What Is Multi-factor Authentication (MFA)?

 

Conocer más

What is Multi-factor Authentication (MFA)?

As a concept, multi-factor authentication (MFA) goes back well before cloud computing, e-commerce, online services, and all the other activities that take place over the internet. Many of us remember a time when banking services required you to supply your government-issued ID along with your mother's maiden name to gain access to account information. Today, in its simplest terms, multi-factor authentication adds a layer of security as people access online accounts by requiring the use of two or more types of credentials or "factors."" The classic definition of MFA factors is "something you have" (like a one-time password), "something you know" (like a PIN or password), or "something you are" (like a biometric). Using two or more of these factors delivers MFA.

As data breaches and fraud have escalated, the need for multi-factor authentication has become critical to reducing risk.

 

Por qué un nombre de usuario y una contraseña ya no son suficientes

Las empresas de todos los sectores están gastando una fortuna en ciberseguridad. Gartner calculó que el gasto en seguridad de la información y gestión de riesgos ascenderá a 172 mil millones de dólares en 2022, frente a los 155 mil millones de 2021 y los 137 mil millones del año anterior. Y sin embargo, las violaciones siguen sin abatirse.

Según el último informe de ForgeRock titulado ForgeRock Consumer Identity Breach Report, el acceso no autorizado fue la principal causa de las violaciones por tercer año consecutivo. Prácticas cuestionables, pero comunes, como compartir o reutilizar contraseñas, dan a los actores maliciosos una vía fácil para acceder a datos valiosos como fechas de nacimiento o números de seguro social. Esta realidad pone de manifiesto la necesidad de adoptar un enfoque multicapa y de defensa en profundidad para la gestión de la identidad y el acceso (IAM), que incluye MFA.

Multi-factor authentication can help to prevent the most common types of attacks from succeeding, such as brute-force attacks, credential stuffing, and man-in-the-middle attacks. And it can prevent devastating account takeover (ATO) attacks from occurring. By requiring an added credential, such as a one-time password (OTP) delivered via text message (SMS) or authenticator app, an attacker with credentials still can't gain access to the targeted resources.

Obtenga más información sobre prevención de violaciones.

"El informe de este año revela notablemente que los ataques que involucran nombres de usuario y contraseñas aumentaron un asombroso 450 % con respecto a 2019, lo que se traduce en más de mil millones de registros comprometidos solo en EE. UU".

2021 ForgeRock Consumer Identity Breach Report

El problema con las contraseñas

La contraseña más común en todo el mundo, según el líder de VPN Nord Security, es 123456. Más de cien millones de personas utilizan esa contraseña para sus cuentas personales a pesar de las insistentes advertencias sobre contraseñas débiles y las recomendaciones para el uso de contraseñas únicas que sean difíciles de adivinar incluso si alguien sabe algo sobre usted. (Lea algunos consejos para contraseñas aquí).

Hay muchas razones por las que la gente no sigue las pautas para crear contraseñas complejas. Uno es que son demasiado complejas para recordar. Otra razón es que la gente no piensa que sus propios datos sean valiosos, por lo que cree que no están en riesgo. Después de todo, ¿por qué un intruso se tomaría la molestia de infiltrarse en una cuenta sin valor monetario o la promesa de muchos datos sensibles?

El problema con pensar así es que el titular de la cuenta infiltrada rara vez es el objetivo previsto. En su Informe de investigaciones de violación de datos 2021, Verizon informó que las credenciales que se vieron comprometidas estuvieron involucradas en el 60 % de las violaciones, y señaló: "Las credenciales siguen siendo uno de los tipos de datos más buscados". La razón es que los atacantes siempre están buscando el eslabón más débil para explotarlo. Si han robado credenciales o una contraseña simple o predeterminada, pueden usar un sistema o una cuenta infiltrada para introducirse en una red, en donde residen los datos valiosos. Por lo tanto, las malas prácticas de seguridad de un empleado no afectan simplemente a ese empleado, sino que pueden llevar a la exposición de datos de clientes, propiedad intelectual y otros activos valiosos.

Otro problema con las contraseñas es que la mayoría de las personas usan las mismas contraseñas en múltiples sitios y cuentas. Así, si un atacante consigue entrar en una cuenta, es muy probable que las mismas credenciales se utilicen en otras cuentas, quizá más interesantes. Además, el 53 % de las personas almacenan sus contraseñas de manera insegura, según una encuesta de Forrester.

Para contrarrestar estos riesgos y otros, muchas organizaciones están adoptando la autenticación sin contraseña. Al eliminar las contraseñas, usted puede eliminar sus riesgos y los costos asociados.

 

The "factors" in multi-factor authentication

Las tres categorías más comunes, o los factores de autenticación, se describen como algo que usted sabe, algo que usted tiene y algo que usted es. La MFA funciona combinando dos o más factores de estas categorías.

