¿Qué es la autenticación?
La autenticación se refiere al proceso de probar una identidad a través de una red. Por lo general, esto se hace proporcionando credenciales; una pieza de información acordada compartida entre el usuario y el sistema. El mecanismo de autenticación más común implica un nombre de usuario y una contraseña. Pero hay otros.
La autenticación es parte de IAM
La autenticación es parte de la gestión de acceso e identidad.
Se trata de algo más que proporcionar un mecanismo para validar un conjunto de credenciales.
Un proveedor de IAM podría proporcionar modalidades de autenticación avanzadas que son más seguras que solo las credenciales. Pueden proporcionar soluciones basadas en inteligencia artificial y aprendizaje automático que utilizan inteligencia para mejorar la experiencia del usuario y la seguridad de un cliente. También pueden proporcionar opciones de inicio de sesión social (inicio de sesión a través de Facebook, Google, etc.) que mejoran la accesibilidad y la experiencia del usuario, y ofrecen herramientas de desarrollo a los clientes, como API de autenticación, para que el cliente pueda integrar nuevas aplicaciones sin problemas.
La autenticación tiene muchos elementos, como se explica a continuación.
Política de contraseñas
Las políticas de contraseñas son una colección de reglas creadas para ayudar a aumentar la seguridad de la computadora y la red . Un proveedor ofrece varias opciones a un cliente para establecer sus políticas de contraseña para la autenticación. Algunos ejemplos de parámetros de política de contraseñas incluyen:
Requisitos de complejidad de la contraseña, como la cantidad de caracteres (longitud mínima y máxima de la contraseña) y las combinaciones de caracteres obligatorias (número, letra, caracteres especiales, mayúsculas, minúsculas),
Las contraseñas prohibidas se almacenan en un diccionario de contraseñas. El sistema no permite contraseñas comunes como 'contraseña123', 'admin', 'usuario', etc. Los clientes también pueden agregar su propia lista al diccionario.
Repita el historial de contraseñas. Esta es la cantidad de contraseñas nuevas que se deben utilizar antes de que se pueda volver a utilizar una anterior.
Primer inicio de sesión. Esto determina si se solicitará a los usuarios que cambien su contraseña cuando inicien sesión en el sistema por primera vez.
Cambio de contraseña autorizado. Se trata de las condiciones bajo las cuales los usuarios pueden cambiar sus contraseñas. Por ejemplo, antes de que un usuario pueda cambiar su contraseña, el servidor puede configurarse para solicitar al usuario que primero ingrese su contraseña actual para autenticar su identidad.
Bloqueo de cuenta. Estas son las condiciones bajo las cuales una cuenta queda deshabilitada para el acceso del usuario. Por ejemplo, si un usuario no puede autenticarse correctamente después de tres intentos, el servidor puede configurarse para bloquear la cuenta en el cuarto intento.
Esquema de almacenamiento de contraseñas. Determina cómo se cifrará y almacenará la contraseña en el servidor.
Autenticación multifactor
La autenticación multifactor (MFA) es un método de autenticación que requiere que el usuario proporcione dos o más factores de verificación para obtener acceso a un recurso, en lugar de simplemente solicitar un nombre de usuario y una contraseña.
Hay 3 posibles grupos de factores de autenticación:
Cosas que sabe ( conocimiento ), como una contraseña o PIN
Cosas que tiene ( posesión ), como un llavero o un teléfono inteligente
Cosas que eres ( inherencia ), como datos biométricos como huellas dactilares o reconocimiento de voz.
CONOCIMIENTO
Respuestas a preguntas de seguridad personal
Clave
OTP (pueden ser tanto conocimiento como posesión: conoce la OTP y debe tener algo en su posesión para obtenerlo como su teléfono)
POSESIÓN
OTP generadas por aplicaciones de teléfonos inteligentes
OTP enviadas por mensaje de texto o correo electrónico
Acceda a credenciales, dispositivos USB, tarjetas inteligentes o llaveros o llaves de seguridad
Tokens y certificados de software
INHERENCIA
Huellas dactilares, reconocimiento facial, escaneo de voz, retina o iris u otros datos biométricos
Análisis de comportamiento
El uso de más de un factor de autenticación proporciona seguridad adicional al introducir más barreras para obtener acceso. Sin embargo, esta es también su perdición. MFA hace que la experiencia del usuario sea más molesta. Esto se resuelve mediante la autenticación adaptativa, de la siguiente manera.
