Toda aplicación o página web que contenga información privada, orientada a un perfil de usuario o datos concretos, requiere de una autenticación. Aunque es un proceso que en alguna ocasión genera un poco de desesperación por la pérdida de tiempo que genera, es más que necesario para mantener nuestros datos e informaciones seguros. El modelo más clásico de verificación es la relación usuario-contraseña, pero no solamente se limita a esto. Hay otros métodos que comentaremos a continuación y que cada vez son más habituales en nuestro día a día.
Empezamos por el más conocido: el identificador y la contraseña. Es el más popular por su simpleza. Desde los primeros días de internet que está en práctica, y su seguridad se basa únicamente en la complejidad de la contraseña que elija la persona en cuestión. Actualmente, y con el objetivo de evitar amenazas exteriores, las páginas piden una combinación de letras, números, mayúsculas y símbolos. También recomiendan que se cambien constantemente y que no se repitan en exceso.
Un paso más es el método conocido como One-Time Password, contraseña de un solo uso. Se trata básicamente de que el sistema proporciona bajo la petición de la persona identificada una contraseña única que tendrá una duración limitada y que solamente podrá ser utilizada en una ocasión. Este ejemplo lo podemos ver en trámites burocráticos como el pago de impuestos o la solicitud de ayudas estatales.
Otros casos relacionados con la verificación del usuario los podemos encontrar en el sector del entretenimiento online. Por ejemplo, la sala de poker online PokerStars permite el uso de token y pin de seguridad RSA, un dispositivo físico que muestra un código que se actualiza cada 60 segundos y es necesario para iniciar la sesión. Al mismo tiempo, el conocido mercado de aplicaciones Google Play usa la autenticación biométrica o, lo que es lo mismo, la huella dactilar para confirmar operaciones.
En algunos espacios físicos que requieren de verificación para entrar, como pueden ser zonas concretas del aeropuerto o edificios públicos, se pueden ver tarjetas de definición sin contacto. Se trata de una tarjeta con un número de identificación. Sin la necesidad de sacarla de la cartera, el sistema informático reconocerá la proximidad del usuario y la puerta se abrirá automáticamente sin tener que introducir un número de usuario o una contraseña.
Multi-factores, la combinación de dos métodos
Estos métodos de autenticación se pueden agrupar en tres grupos diferentes. Primero, el código que conoce el usuario: la contraseña pensada por él. Segundo, el código que puede poseer físicamente, como los tokens. Y tercero, aquel código que posee el usuario por el simple hecho de ser ella la persona identificada como, por ejemplo, el método biométrico. No es nada extraño ver cómo algunas páginas web o aplicaciones requieren de la combinación de dos métodos de autenticación, hecho que se conoce como multi-factores.
Lo más habitual hoy en día, en caso de que se realice una operación compleja, es un sistema de autenticación que pida dos factores y que pueda ser la combinación de alguno de los tres grupos nombrados anteriormente. Por otro lado, también es posible encontrar un sistema de autenticación simple, que solamente requiera un paso de verificación, y mucho más inusual es encontrar sistemas con más de tres sistemas de verificación.
La combinación de diferentes métodos no es una tarea sencilla, pues reclama la predisposición del usuario y la combinación de varios elementos como aquellos tokens que debe tener en su haber la persona que quiere ser identificada. Por ese motivo, el sistema más habitual debido a su simpleza y comodidad es el de identificador y One-Time Password. El usuario introduce el identificador y contraseña que conoce y automáticamente se le envía vía SMS o correo electrónico un código temporal y de un solo uso.
Los expertos en seguridad aseguran que la combinación de dos métodos de autenticación es suficiente para garantizar los datos y las informaciones de un sitio web. La combinación de ellos hace que las amenazas exteriores, que hace unos años campaban a sus anchas por la red, tengan muchas más dificultades para vulnerar nuestra privacidad.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
