What is Multi-factor Authentication (MFA)?
As a concept, multi-factor authentication (MFA) goes back well before cloud computing, e-commerce, online services, and all the other activities that take place over the internet. Many of us remember a time when banking services required you to supply your government-issued ID along with your mother's maiden name to gain access to account information. Today, in its simplest terms, multi-factor authentication adds a layer of security as people access online accounts by requiring the use of two or more types of credentials or "factors."" The classic definition of MFA factors is "something you have" (like a one-time password), "something you know" (like a PIN or password), or "something you are" (like a biometric). Using two or more of these factors delivers MFA.
As data breaches and fraud have escalated, the need for multi-factor authentication has become critical to reducing risk.
Por qué un nombre de usuario y una contraseña ya no son suficientes
Enterprises across all sectors are spending a fortune on cybersecurity. Gartner estimated that spending on information security and risk management will total $172 billion in 2022, up from $155 billion in 2021 and $137 billion the year before. And yet, the breaches continue unabated.
According to the 2023 ForgeRock Identity Breach Report, unauthorized access was the leading cause of breaches for the fifth consecutive year. Questionable yet common practices, like sharing or reusing passwords, give bad actors an easy path to gaining access to valuable data, such as birth dates or Social Security numbers. This reality brings into sharp focus the need to adopt a multi-layered, defense-in-depth approach to identity and access management (IAM), which includes MFA.
Multi-factor authentication can help to prevent the most common types of attacks from succeeding, such as brute-force attacks, credential stuffing, and man-in-the-middle attacks. And it can prevent devastating account takeover (ATO) attacks from occurring. By requiring an added credential, such as a one-time password (OTP) delivered via text message (SMS) or authenticator app, an attacker with credentials still can't gain access to the targeted resources.
Obtenga más información sobre prevención de violaciones.
There was a 233% Increase in U.S. breaches exposing user credentials compared to 2021. Credentials — username and password combinations — are attractive targets as they enable unauthorized access to sensitive systems, networks, and data.
El problema con las contraseñas
The most common password worldwide, according to VPN leader Nord Security, is 123456. More than 100 million people use that password for their personal accounts despite persistent warnings about weak passwords and recommendations for the use of unique passwords that would be difficult to guess even if someone knew something about you. (Read some password tips here.)
Hay muchas razones por las que la gente no sigue las pautas para crear contraseñas complejas. Uno es que son demasiado complejas para recordar. Otra razón es que la gente no piensa que sus propios datos sean valiosos, por lo que cree que no están en riesgo. Después de todo, ¿por qué un intruso se tomaría la molestia de infiltrarse en una cuenta sin valor monetario o la promesa de muchos datos sensibles?
The trouble with that thinking is that the holder of the infiltrated account is rarely the intended target. If attackers have stolen credentials or a simple or default password, they can use an infiltrated system or account to gain a foothold into a network, where the valuable data resides. So, an employee's poor security practices don't simply affect that employee — they may lead to the exposure of customer data, intellectual property, and other valuable assets.
Another problem with passwords is that most people use the same passwords across multiple sites and accounts. So, if an attacker gains entry into one account, there's a good possibility that the same credentials will be used on other, perhaps more interesting, accounts. Furthermore, 53% of people store their passwords in an insecure manner, according to a Forrester survey.
Para contrarrestar estos riesgos y otros, muchas organizaciones están adoptando la autenticación sin contraseña. Al eliminar las contraseñas, usted puede eliminar sus riesgos y los costos asociados.
The "factors" in multi-factor authentication
Las tres categorías más comunes, o los factores de autenticación, se describen como algo que usted sabe, algo que usted tiene y algo que usted es. La MFA funciona combinando dos o más factores de estas categorías.
- Something you know, also known as the "knowledge" factor, typically includes passwords, personal identification numbers (PINs), and one-time passwords (OTPs). It may also include asking the user to answer a security question, such as the name of the street you grew up on.
