Spoiler del título del informe: "El uso de autenticación fuerte aumenta debido a la amenaza de nuevos riesgos y requisitos regulatorios".
La empresa de investigación "Javelin Strategy & Research" publicó el informe "El estado de la autenticación sólida 2019" (). Este informe dice: qué porcentaje de empresas estadounidenses y europeas utilizan contraseñas (y por qué pocas personas las utilizan ahora); por qué el uso de la autenticación de dos factores basada en tokens criptográficos está creciendo tan rápidamente; Por qué los códigos únicos enviados por SMS no son seguros.
Cualquier persona interesada en el presente, pasado y futuro de la autenticación en empresas y aplicaciones de consumo es bienvenida.
Del traductor
Lamentablemente, el lenguaje en el que está escrito este informe es bastante “seco” y formal. Y el uso cinco veces de la palabra “autenticación” en una frase corta no es obra de las manos (o cerebros) torcidos del traductor, sino del capricho de los autores. Al traducir entre dos opciones: ofrecer a los lectores un texto más cercano al original o más interesante, a veces elegí la primera y otras la segunda. Pero tengan paciencia, queridos lectores, el contenido del informe merece la pena.
Se eliminaron algunas piezas sin importancia e innecesarias para la historia, de lo contrario la mayoría no habría podido leer el texto completo. Quienes deseen leer el informe “sin cortes” pueden hacerlo en el idioma original siguiendo el enlace.
Desafortunadamente, los autores no siempre son cuidadosos con la terminología. Por lo tanto, las contraseñas de un solo uso (One Time Password - OTP) a veces se denominan "contraseñas" y, a veces, "códigos". Es aún peor con los métodos de autenticación. No siempre es fácil para el lector inexperto adivinar que “autenticación mediante claves criptográficas” y “autenticación segura” son lo mismo. Intenté unificar los términos lo máximo posible, y en el propio informe hay un fragmento con su descripción.
Sin embargo, se recomienda encarecidamente leer el informe porque contiene resultados de investigación únicos y conclusiones correctas.
Todas las cifras y hechos se presentan sin el menor cambio, y si no está de acuerdo con ellos, es mejor discutir no con el traductor, sino con los autores del informe. Y aquí están mis comentarios (presentados como citas y marcados en el texto). italiano) son mi juicio de valor y estaré encantado de discutir sobre cada uno de ellos (así como sobre la calidad de la traducción).
Descripción
Hoy en día, los canales digitales de comunicación con los clientes son más importantes que nunca para las empresas. Y dentro de la empresa, las comunicaciones entre los empleados están más orientadas digitalmente que nunca. Y la seguridad de estas interacciones depende del método elegido de autenticación del usuario. Los atacantes utilizan una autenticación débil para piratear masivamente cuentas de usuarios. En respuesta, los reguladores están endureciendo los estándares para obligar a las empresas a proteger mejor las cuentas y los datos de los usuarios.
Las amenazas relacionadas con la autenticación se extienden más allá de las aplicaciones de consumo; los atacantes también pueden obtener acceso a aplicaciones que se ejecutan dentro de la empresa. Esta operación les permite hacerse pasar por usuarios corporativos. Los atacantes que utilizan puntos de acceso con autenticación débil pueden robar datos y realizar otras actividades fraudulentas. Afortunadamente, existen medidas para combatirlo. Una autenticación sólida ayudará a reducir significativamente el riesgo de ataque por parte de un atacante, tanto en aplicaciones de consumo como en sistemas empresariales.
Este estudio examina: cómo las empresas implementan la autenticación para proteger las aplicaciones de los usuarios finales y los sistemas empresariales; factores que consideran al elegir una solución de autenticación; el papel que juega la autenticación fuerte en sus organizaciones; los beneficios que reciben estas organizaciones.
Resumen
Resultados clave
Desde 2017, el uso de la autenticación segura ha aumentado considerablemente. Con el creciente número de vulnerabilidades que afectan a las soluciones de autenticación tradicionales, las organizaciones están fortaleciendo sus capacidades de autenticación con una autenticación sólida. La cantidad de organizaciones que utilizan autenticación criptográfica multifactor (MFA) se ha triplicado desde 2017 para aplicaciones de consumo y ha aumentado casi un 50 % para aplicaciones empresariales. El crecimiento más rápido se observa en la autenticación móvil debido a la creciente disponibilidad de la autenticación biométrica.
