teléfono, el usuario no puede autenticarse

Token de correo electrónico

Otro método bastante común de autenticación de dos factores. Este método es muy similar al método de SMS anterior, pero las implementaciones comunes incluyen hacer que el usuario introduzca un token alfanumérico entre 5 y 10 dígitos o haga clic en un enlace proporcionado en el correo electrónico. Aquí también se utilizan contraseñas de un solo uso generadas dinámicamente.

A favor:

  • Fácil de usar: los usuarios pueden recibir correos electrónicos tanto en equipos como en dispositivos móviles
  • Costo: bajo costo de instalación y mantenimiento
  • Opciones: puede ofrecer al usuario opciones adicionales para verificar el token, como hacer clic en un enlace

En contra:

  • Entrega: el correo electrónico puede fallar en su entrega de muchas maneras, incluidas que el correo electrónico vaya a spam, sea rebotado por el servidor, quede en cola de entrega causando un retraso en la entrega, etc.
  • Seguridad: los correos electrónicos pueden ser interceptados por terceros y los tokens pueden verse comprometidos
  • Redundancia: si un tercero consigue acceder a las credenciales de los usuarios, es posible que también pueda acceder al correo electrónico y obtener así fácilmente el token

Token de hardware

Este método es habitual en entornos empresariales, pero puede utilizarse en cualquier sistema. Este método consiste en entregar al usuario un dispositivo físico, como un llavero, una llave USB u otro dispositivo que genere dinámicamente un token para el usuario. Por lo general, estos tokens solo son válidos durante breves períodos de tiempo, algunos de tan solo 30 segundos, y cambian constantemente.

A favor:

  • Autónomo: no requiere recepción, conectividad en línea ni otros factores para generar tokens
  • Fiables: los tokens de hardware están diseñados específicamente solo para generar tokens
  • Seguros: como estos dispositivos solo realizan una tarea, los posibles vectores de explotación se reducen considerablemente

En contra:

  • Costo: alto costo de instalación y mantenimiento
  • Hardware: los dispositivos pueden extraviarse, olvidarse o perderse con facilidad
  • Demasiados dispositivos: tener un dispositivo de hardware para múltiples servicios puede hacer que el usuario no quiera usar la 2FA

Token de software

Los tokens de software requieren que el usuario descargue e instale una aplicación que se ejecuta en tu equipo o dispositivo móvil y que genera dinámicamente tokens para el usuario. Con el auge de los teléfonos inteligentes, este método está ganando popularidad. Los tokens de software funcionan de forma similar a los tokens de hardware en el sentido de que se generan aleatoriamente y duran un breve período antes de cambiar, pero los desarrolladores pueden elegir varias implementaciones diferentes para satisfacer las necesidades de la empresa.

A favor:

  • Fácil de usar: las aplicaciones suelen tener interfaces sencillas que se limitan a mostrar el token al usuario
  • Actualizaciones: facilidad para actualizar el software y aplicar parches cuando sea necesario
  • Extensibilidad: posibilidad de añadir funciones mejoradas, como exigir un pin para acceder a la aplicación o utilizar una única aplicación para varias cuentas

En contra:

  • Costo: caro de implementar y mantener
  • Software adicional: requiere que el usuario descargue e instale software adicional en sus dispositivos
  • Seguridad: la aplicación utilizada para generar el token puede verse comprometida sin que el usuario lo sepa

Llamada telefónica

Este método de 2FA llama al usuario una vez que ha autenticado su nombre de usuario y contraseña, y le proporciona el token. Este es quizás el método más incómodo para el usuario final, pero es un método viable y común para entregar tokens dinámicos al usuario.

A favor:

  • Fácil de usar: tan sencillo como recibir una llamada telefónica
  • Costo: bajo costo de instalación y puesta en marcha
  • Fiabilidad: por lo general, la recepción de voz/SMS requiere menos ancho de banda que los datos, por lo que puede ser una buena alternativa a la verificación por software o correo electrónico cuando se requiere una conexión de datos

En contra:

  • Seguridad: las llamadas pueden ser interceptadas, desviadas o los mensajes de voz pirateados
  • Conectividad: se requiere señal y recepción de móvil
  • Hardware: requiere un dispositivo físico para recibir el token

Verificación biométrica

Este método de 2FA es único y diferente de los otros que hemos mencionado hasta ahora. La verificación biométrica se basa en que el usuario real sea el token. Una característica única, como las huellas dactilares o la retina del usuario, se utiliza para verificar que el usuario es quien dice ser.

A favor:

  • El usuario se convierte en el token: ¡sé tú mismo!
  • Opciones: muchas opciones diferentes para el token, incluidas huellas dactilares, retina, voz y reconocimiento facial
  • Fácil de usar: el usuario final debe tener un conocimiento mínimo del funcionamiento de los sistemas

En contra:

  • Privacidad: el almacenamiento de datos biométricos plantea problemas de privacidad
  • Seguridad: las huellas dactilares y otros datos biométricos pueden verse comprometidos y no pueden modificarse
  • Hardware adicional: requiere dispositivos especiales para verificar los datos biométricos: cámaras, escáneres, etc.

Implementación de la autenticación de dos factores con Auth0

Implementar la 2FA con Auth0 es fácil y simple. Puedes implementar la 2FA con nuestra aplicación Guardian o con proveedores de 2FA de terceros. Proporcionamos dos populares proveedores de 2FA, Autenticador de Google y Duo, que se pueden configurar con un mínimo esfuerzo en tan solo unos minutos.

Además, puedes implementar reglas y proveedores personalizados para mejorar y ajustar el flujo de trabajo de la 2FA a las necesidades de tu empresa. Veamos cómo funciona este proceso con Guardian.

AUTENTICACIÓN DE DOS FACTORES

Autenticación de dos factores con Auth0 y Guardian

Implementar 2FA con Auth0 y Guardian puede hacerse en tan solo dos pasos.

  1. En el panel de gestión de Auth0, ve a la sección “Autenticación multifactor”.
  2. Habilita cómo deseas que tus usuarios reciban sus códigos de 2FA. Puedes elegir notificaciones emergentes, SMS o ambas.Activa la autenticación multifactor con Guardian
  3. (Opcional) Configura para cuál de tus aplicaciones de Auth0 debe activarse la 2FA y realiza los cambios de configuración adicionales que sean necesarios.Configuración de reglas de Guardian

Guarda los cambios y la 2FA con Guardian estará habilitada para tu aplicación. La próxima vez que un usuario intente iniciar sesión, se le pedirá que configure la 2FA antes de acceder a tu aplicación.

Aplicación Guardian

Multifactor adaptativo sensible al contexto

El multifactor adaptativo sensible al contexto te permite imponer la 2FA o capas adicionales de autenticación basadas en diferentes condiciones tales como: ubicación geográfica, hora del día/semana, tipo de red, dominios personalizados, ciertas IP o cualquier condición arbitraria que pueda ser expresada en código en la plataforma de Auth0.

Por defecto, la 2FA solo se solicita una vez al mes, pero puedes hacer que se solicite cada vez que el usuario se conecte, o incluso definir tus propias reglas para activar la 2FA.

Puedes definir reglas como, por ejemplo, cuando se accede a aplicaciones de misión crítica desde fuera de la intranet de tu empresa, cuando se accede desde un dispositivo diferente o desde una nueva ubicación.

Regístrese gratis

Empiece a construir hoy mismo y proteja sus aplicaciones con la plataforma de identidad Auth0.

3D login box