¿Acaba de comprar algo en línea a través de una nueva tienda de comercio electrónico? ¿O tal vez has probado un servicio online de manipulación de fotos? La explosión de servicios en Internet ha supuesto un cambio de juego para más de 4.000 millones de personas en la Tierra, y sigue creciendo rápidamente. Pero cada uno de estos servicios como una simple cuestión: regístrese. Elige un nombre de usuario y una contraseña.
Aquí es donde nuestro cerebro se pone a prueba. ¿Qué contraseña debo utilizar? ¿Debo crear una nueva? ¿Reutilizo la que ya tengo en uso? Creo que ya sabes cuál es la más popular. Echemos un vistazo a algunas estadísticas:
- la mayoría de nosotros reutiliza la misma contraseña más de 80% del tiempo - el cerebro humano no está hecho para recordar docenas de contraseñas diferentes (complejas)
- 47% de las personas reutilizan sus contraseñas durante más de 5 años; 21% incluso se aferran a la misma durante más de una década
- casi 1 o 3 (29% para ser exactos) comparten su contraseña con otros
Una forma de combatir la fragilidad de la memoria y seguir utilizando contraseñas fuertes y diversas es hacer que tu navegador las guarde. Muy conveniente, hasta que tu dispositivo cae en las manos equivocadas después de ser hackeado o robado. Lo que es aún peor es la costumbre de escribir tus contraseñas en post-its u otros papeles, un hábito que aproximadamente 30% de las personas admiten hacer.
Todo esto no parece demasiado seguro. Si te piratean o roban la única contraseña que utilizas, los piratas informáticos podrían acceder a prácticamente todos tus servicios en línea: tu cuenta de redes sociales, tus tiendas de comercio electrónico, etc.
¡MFA al rescate!
Como empresa, debe protegerse de estos riesgos. Que sus datos caigan en manos de delincuentes puede suponer un gran coste. El uso de 'Autenticación multifactorial(MFA) está generalmente aceptada como la mejor práctica hoy en día.
La definición de Wikipedia dice: "La autenticación de múltiples factores (MFA) es un método para confirmar la identidad declarada de un usuario en el que se concede acceso a un ordenador sólo después de presentar con éxito 2 o más pruebas (o factores) a un mecanismo de autenticación: conocimiento (algo que el usuario y sólo el usuario sabe), posesión (algo que el usuario y sólo el usuario tiene), e inherencia (algo que el usuario y sólo el usuario es). La autenticación de dos factores (también conocida como 2FA) es un tipo (subconjunto) de la autenticación multifactorial. Es un método para confirmar las identidades declaradas por los usuarios mediante una combinación de dos factores diferentes: 1) algo que saben, 2) algo que tienen, o 3) algo que son."
En otras palabras:
- Algo que conoces: tu contraseña clásica (con todos sus riesgos asociados)
- Algo que tienes: por ejemplo, un código único de 6 dígitos generado en un generador de tokens (como una aplicación móvil o un generador de tokens físico). Sin embargo, también podría ser tu huella dactilar.
- Algo que eres: por ejemplo un nombre de usuario o una dirección de correo electrónico
Los factores de "posesión" pueden agruparse en
- tokens desconectados: no tienen conexiones con el ordenador cliente. Suelen utilizar una pantalla integrada para mostrar los datos de autenticación generados, que el usuario teclea manualmente. Un ejemplo muy conocido es el de los tokens hardware RSA SecurID.
- fichas conectadas: dispositivos que se conectan físicamente al ordenador que se va a utilizar. Estos dispositivos transmiten los datos automáticamente. Ya sean lectores de tarjetas, etiquetas inalámbricas o tokens USB, el denominador común es que establecen una conexión con el dispositivo al que se quiere acceder.
- tokens de software - (también conocidos como soft token) son un tipo de dispositivo de seguridad de autenticación de dos factores que puede utilizarse para autorizar el uso de servicios informáticos. Los tokens de software se almacenan en un dispositivo electrónico de uso general, como un ordenador de sobremesa, un portátil, una PDA o un teléfono móvil, y pueden duplicarse (a diferencia de los tokens de hardware, en los que las credenciales se almacenan en un dispositivo de hardware específico y, por tanto, no pueden duplicarse). Algunos ejemplos son Google Authenticator o Microsoft Authenticator.
Con el auge de los dispositivos móviles, como los teléfonos inteligentes y las tabletas, ha aumentado la popularidad de un nuevo tipo de factores: los factores inherentes. Se trata de factores asociados al usuario y suelen ser métodos biométricos, como el reconocimiento de las huellas dactilares, la cara, la voz o el iris. También se puede utilizar la biometría del comportamiento, como la dinámica de las pulsaciones de las teclas.
En otras palabras, está claro que hay un montón de soluciones y proveedores por ahí. Es decir, hay pocas excusas para que las empresas no utilicen la AMF.
Awingu ofrece una solución MFA integrada
Awingu es una solución de "espacio de trabajo unificado". Permite a las empresas ejecutar sus aplicaciones y archivos en el navegador de cualquier dispositivo. Awingu incorpora una solución MFA en forma de generador de contraseñas de un solo uso (OTP). Funciona con 'Google Authenticator' como token blando. Google Authenticator es una aplicación gratuita y está disponible en todas las plataformas.
Utiliza Google Authenticator para generar tu contraseña segura de un solo uso
Si por alguna razón, la solución incorporada no proporciona lo que necesitas, entonces Awingu tiene integraciones con proveedores basados en RADIUS, Duo Security (ahora Cisco), SMS Passcode y Azure MFA.
Resumen de las tecnologías MFA compatibles con Awingu (4.0 - julio de 2018)
El uso de la autenticación fuerte puede ser activado por el contexto del usuario ("conocimiento del contexto"). Los administradores de TI pueden, por ejemplo, imponer el uso de la autenticación de segundo factor si los usuarios se encuentran fuera de las redes de la empresa (por ejemplo, en casa, en el aeropuerto), pero permitir el inicio de sesión con sólo un nombre de usuario/contraseña cuando estén en la red (segura) de la empresa.
Más información sobre las medidas de seguridad de Awingu en este enlaceo contactar con nosotros para saber más.
Fuentes
https://mashable.com/2017/02/28/passwords-reuse-study-keeper-security/?europe=true#8AV__gDrM8qo
https://en.wikipedia.org/wiki/Multi-factor_authentication
https://blog.dashlane.com/wp-content/uploads/2015/09/report_passwordsharing_US-1.pdf