Aquí vemos una ilustración del dicho “hasta que caiga el trueno, el hombre no se santiguará”. Cuando los expertos advirtieron sobre la inseguridad de las contraseñas, nadie tenía prisa por implementar la autenticación de dos factores. Tan pronto como los piratas informáticos empezaron a robar contraseñas, la gente empezó a implementar la autenticación de dos factores.
Es cierto que las personas están implementando 2FA de manera mucho más activa. En primer lugar, les resulta más fácil calmar sus miedos confiando en la autenticación biométrica integrada en los teléfonos inteligentes, que de hecho es muy poco fiable. Las organizaciones necesitan gastar dinero en la compra de tokens y realizar un trabajo (de hecho, muy sencillo) para implementarlos. Y en segundo lugar, sólo los perezosos no han escrito sobre la filtración de contraseñas de servicios como Facebook y Dropbox, pero bajo ninguna circunstancia los CIO de estas organizaciones compartirán historias sobre cómo se robaron las contraseñas (y qué pasó después) en las organizaciones.
Quienes no utilizan una autenticación segura están subestimando el riesgo que corren sus empresas y sus clientes. Algunas organizaciones que actualmente no utilizan una autenticación sólida tienden a considerar los inicios de sesión y las contraseñas como uno de los métodos de autenticación de usuarios más eficaces y fáciles de usar. Otros no ven el valor de los activos digitales que poseen. Después de todo, vale la pena considerar que los ciberdelincuentes están interesados en cualquier información sobre consumidores y empresas. Dos tercios de las empresas que utilizan sólo contraseñas para autenticar a sus empleados lo hacen porque creen que las contraseñas son lo suficientemente buenas para el tipo de información que protegen.
Sin embargo, las contraseñas van camino de la tumba. La dependencia de las contraseñas se ha reducido significativamente durante el último año tanto para aplicaciones de consumo como empresariales (del 44% al 31% y del 56% al 47%, respectivamente) a medida que las organizaciones aumentan el uso de MFA tradicional y autenticación sólida.
Pero si miramos la situación en su conjunto, todavía prevalecen los métodos de autenticación vulnerables. Para la autenticación de usuarios, aproximadamente una cuarta parte de las organizaciones utilizan SMS OTP (contraseña de un solo uso) junto con preguntas de seguridad. Como resultado, se deben implementar medidas de seguridad adicionales para proteger contra la vulnerabilidad, lo que aumenta los costos. El uso de métodos de autenticación mucho más seguros, como claves criptográficas de hardware, se utiliza con mucha menos frecuencia, en aproximadamente el 5% de las organizaciones.
El entorno regulatorio en evolución promete acelerar la adopción de una autenticación sólida para las aplicaciones de los consumidores. Con la introducción de PSD2, así como las nuevas normas de protección de datos en la UE y en varios estados de EE. UU., como California, las empresas están sintiendo la presión. Casi el 70% de las empresas coinciden en que enfrentan una fuerte presión regulatoria para brindar una autenticación sólida a sus clientes. Más de la mitad de las empresas creen que dentro de unos años sus métodos de autenticación no serán suficientes para cumplir con los estándares regulatorios.
Es claramente visible la diferencia en el enfoque de los legisladores rusos y americanos-europeos sobre la protección de los datos personales de los usuarios de programas y servicios. Los rusos dicen: queridos propietarios de servicios, hagan lo que quieran y como quieran, pero si su administrador fusiona la base de datos, los castigaremos. Dicen en el extranjero: hay que implementar un conjunto de medidas que no permitirá escurrir la base. Es por eso que allí se implementan requisitos para una estricta autenticación de dos factores.
Es cierto que está lejos de ser un hecho que nuestro aparato legislativo algún día no entre en razón y no tenga en cuenta la experiencia occidental. Entonces resulta que todo el mundo necesita implementar 2FA, que cumpla con los estándares criptográficos rusos, y con urgencia.
