¿Qué opción de autenticación de dos factores es la mejor?
A primera vista, la autenticación de dos factores (2FA) es una característica de seguridad despiadadamente simple e increíblemente efectiva. En esencia, al implementar la autenticación de dos factores, se asegura de que un atacante no pueda hacerse cargo de la cuenta de la víctima utilizando solo un nombre de usuario y una contraseña. Hay un paso adicional durante el proceso de autenticación sin el cual no se otorgará acceso. Hasta ahora, tan sencillo. Sin embargo, aquí es donde comienza a complicarse.
La mayoría de los sistemas 2FA se basan en una segunda contraseña temporal (a menudo denominada contraseña de un solo uso o OTP), que el usuario debe ingresar para desbloquear su cuenta. En otros casos, iniciar sesión requiere un dispositivo de hardware o token que actúe como prueba de que el usuario está autorizado para acceder a la cuenta. Existe un gran debate sobre cuál es la mejor opción: un token de hardware o un OTP. También se ha discutido la cuestión de cuál es el mejor token de hardware, y lo mismo se aplica a las diferentes formas en que se pueden implementar los sistemas 2FA basados en OTP. En otras palabras, para muchos, 2FA ha planteado más preguntas de las que ha respondido.
Table of Contents
La discusión de la Fiscalía
Una OTP es un segundo factor bastante robusto, pero debe implementarse correctamente. Si las OTP van a funcionar, deben ser únicas y aleatorias. Si los piratas informáticos pueden descifrar el algoritmo detrás del mecanismo que crea las OTP, pueden vencer a todo el sistema 2FA. También podrían ser capaces de solucionarlo si tienen tiempo suficiente para adivinar la OTP. En aras de la usabilidad, a menudo, los OTP son códigos de 4 o 6 dígitos que se pueden adivinar con relativa facilidad. Por eso es importante asegurarse de que caduquen después de un período de tiempo razonable. Por supuesto, los límites de velocidad adecuados también pueden evitar que los atacantes entren por la fuerza bruta.
Es justo decir que la mayoría de los desarrolladores y administradores de sistemas que han elegido 2FA basado en OTP observan estas reglas, y los ataques de este tipo en particular no son tan comunes. Sin embargo, cuando se trata del método de entrega para OTP, las cosas son completamente diferentes.
Hay varias formas diferentes de entregar un OTP al usuario. Puede hacerlo por correo electrónico, SMS o una aplicación de autenticación en su teléfono inteligente. Mucha gente ha perdido la calma por la inseguridad de algunos de estos medios. Hemos discutido en el pasado, por ejemplo, la tecnología detrás de los mensajes de texto que es bastante antigua y teóricamente puede permitir que los piratas informáticos intercepten OTP y eviten 2FA. Desde hace un tiempo, los correos electrónicos también han sido condenados por ser demasiado inseguros para transportar información confidencial como las OTP 2FA.
El hecho es que la mejor manera de garantizar que las OTP no puedan ser interceptadas durante la transmisión es no transmitirlas en absoluto. Esta es la razón por la cual las aplicaciones móviles 2FA como Google Authenticator se consideran la mejor opción para los sistemas de autenticación de dos factores basados en OTP que no requieren un token de hardware adicional. Sin embargo, el problema con estas aplicaciones es que los usuarios que no tienen un teléfono inteligente no pueden usarlas.
¿Son los tokens de hardware la solución?
La idea de las aplicaciones 2FA se deriva de tokens de hardware que también utilizan funciones criptográficas complejas para crear OTP en el acto. Conocidos como RSA SecurID, son aproximadamente del tamaño de un llavero y tienen una pequeña pantalla LCD monocromática que muestra la OTP actual. Puede ver esto como una solución, especialmente si algunos de sus usuarios potenciales no tienen teléfonos inteligentes, pero todavía hay algo que considerar. La vulnerabilidad inherente a las contraseñas de un solo uso es que, al igual que las contraseñas normales, pueden ser suplantadas.
Es por eso que, según los expertos en seguridad, los sistemas 2FA más seguros se basan en claves U2F: tokens de hardware que, en lugar de generar y mostrar OTP, se comunican directamente con su computadora o dispositivo móvil y lo autentican automáticamente. Son lo suficientemente pequeños como para llevarlos en un llavero, no tienen batería, y la tecnología inalámbrica en la que algunos confían significa que la autenticación a menudo es instantánea. Debido a que no se requiere que el usuario ingrese una OTP, este se considera el mejor método en términos de usabilidad y seguridad. Sin embargo, todavía no es perfecto.
A diferencia de las aplicaciones 2FA, correos electrónicos y, en la mayoría de los casos, mensajes de texto, las claves U2F no son gratuitas. La inversión no es enorme, pero el triste hecho es que la mayoría de los usuarios no están especialmente interesados en pagar por la seguridad, e incluso un precio razonable puede ser una barrera suficiente para ellos. Obviamente, el problema de perder las pequeñas fichas también está presente.
¿Cómo elegir la implementación 2FA más adecuada para su servicio?
Con todo, no existe tal cosa como "el 2FA perfecto". Algunas implementaciones son más seguras que otras, pero todas tienen sus propios problemas por separado, lo que significa que si está ejecutando un servicio en línea, debe decidir qué tipo de 2FA implementará en función de sus usuarios, sus necesidades, y sus modelos de amenaza. Para una flexibilidad adicional, la mayoría de los proveedores de servicios permiten a las personas elegir qué implementación de 2FA quieren usar de una lista de varias opciones diferentes, y este es quizás el enfoque más razonable dada la diversidad de la base de usuarios.
Sin embargo, asegúrese de no olvidar una cosa: incluso el 2FA más inseguro es mejor que ningún 2FA.