Autenticación adaptativa (también llamada autenticación basada en el contexto o basada en el riesgo)
La autenticación adaptable analiza factores adicionales al considerar el contexto y el comportamiento al autenticarse y usa estos valores para asignar un nivel de riesgo asociado con el intento de inicio de sesión.
Por ejemplo:
¿Desde dónde se encuentra el usuario cuando intenta acceder a la información?
¿Cuándo intenta acceder a la información de la empresa? ¿Durante sus horas normales o durante las "horas libres"?
¿Qué tipo de dispositivo se utiliza? ¿Es el mismo que se usó ayer?
¿La conexión es a través de una red privada o una red pública?
El nivel de riesgo se calcula en función de cómo se respondan estas preguntas y se puede usar para determinar si se le pedirá a un usuario un factor de autenticación adicional o si se le permitirá o no iniciar sesión. Es por eso que se usa otro término para describir este tipo de autenticación es autenticación basada en riesgo.
Beneficios:
Reducción de la fricción del usuario: cuando a un usuario se le solicita repetidamente una contraseña, un otp y un biométrico, día tras día, para iniciar sesión en una sola aplicación, se vuelve difícil. Por un lado, la única forma de mantener un alto nivel de seguridad es usar múltiples factores de autenticación, pero por otro lado, ¿es realmente necesario? Con la autenticación adaptable, los usuarios pueden iniciar sesión con solo un factor si cumplen con los requisitos, como iniciar sesión desde la red de la oficina y se les solicitará que proporcionen otros factores solo si inician sesión desde un país diferente, a una hora extraña o desde su casa. (o una combinación de los 3). De esta manera, se puede mantener la seguridad y los usuarios pueden experimentar menos fatiga y confusión cuando se trata de iniciar sesión en los recursos de trabajo.
Seguridad mejorada: la autenticación adaptativa hace más que solo proporcionar una autenticación incremental basada en el contexto. Puede mejorar la seguridad utilizando análisis y evaluando el riesgo. ¿La IP que un usuario está intentando iniciar sesión se encuentra en una lista negra de IP no confiables? El intento de inicio de sesión se puede bloquear por completo. ¿O el usuario simplemente intentó iniciar sesión desde los EE. UU. cuando su último inicio de sesión, solo unos minutos antes, fue desde Europa? Esto también se puede bloquear. Hay una gran cantidad de protocolos de autenticación basados en riesgos que son posibles, y siguen llegando nuevos.
Autenticación sin contraseña
Los métodos de autenticación simples que solo requieren combinaciones de nombre de usuario y contraseña son inherentemente vulnerables. Los atacantes pueden adivinar o robar credenciales y obtener acceso a información confidencial y sistemas de TI.
La autenticación sin contraseña es un método de autenticación que permite a un usuario obtener acceso a una aplicación o sistema de TI sin ingresar una contraseña ni responder preguntas de seguridad. En cambio, el usuario proporciona alguna otra forma de evidencia, como una huella digital, un token de software o un código de token de hardware. La autenticación sin contraseña se usa a menudo junto con las soluciones de autenticación multifactor (MFA) e inicio de sesión único para mejorar la experiencia del usuario, fortalecer la seguridad y reducir los gastos y la complejidad de las operaciones de TI.
Uno de los beneficios de la autenticación sin contraseña es la capacidad de iniciar sesión a través de dispositivos móviles. Utilizando el reconocimiento facial, el análisis de huellas dactilares, SMS OTP o tokens de software en sus dispositivos móviles, un usuario puede iniciar sesión sin problemas en su escritorio o en sus aplicaciones sin contraseñas. Esto mejora considerablemente la experiencia del usuario.
Pero, ¿cuál es la diferencia entre la autenticación sin contraseña y la autenticación adaptativa? La autenticación adaptable puede ser sin contraseña, pero es posible que la autenticación sin contraseña no sea parte de un protocolo de autenticación adaptable.
Simplemente mejora la seguridad y la experiencia del usuario al utilizar cosas como biometría, OTP y tokens de software y hardware, en lugar de contraseñas. Esto no es tan seguro como la autenticación adaptativa, pero ofrece beneficios similares.