Establecer un marco de autenticación sólido permite a las empresas cambiar su enfoque del cumplimiento de los requisitos reglamentarios a satisfacer las necesidades de los clientes. Para aquellas organizaciones que todavía utilizan contraseñas simples o reciben códigos por SMS, el factor más importante a la hora de elegir un método de autenticación será el cumplimiento de los requisitos reglamentarios. Pero aquellas empresas que ya utilizan una autenticación sólida pueden centrarse en elegir aquellos métodos de autenticación que aumenten la fidelidad de los clientes.
Al elegir un método de autenticación corporativa dentro de una empresa, los requisitos reglamentarios ya no son un factor importante. En este caso, la facilidad de integración (32%) y el costo (26%) son mucho más importantes.
En la era del phishing, los atacantes pueden utilizar el correo electrónico corporativo para estafar obtener acceso fraudulento a datos, cuentas (con los derechos de acceso adecuados) e incluso convencer a los empleados para que realicen una transferencia de dinero a su cuenta. Por ello, las cuentas corporativas de correo electrónico y portales deben estar especialmente bien protegidas.
Google ha reforzado su seguridad implementando una autenticación fuerte. Hace más de dos años, Google publicó un informe sobre la implementación de la autenticación de dos factores basada en claves de seguridad criptográficas utilizando el estándar FIDO U2F, reportando resultados impresionantes. Según la empresa, no se llevó a cabo ni un solo ataque de phishing contra más de 85 empleados.
Recomendaciones
Implemente una autenticación sólida para aplicaciones móviles y en línea. La autenticación multifactor basada en claves criptográficas proporciona una protección mucho mejor contra la piratería que los métodos tradicionales de MFA. Además, el uso de claves criptográficas es mucho más conveniente porque no es necesario usar ni transferir información adicional: contraseñas, contraseñas de un solo uso o datos biométricos desde el dispositivo del usuario al servidor de autenticación. Además, la estandarización de los protocolos de autenticación hace que sea mucho más fácil implementar nuevos métodos de autenticación a medida que estén disponibles, lo que reduce los costos de implementación y protege contra esquemas de fraude más sofisticados.
Prepárese para la desaparición de las contraseñas de un solo uso (OTP). Las vulnerabilidades inherentes a las OTP son cada vez más evidentes a medida que los ciberdelincuentes utilizan la ingeniería social, la clonación de teléfonos inteligentes y el malware para comprometer estos medios de autenticación. Y si las OTP en algunos casos tienen ciertas ventajas, entonces solo desde el punto de vista de la disponibilidad universal para todos los usuarios, pero no desde el punto de vista de la seguridad.
Es imposible no darse cuenta de que recibir códigos mediante SMS o notificaciones Push, así como generar códigos mediante programas para teléfonos inteligentes, implica el uso de esas mismas contraseñas de un solo uso (OTP) para las que se nos pide que nos preparemos para el declive. Desde un punto de vista técnico, la solución es muy correcta, porque es raro que un estafador no intente averiguar la contraseña de un solo uso de un usuario crédulo. Pero creo que los fabricantes de estos sistemas se aferrarán a la tecnología moribunda hasta el final.
Utilice una autenticación sólida como herramienta de marketing para aumentar la confianza del cliente. Una autenticación sólida puede hacer más que simplemente mejorar la seguridad real de su empresa. Informar a los clientes que su empresa utiliza una autenticación sólida puede fortalecer la percepción pública de la seguridad de esa empresa, un factor importante cuando existe una demanda significativa por parte de los clientes de métodos de autenticación sólida.
Lleve a cabo un inventario exhaustivo y una evaluación de criticidad de los datos corporativos y protéjalos según su importancia. Incluso los datos de bajo riesgo, como la información de contacto del cliente (no, de verdad, el informe dice “bajo riesgo”, es muy extraño que subestimen la importancia de esta información), puede aportar un valor significativo a los defraudadores y causar problemas a la empresa.
