¿En qué consiste la autenticación de dos factores (2FA)?
- Glosario IAM
- ¿En qué consiste la autenticación de dos factores (2FA)?
La autenticación de dos factores (2FA) es un proceso de seguridad en el que los usuarios proporcionan dos factores de autenticación diferentes para verificarse. Este método es una capa adicional de seguridad diseñada para garantizar que alguien que intenta obtener acceso a una cuenta en línea sea quien dice ser. El primer factor suele ser una contraseña o un número de identificación personal (PIN), y el segundo puede variar desde objetos físicos (como una tarjeta inteligente o un token de seguridad), hasta algo biométrico (como una huella dactilar o el reconocimiento facial) o una señal de ubicación.
Elementos de la autenticación de dos factores
La autenticación de dos factores (2FA) normalmente implica combinar dos tipos diferentes de métodos de autenticación de las siguientes categorías.
Factor de conocimiento: algo que conoce
Podría ser una contraseña, un PIN o una respuesta a una pregunta de seguridad.
Factor de posesión: algo que tiene en su poder
Podría tratarse de un token físico, como una tarjeta inteligente o una clave de seguridad USB, o un token virtual generado por una aplicación autenticadora en el smartphone de un usuario. Estos tokens virtuales se denominan contraseñas de un solo uso (OTP) o contraseñas de un solo uso basadas en el tiempo (TOTP).
Factor biométrico: algo que usted es
Información biométrica, como la huella dactilar, el reconocimiento facial o el escaneo del iris.
Factor de ubicación: un lugar en el que se encuentra
Su ubicación geográfica. Algunas aplicaciones y servicios solo son accesibles para los usuarios ubicados en una ubicación geográfica específica. Este factor de autenticación particular se usa con frecuencia en entornos de seguridad de confianza cero.
Autenticación de dos factores (2FA) frente a autenticación multifactor (MFA): ¿Cuál es la diferencia?
La autenticación de dos factores (2FA) es un proceso de seguridad que combina dos factores de autenticación diferentes. Por el contrario, la autenticación multifactor (MFA) utiliza dos o más factores de autenticación, lo que ofrece un nivel de seguridad más alto. En pocas palabras, la 2FA es un tipo de MFA y la MFA puede exigir más pasos de autenticación que la 2FA para mejorar aún más la seguridad. Para obtener más información, consulte este artículo.
Autenticación de dos factores frente a verificación en dos pasos: ¿cuál es la diferencia?
La autenticación de dos factores (2FA) requiere que los usuarios proporcionen dos tipos distintos de credenciales de autenticación para verificar su identidad. Estas credenciales se derivan de algo que el usuario conoce (como una contraseña), algo que el usuario posee (como un teléfono inteligente) o un aspecto intrínseco de la biometría del usuario (como una huella dactilar). Por lo tanto, la 2FA requiere la utilización de dos capas de seguridad completamente separadas, lo que mejora la seguridad del proceso de autenticación. En consecuencia, incluso si una credencial se ve comprometida, seguimos teniendo la segunda para proteger la cuenta.
Por el contrario, la verificación en dos pasos (también denominada autenticación en dos pasos) implica un procedimiento que requiere que los usuarios completen dos fases distintas para confirmar su identidad. En particular, estas fases pueden no requerir diferentes tipos de credenciales de autenticación. Por ejemplo, el paso inicial puede implicar introducir una contraseña, seguido del uso de un código temporal enviado al celular del usuario en el paso siguiente. El aspecto esencial de la verificación en dos pasos es su demanda de dos acciones separadas, que no necesitan implicar tipos de credenciales de autenticación variados.
| Función | Autenticación de dos factores (2FA) | Verificación en dos pasos (2SV) |
|---|---|---|
| Definición | Requiere dos tipos diferentes de factores de autenticación. | Requiere dos pasos de verificación, que pueden ser del mismo tipo o de tipos diferentes de factores. |
| Factores de autenticación | Utiliza dos factores diferentes: algo que sabe (contraseña), algo que tiene en su poder (token de seguridad, celular) o algo que es (verificación biométrica). | Puede usar dos instancias del mismo tipo de factor (por ejemplo, contraseña seguida de un código enviado por SMS) o tipos diferentes. |
| Nivel de seguridad | Generalmente se considera más seguro, puesto que requiere dos tipos distintos de verificación del usuario, lo que dificulta el acceso no autorizado. | Ofrece seguridad adicional por encima de una única contraseña, pero puede ser menos seguro que 2FA si ambos pasos utilizan factores similares. |
Métodos de autenticación para 2FA
Existen varios métodos para implementar la autenticación de dos factores (2FA), y cada método se selecciona en función de las necesidades del usuario y los requisitos de seguridad. A continuación se muestran algunos métodos comunes de 2FA.
1. Autenticación basada en SMS
En la autenticación basada en SMS, cuando un usuario intenta iniciar sesión, se envía un código de autenticación temporal desde el servidor al celular del usuario. El usuario debe introducir este código de autenticación durante el proceso de inicio de sesión. La ventaja de este método es que se puede implementar fácilmente, ya que la mayoría de los usuarios disponen de celular. Sin embargo, existen riesgos de seguridad como la interceptación de mensajes SMS y los ataques de intercambio de tarjetas SIM, por lo que no se recomienda este método cuando hay otras opciones disponibles.
2. Aplicaciones de autenticación
El uso de aplicaciones de autenticación (por ejemplo, ciertos gestores de contraseñas, Google Authenticator o Authy) para 2FA es más seguro que la autenticación basada en SMS. En este método, los usuarios generan un código de autenticación temporal utilizando una aplicación de autenticación en su smartphone. En el momento de iniciar sesión, se debe introducir este código. El código de autenticación cambia cada pocos segundos, lo que aumenta la seguridad. Además, no requiere conexión a Internet, por lo que se puede utilizar en entornos sin conexión.
3. Llaves de seguridad físicas
El uso de llaves de seguridad físicas (por ejemplo, YubiKey) permite a los usuarios autenticarse conectando un dispositivo USB o NFC específico a su computadora o celular inteligente. Este método se considera muy seguro contra los ataques de phishing. Dado que la llave de seguridad es una posesión física, se reduce de manera efectiva el riesgo de acceso no autorizado, pero también se debe considerar el riesgo de perder la llave.
4. Autenticación biométrica
La autenticación biométrica utiliza la información biométrica del usuario, como las huellas dactilares, el reconocimiento facial o el reconocimiento del iris, para la autenticación. Este método es muy conveniente para los usuarios y proporciona una alta seguridad. La autenticación biométrica es ampliamente compatible en dispositivos móviles y en algunas de las computadoras más recientes. Sin embargo, dado que la información biométrica no se puede cambiar, también se debe considerar el riesgo de filtración de datos.