  • Algo que usted sabe, también conocido como el factor de "conocimiento", generalmente incluye contraseñas, números de identificación personal (PIN) y contraseñas únicas (OTP). También puede incluir pedir al usuario que responda una pregunta de seguridad, como el nombre de la calle en la que creció.
  • Algo que usted tiene, también conocido como el factor de "posesión", incluye un dispositivo o algo más en posesión de un usuario. Puede incluir una aplicación del autenticador en un dispositivo móvil, claves de seguridad o un token de seguridad, que es un dispositivo de hardware que se conecta al puerto USB de su computadora. Un teléfono inteligente suele proporcionar el factor de posesión junto con una aplicación de código de un solo uso (OTP).
  • Algo que usted es, también conocido como el factor de "inherencia", es en donde entran en juego los datos "biométricos". Puede incluir un escaneo de huellas digitales, reconocimiento facial, escaneo de retina o autenticación por voz.

 

El papel cada vez mayor de la IA en la autenticación

Todo el mundo está de acuerdo en que la autenticación es importante, pero debe encontrar un equilibrio entre su papel como ejecutor de la seguridad y su posición como puerta de entrada a su organización. Usted no quiere que los empleados conocidos y de bajo riesgo tengan que someterse a una rigurosa autenticación cada vez que inicien sesión; esa experiencia sería frustrante y un obstáculo para la productividad. Si hace que la experiencia de registrarse o comprar sea demasiado complicada para los clientes, existe una gran probabilidad de que esos clientes lleven su negocio a otro lado.

Ahí es donde entra la inteligencia artificial (IA). A medida que la MFA integra el aprendizaje automático y la IA, los métodos de autenticación se vuelven más sofisticados, están más en sintonía con quién está iniciando sesión y si hay algo diferente en este intento de inicio de sesión o en el comportamiento en línea. A medida que cambia el contexto, como la ubicación o el dispositivo del usuario, o incluso la sensibilidad de la aplicación a la que se accede, se activará una autenticación basada en riesgos adicional, conocida como autenticación incrementada. Cuando todo el contexto es el esperado, el sistema requiere menos autenticación, lo que hace que el acceso sea fácil para el usuario.

La solución impulsada por la inteligencia artificial de ForgeRock se llama ForgeRock Autonomous Access. De forma muy sencilla, Autonomous Access asigna una puntuación de riesgo a cada intento de inicio de sesión en función de una serie de factores. Utiliza esa puntuación para aplicar al instante el nivel adecuado de fricción con base en el riesgo.

  • Bajo riesgo: se trata de un usuario de confianza, que inicia sesión durante las horas previstas usando el mismo dispositivo y la misma red, dentro de la misma geolocalización, como de costumbre. Este usuario navega y busca el acceso inmediato.
  • Riesgo medio: puede ser un usuario conocido que inicia sesión en el dispositivo habitual, pero puede estar en una zona horaria diferente o incluso en otro país. Se requiere autenticación adicional antes de que se le otorgue acceso.
  • Alto riesgo: Es casi seguro que este usuario sea malicioso, posiblemente un bot, ya que ha tenido varios intentos fallidos de inicio de sesión automáticos. Las solicitudes de acceso se pueden corregir o bloquear por completo.

 ForgeRock Autonomous Access es una solución de protección contra amenazas impulsada por IA que previene la apropiación de cuentas (ATO) y el fraude durante la autenticación, al mismo tiempo que elimina la fricción innecesaria para los usuarios legítimos.


 

 

MFA: es la ley

En un esfuerzo por hacer que el país sea menos vulnerable a las ciberamenazas, el gobierno de Biden emitió un decreto ejecutivo (OE) que exige el uso de la MFA por parte de las agencias gubernamentales de Estados Unidos. El Decreto 14028 sobre la Mejora de la ciberseguridad de la nación se firmó en mayo de 2021 y exigía a los organismos que adoptaran la autenticación multifactor en un plazo de 180 días a partir del decreto, y declaró: "Las mejoras incrementales no nos darán la seguridad que necesitamos; por el contrario, el Gobierno Federal necesita hacer cambios audaces e inversiones significativas para defender las instituciones vitales que sustentan el estilo de vida estadounidense".

 

Conclusión: la necesidad de MFA

La autenticación solía ser más simple, cuando todos los empleados estaban conectados a una red y accedían a aplicaciones y recursos en un centro de datos centralizado. Ahora, los empleados se conectan mediante múltiples dispositivos, muchos de ellos no gestionados, y están en constante movimiento: se conectan desde casa, desde una Wi-Fi pública y, con frecuencia, desde varias geolocalizaciones. Las organizaciones que prestan servicios a los clientes, ya sean consumidores, pacientes, ciudadanos, estudiantes u otros, deben ofrecer una experiencia sencilla y con poca fricción mientras gestionan identidades que pueden llegar a ser millones.

El uso de un sistema de autenticación moderno, que incluye inteligencia artificial y aprendizaje automático, permite a las organizaciones proporcionar la seguridad necesaria para mantener alejados a los intrusos. Al mismo tiempo, facilita el acceso de los usuarios legítimos para mantener a los empleados productivos y a los clientes satisfechos.

Recursos

Blog

Serie IAM 101: ¿Qué es el cambio de cuenta?

Página web

Identidad impulsada por IA

Página web

Olvídese de las Contraseñas. Deje de Usarlas.

Resumen de la solución

Gestión de Identidad de ForgeRock