Utilice una autenticación empresarial sólida. Varios sistemas son los objetivos más atractivos para los delincuentes. Estos incluyen sistemas internos y conectados a Internet, como un programa de contabilidad o un almacén de datos corporativo. Una autenticación sólida evita que los atacantes obtengan acceso no autorizado y también permite determinar con precisión qué empleado cometió la actividad maliciosa.
¿Qué es la autenticación sólida?
Cuando se utiliza una autenticación sólida, se utilizan varios métodos o factores para verificar la autenticidad del usuario:
- Factor de conocimiento: secreto compartido entre el usuario y el sujeto autenticado del usuario (como contraseñas, respuestas a preguntas de seguridad, etc.)
- Factor de propiedad: un dispositivo que sólo tiene el usuario (por ejemplo, un dispositivo móvil, una clave criptográfica, etc.)
- Factor de integridad: características físicas (a menudo biométricas) del usuario (por ejemplo, huella dactilar, patrón del iris, voz, comportamiento, etc.)
La necesidad de piratear múltiples factores aumenta en gran medida la probabilidad de que los atacantes fallen, ya que para evitar o engañar a varios factores se requiere el uso de múltiples tipos de tácticas de piratería, para cada factor por separado.
Por ejemplo, con 2FA “contraseña + teléfono inteligente”, un atacante puede realizar la autenticación mirando la contraseña del usuario y haciendo una copia exacta del software de su teléfono inteligente. Y esto es mucho más difícil que simplemente robar una contraseña.
Pero si se utiliza una contraseña y un token criptográfico para 2FA, entonces la opción de copia no funciona aquí: es imposible duplicar el token. El estafador deberá robar sigilosamente el token del usuario. Si el usuario nota la pérdida de tiempo y notifica al administrador, el token se bloqueará y los esfuerzos del estafador serán en vano. Esta es la razón por la que el factor de propiedad requiere el uso de dispositivos seguros especializados (tokens) en lugar de dispositivos de uso general (teléfonos inteligentes).
El uso de los tres factores hará que este método de autenticación sea bastante costoso de implementar y bastante incómodo de usar. Por tanto, se suelen utilizar dos de tres factores.
Los principios de la autenticación de dos factores se describen con más detalle. , en el bloque “Cómo funciona la autenticación de dos factores”.
Es importante tener en cuenta que al menos uno de los factores de autenticación utilizados en la autenticación sólida debe utilizar criptografía de clave pública.
La autenticación sólida proporciona una protección mucho más sólida que la autenticación de un solo factor basada en contraseñas clásicas y MFA tradicional. Las contraseñas pueden ser espiadas o interceptadas mediante registradores de pulsaciones de teclas, sitios de phishing o ataques de ingeniería social (donde se engaña a la víctima para que revele su contraseña). Además, el propietario de la contraseña no sabrá nada sobre el robo. La MFA tradicional (incluidos los códigos OTP, la vinculación a un teléfono inteligente o una tarjeta SIM) también se puede piratear con bastante facilidad, ya que no se basa en criptografía de clave pública (Por cierto, hay muchos ejemplos en los que, utilizando las mismas técnicas de ingeniería social, los estafadores persuadieron a los usuarios para que les dieran una contraseña de un solo uso.).
Afortunadamente, el uso de autenticación sólida y MFA tradicional ha ido ganando terreno tanto en aplicaciones de consumo como empresariales desde el año pasado. El uso de autenticación fuerte en aplicaciones de consumo ha crecido con especial rapidez. Si en 2017 solo el 5% de las empresas lo utilizaba, en 2018 ya era el triple: el 16%. Esto puede explicarse por la mayor disponibilidad de tokens que admiten algoritmos de criptografía de clave pública (PKC). Además, la mayor presión de los reguladores europeos tras la adopción de nuevas normas de protección de datos como PSD2 y GDPR ha tenido un fuerte efecto incluso fuera de Europa (incluso en Rusia).
Echemos un vistazo más de cerca a estos números. Como podemos ver, el porcentaje de particulares que utilizan la autenticación multifactor ha crecido un impresionante 11% durante el año. Y esto claramente sucedió a expensas de los amantes de las contraseñas, ya que las cifras de quienes creen en la seguridad de las notificaciones Push, los SMS y la biometría no han cambiado.