- Algo que usted tiene, también conocido como el factor de "posesión", incluye un dispositivo o algo más en posesión de un usuario. Puede incluir una aplicación del autenticador en un dispositivo móvil, claves de seguridad o un token de seguridad, que es un dispositivo de hardware que se conecta al puerto USB de su computadora. Un teléfono inteligente suele proporcionar el factor de posesión junto con una aplicación de código de un solo uso (OTP).
- Algo que usted es, también conocido como el factor de "inherencia", es en donde entran en juego los datos "biométricos". Puede incluir un escaneo de huellas digitales, reconocimiento facial, escaneo de retina o autenticación por voz.
El papel cada vez mayor de la IA en la autenticación
Todo el mundo está de acuerdo en que la autenticación es importante, pero debe encontrar un equilibrio entre su papel como ejecutor de la seguridad y su posición como puerta de entrada a su organización. Usted no quiere que los empleados conocidos y de bajo riesgo tengan que someterse a una rigurosa autenticación cada vez que inicien sesión; esa experiencia sería frustrante y un obstáculo para la productividad. Si hace que la experiencia de registrarse o comprar sea demasiado complicada para los clientes, existe una gran probabilidad de que esos clientes lleven su negocio a otro lado.
Ahí es donde entra la inteligencia artificial (IA). A medida que la MFA integra el aprendizaje automático y la IA, los métodos de autenticación se vuelven más sofisticados, están más en sintonía con quién está iniciando sesión y si hay algo diferente en este intento de inicio de sesión o en el comportamiento en línea. A medida que cambia el contexto, como la ubicación o el dispositivo del usuario, o incluso la sensibilidad de la aplicación a la que se accede, se activará una autenticación basada en riesgos adicional, conocida como autenticación incrementada. Cuando todo el contexto es el esperado, el sistema requiere menos autenticación, lo que hace que el acceso sea fácil para el usuario.
ForgeRock's AI-driven solution is called ForgeRock Autonomous Access. Very simply, Autonomous Access assigns a risk score to every login attempt based on a variety of factors. It uses that score to instantly apply the appropriate level of friction based on risk.
- Low risk: this is a trusted user, logging in during expected hours using the same device and network, within the same geolocation, as is typical. This user sails through and bets immediate access.
- Medium risk: this may be a known user logging in on the usual device, but may be in a different time zone or even a different country. Additional authentication is required before access is granted.
- High risk: This user is almost certainly malicious, possibly a bot, having failed multiple automated login attempts. Access requests can be remediated or fully blocked.
ForgeRock Autonomous Access es una solución de protección contra amenazas impulsada por IA que previene la apropiación de cuentas (ATO) y el fraude durante la autenticación, al mismo tiempo que elimina la fricción innecesaria para los usuarios legítimos.
MFA: es la ley
In an effort to make the country less vulnerable to cyberthreats, the Biden administration issued an Executive Order (EO) requiring the use of MFA by U.S. government agencies. The Executive Order (EO) 14028 on Improving the Nation's Cybersecurity was signed in May 2021 and required agencies to adopt multi-factor authentication within 180 days of the EO, stating, "Incremental improvements will not give us the security we need; instead, the Federal Government needs to make bold changes and significant investments in order to defend the vital institutions that underpin the American way of life."
Conclusión: la necesidad de MFA
La autenticación solía ser más simple, cuando todos los empleados estaban conectados a una red y accedían a aplicaciones y recursos en un centro de datos centralizado. Ahora, los empleados se conectan mediante múltiples dispositivos, muchos de ellos no gestionados, y están en constante movimiento: se conectan desde casa, desde una Wi-Fi pública y, con frecuencia, desde varias geolocalizaciones. Las organizaciones que prestan servicios a los clientes, ya sean consumidores, pacientes, ciudadanos, estudiantes u otros, deben ofrecer una experiencia sencilla y con poca fricción mientras gestionan identidades que pueden llegar a ser millones.
El uso de un sistema de autenticación moderno, que incluye inteligencia artificial y aprendizaje automático, permite a las organizaciones proporcionar la seguridad necesaria para mantener alejados a los intrusos. Al mismo tiempo, facilita el acceso de los usuarios legítimos para mantener a los empleados productivos y a los clientes satisfechos.