Mejore la experiencia del usuario eliminando la fatiga de contraseñas y brindando acceso unificado a todas las aplicaciones y servicios.
Refuerce la seguridad : al eliminar las técnicas riesgosas de administración de contraseñas y al reducir el robo y la suplantación de credenciales.
Simplifique las operaciones de TI al eliminar la necesidad de emitir, asegurar, rotar, restablecer y administrar contraseñas.
Autorización basada en token
La autenticación basada en tokens es un protocolo que permite a los usuarios verificar su identidad y, a cambio, recibir un token de acceso único . Durante la vida del token, los usuarios acceden al sitio web o la aplicación para la que se emitió el token, en lugar de tener que volver a ingresar las credenciales cada vez que regresan a la misma página web, aplicación o cualquier recurso protegido con ese mismo token.
Los tokens de autenticación funcionan como un boleto sellado. El usuario conserva el acceso mientras el token siga siendo válido. Una vez que el usuario cierra sesión o sale de una aplicación, el token se invalida. Los tokens ofrecen una segunda capa de seguridad y los administradores tienen un control detallado sobre cada acción y transacción.
La autorización basada en token ofrece los siguientes beneficios:
Los tokens no tienen estado. El token es autónomo y contiene toda la información que necesita para la autenticación. Esto es excelente para la escalabilidad, ya que libera a los servidores de los clientes de tener que almacenar el estado de la sesión.
Los tokens se pueden generar desde cualquier lugar. La generación de tokens está desvinculada de la verificación de tokens, lo que le permite la opción de manejar la firma de tokens en un servidor separado o incluso a través de una empresa diferente.
Control de acceso detallado. Dentro de la carga útil del token, puede especificar fácilmente las funciones y los permisos de los usuarios, así como los recursos a los que puede acceder el usuario.
Inicio de sesión social
La autenticación de inicio de sesión social brinda a los usuarios finales una forma conveniente de registrarse e iniciar sesión en sitios y portales de usuarios utilizando sus identidades de redes sociales existentes de Facebook, Twitter, Google+ y LinkedIn. Este método es popular entre los usuarios porque no requiere que recuerden otra contraseña. Los usuarios simplemente usan sus inicios de sesión sociales en lugar de otro conjunto de credenciales.
API de autenticación y autorización
API es el acrónimo de Interfaz de programación de aplicaciones, que es un intermediario de software que permite que dos aplicaciones se comuniquen entre sí. Cada vez que usa una aplicación como Facebook, envía un mensaje instantáneo o consulta el clima en su teléfono, está usando una API.
Inherente al universo de redes corporativas es el requisito de que las aplicaciones interactúen entre sí. Como tal, las organizaciones requieren API expuestas para desarrollar conectores de una aplicación a otra. Entonces, una buena solución de autenticación proporcionaría un sistema para conectar las API a través de su sistema. Este es otro elemento de autorización en IAM.
En conclusión…
La autenticación puede parecer simple en el front-end, donde todo lo que ve un usuario es una pantalla de inicio de sesión. Simplemente ingresa las credenciales, escanea su huella digital o ingresa una OTP de SMS. En algunos casos debe proporcionar una serie de factores de autenticación para validar su identidad. Si bien puede parecerle sencillo, la experiencia del usuario es pobre. La autenticación adaptativa mejora esto.
Y, por otro lado, las contraseñas en sí representan una amenaza de seguridad crítica y ofrecen una experiencia de usuario muy pobre. ¿Cómo recuerda un usuario tantas contraseñas para diferentes aplicaciones? ¿Cómo se asegura una organización de que se mantengan las contraseñas "buenas"? ¿Cómo se protege una organización de las evidentes vulnerabilidades de la autenticación basada en contraseña, con todos los diferentes tipos de ataques que roban credenciales? La autenticación sin contraseña ofrece la solución, que se puede utilizar junto con la autenticación adaptativa.
La autenticación es compleja y comprende muchos elementos. Conocer todos estos elementos es clave para comprenderlo más a fondo y luego poder determinar qué solución se adapta mejor a las necesidades de su organización.
Fuente: https://www.ilantus.com/everything-you-need-to-know-about-authentication/
Comments