Pero con la autenticación de dos factores para uso corporativo, las cosas no van tan bien. En primer lugar, según el informe, sólo el 5% de los empleados pasaron de la autenticación de contraseña a los tokens. Y en segundo lugar, el número de quienes utilizan opciones alternativas de AMF en el entorno empresarial aumentó un 4%.
Intentaré hacer de analista y dar mi interpretación. En el centro del mundo digital de los usuarios individuales se encuentra el teléfono inteligente. Por lo tanto, no es de extrañar que la mayoría utilice las capacidades que les proporciona el dispositivo: autenticación biométrica, notificaciones SMS y Push, así como contraseñas de un solo uso generadas por aplicaciones en el propio teléfono inteligente. La gente normalmente no piensa en la seguridad y la confiabilidad cuando utiliza las herramientas a las que está acostumbrada.
Esta es la razón por la que el porcentaje de usuarios de factores de autenticación primitivos "tradicionales" permanece sin cambios. Pero aquellos que ya han utilizado contraseñas saben cuánto riesgo corren y, al elegir un nuevo factor de autenticación, optan por la opción más nueva y segura: un token criptográfico.
En cuanto al mercado corporativo, es importante comprender en qué sistema se realiza la autenticación. Si se implementa el inicio de sesión en un dominio de Windows, se utilizan tokens criptográficos. Las posibilidades de utilizarlos para 2FA ya están integradas tanto en Windows como en Linux, pero las opciones alternativas son largas y difíciles de implementar. Hasta aquí la migración del 5% de contraseñas a tokens.
Y la implementación de 2FA en un sistema de información corporativo depende en gran medida de las calificaciones de los desarrolladores. Y es mucho más fácil para los desarrolladores adoptar módulos ya preparados para generar contraseñas de un solo uso que comprender el funcionamiento de los algoritmos criptográficos. Y como resultado, incluso aplicaciones increíblemente críticas para la seguridad, como los sistemas de inicio de sesión único o gestión de acceso privilegiado, utilizan OTP como segundo factor.
Muchas vulnerabilidades en los métodos de autenticación tradicionales.
Si bien muchas organizaciones siguen dependiendo de sistemas heredados de un solo factor, las vulnerabilidades en la autenticación multifactor tradicional son cada vez más evidentes. Las contraseñas de un solo uso, normalmente de seis a ocho caracteres de longitud, enviadas por SMS, siguen siendo la forma más común de autenticación (además del factor contraseña, por supuesto). Y cuando las palabras “autenticación de dos factores” o “verificación de dos pasos” se mencionan en la prensa popular, casi siempre se refieren a la autenticación de contraseña de un solo uso por SMS.
Aquí el autor está un poco equivocado. Entregar contraseñas de un solo uso a través de SMS nunca ha sido una autenticación de dos factores. Esta es, en su forma más pura, la segunda etapa de la autenticación de dos pasos, donde la primera etapa es ingresar su nombre de usuario y contraseña.
En 2016, el Instituto Nacional de Estándares y Tecnología (NIST) actualizó sus reglas de autenticación para eliminar el uso de contraseñas de un solo uso enviadas por SMS. Sin embargo, estas reglas se relajaron significativamente tras las protestas de la industria.
Entonces, sigamos la trama. El regulador estadounidense reconoce con razón que la tecnología obsoleta no es capaz de garantizar la seguridad del usuario y está introduciendo nuevos estándares. Estándares diseñados para proteger a los usuarios de aplicaciones móviles y en línea (incluidas las bancarias). La industria está calculando cuánto dinero tendrá que gastar en la compra de tokens criptográficos verdaderamente confiables, rediseñando aplicaciones, implementando una infraestructura de clave pública y está "levantándose sobre sus patas traseras". Por un lado, los usuarios estaban convencidos de la fiabilidad de las contraseñas de un solo uso y, por otro, se produjeron ataques al NIST. Como resultado, el estándar se suavizó y el número de hackeos y robos de contraseñas (y dinero de aplicaciones bancarias) aumentó considerablemente. Pero la industria no tuvo que desembolsar dinero.
Desde entonces, las debilidades inherentes de SMS OTP se han vuelto más evidentes. Los estafadores utilizan varios métodos para comprometer los mensajes SMS:
- Duplicación de tarjetas SIM. Los atacantes crean una copia de la SIM (con la ayuda de los empleados del operador de telefonía móvil, o de forma independiente, utilizando software y hardware especiales). Como resultado, el atacante recibe un SMS con una contraseña de un solo uso. En un caso particularmente famoso, los piratas informáticos incluso pudieron comprometer la cuenta de AT&T del inversor en criptomonedas Michael Turpin y robar casi 24 millones de dólares en criptomonedas. Como resultado, Turpin afirmó que AT&T tuvo la culpa debido a medidas de verificación débiles que llevaron a la duplicación de la tarjeta SIM.
Lógica asombrosa. Entonces, ¿realmente es sólo culpa de AT&T? No, sin duda es culpa del operador de telefonía móvil que los vendedores de la tienda de comunicaciones emitieran un duplicado de la tarjeta SIM. ¿Qué pasa con el sistema de autenticación de intercambio de criptomonedas? ¿Por qué no utilizaron tokens criptográficos fuertes? ¿Fue una lástima gastar dinero en la implementación? ¿No es el propio Michael el culpable? ¿Por qué no insistió en cambiar el mecanismo de autenticación o utilizar sólo aquellos intercambios que implementan autenticación de dos factores basada en tokens criptográficos?
La introducción de métodos de autenticación verdaderamente confiables se retrasa precisamente porque los usuarios muestran un sorprendente descuido antes de piratear, y luego culpan de sus problemas a cualquiera y a cualquier cosa que no sean tecnologías de autenticación antiguas y "con fugas".
- Malware. Una de las primeras funciones del malware móvil fue interceptar y reenviar mensajes de texto a los atacantes. Además, los ataques de hombre en el navegador y de hombre en el medio pueden interceptar contraseñas de un solo uso cuando se ingresan en computadoras portátiles o dispositivos de escritorio infectados.
Cuando la aplicación Sberbank en su teléfono inteligente muestra un ícono verde en la barra de estado, también busca "malware" en su teléfono. El objetivo de este evento es convertir el entorno de ejecución no confiable de un teléfono inteligente típico en, al menos de alguna manera, uno confiable.
Por cierto, un teléfono inteligente, como dispositivo que no es de confianza y en el que se puede hacer cualquier cosa, es otra razón para utilizarlo para la autenticación. solo tokens de hardware, los cuales están protegidos y libres de virus y troyanos. - Ingeniería social. Cuando los estafadores saben que una víctima tiene OTP habilitadas a través de SMS, pueden contactar a la víctima directamente, haciéndose pasar por una organización confiable, como su banco o cooperativa de crédito, para engañarla para que proporcione el código que acaban de recibir.
Personalmente me he encontrado con este tipo de fraude muchas veces, por ejemplo, al intentar vender algo en un popular mercadillo en línea. Yo mismo me burlé del estafador que intentó engañarme a mi antojo. Pero, lamentablemente, leo regularmente en las noticias cómo otra víctima de los estafadores “no pensó”, dio el código de confirmación y perdió una gran suma. Y todo esto se debe a que el banco simplemente no quiere ocuparse de la implementación de tokens criptográficos en sus aplicaciones. Después de todo, si algo sucede, los clientes “tienen la culpa ellos mismos”.
Si bien los métodos alternativos de entrega de OTP pueden mitigar algunas de las vulnerabilidades de este método de autenticación, persisten otras vulnerabilidades. Las aplicaciones independientes de generación de código son la mejor protección contra las escuchas ilegales, ya que ni siquiera el malware puede interactuar directamente con el generador de código (¿en serio? ¿Se olvidó el autor del informe del control remoto?), pero las OTP aún se pueden interceptar cuando se ingresan en el navegador (por ejemplo usando un keylogger), a través de una aplicación móvil pirateada; y también se puede obtener directamente del usuario mediante ingeniería social.
Utilizar múltiples herramientas de evaluación de riesgos, como el reconocimiento de dispositivos (detección de intentos de realizar transacciones desde dispositivos que no pertenecen a un usuario legal), geolocalización (Un usuario que acaba de estar en Moscú intenta realizar una operación desde Novosibirsk) y el análisis del comportamiento son importantes para abordar las vulnerabilidades, pero ninguna de las dos soluciones es la panacea. Para cada situación y tipo de datos, es necesario evaluar cuidadosamente los riesgos y elegir qué tecnología de autenticación se debe utilizar.
Ninguna solución de autenticación es una panacea
Figura 2. Tabla de opciones de autenticación
| Autentificación | factor | Descripción | Vulnerabilidades clave |
| Contraseña o PIN | Conocimiento | Valor fijo, que puede incluir letras, números y otros caracteres. | Puede ser interceptado, espiado, robado, recogido o pirateado. |
| Autenticación basada en conocimientos | Conocimiento | Preguntas cuyas respuestas sólo un usuario legal puede conocer | Puede ser interceptado, recogido y obtenido mediante métodos de ingeniería social. |
| OTP de hardware () | Posesión | Un dispositivo especial que genera contraseñas de un solo uso | El código puede ser interceptado y repetido, o el dispositivo puede ser robado. |
| OTP de software | Posesión | Una aplicación (móvil, accesible a través de un navegador o enviando códigos por correo electrónico) que genera contraseñas de un solo uso. | El código puede ser interceptado y repetido, o el dispositivo puede ser robado. |
| OTP de SMS | Posesión | Contraseña de un solo uso entregada mediante mensaje de texto SMS | El código puede ser interceptado y repetido, o el teléfono inteligente o la tarjeta SIM pueden ser robados, o la tarjeta SIM puede estar duplicada. |
| Tarjetas inteligentes () | Posesión | Una tarjeta que contiene un chip criptográfico y una memoria de clave segura que utiliza una infraestructura de clave pública para la autenticación. | Puede ser robado físicamente (pero un atacante no podrá utilizar el dispositivo sin conocer el código PIN; en caso de varios intentos de entrada incorrectos, el dispositivo será bloqueado) |
| Claves de seguridad - tokens (, ) | Posesión | Un dispositivo USB que contiene un chip criptográfico y una memoria de clave segura que utiliza una infraestructura de clave pública para la autenticación. | Puede ser robado físicamente (pero un atacante no podrá utilizar el dispositivo sin conocer el código PIN; en caso de varios intentos de entrada incorrectos, el dispositivo será bloqueado) |
| Vinculación a un dispositivo | Posesión | El proceso que crea un perfil, a menudo utilizando JavaScript o marcadores como cookies y objetos compartidos Flash para garantizar que se esté utilizando un dispositivo específico. | Los tokens pueden ser robados (copiados) y un atacante puede imitar las características de un dispositivo legal en su dispositivo. |
| Comportamiento | Inherencia | Analiza cómo el usuario interactúa con un dispositivo o programa. | El comportamiento se puede imitar. |
| Huellas dactilares | Inherencia | Las huellas dactilares almacenadas se comparan con las capturadas óptica o electrónicamente | La imagen puede ser robada y utilizada para autenticación. |
| escaneo ocular | Inherencia | Compara las características del ojo, como el patrón del iris, con nuevos escáneres ópticos | La imagen puede ser robada y utilizada para autenticación. |
| Reconocimiento facial | Inherencia | Se comparan las características faciales con los nuevos escáneres ópticos | La imagen puede ser robada y utilizada para autenticación. |
| Reconocimiento de voz | Inherencia | Las características de la muestra de voz grabada se comparan con muestras nuevas. | El registro puede ser robado y utilizado para autenticación o emulado. |
En la segunda parte de la publicación nos esperan las cosas más deliciosas: números y hechos, en los que se basan las conclusiones y recomendaciones dadas en la primera parte. La autenticación en aplicaciones de usuario y en sistemas corporativos se analizará por separado.
Nos vemos allí!
Fuente: habr.com