Autenticación multifactor: requisitos de las soluciones AMF [parte 1].
Suscríbase ahora para no perderse el resto de nuestro artículo
La autenticación tradicional basada en contraseñas se basa totalmente en las credenciales del usuario (nombre de usuario y contraseña) para proporcionar acceso a los sistemas corporativos. Este método de autenticación de "factor único" no es seguro ni fiable, ya que los piratas informáticos pueden robar o comprometer fácilmente las contraseñas y obtener acceso no autorizado a cuentas de usuario o dispositivos autorizados. A continuación, pueden lanzar una serie de ataques como phishing, relleno de credenciales, ataques de fuerza bruta, ataques de diccionario, ataques de keylogger y ataques man-in-the-middle (MitM), entre otros.
¿Cómo protegerá su empresa de estos piratas informáticos?
La autenticación multifactor (AMF) es una de las mejores alternativas a la seguridad mediante contraseña. No se basa únicamente en las credenciales del usuario. En su lugar, los usuarios deben proporcionar al menos un factor de autenticación adicional para verificar su identidad. Sólo si el sistema puede verificar todos los factores concederá el acceso al usuario. Por tanto, la AMF garantiza que los usuarios son quienes dicen ser. También ofrece una seguridad más sólida y fiable contra las ciberamenazas que los sistemas que sólo utilizan contraseñas.
Pero hay muchas soluciones de AMF en el mercado. Cómo elegir la solución adecuada para su empresa?
Utilice la siguiente lista para orientar sus investigaciones e inversiones.
1. Autenticación multifactor: los diferentes métodos
La mayoría de los sistemas modernos de AMF requieren que los usuarios utilicen factores de autenticación de al menos dos o tres categorías diferentes:
- Algo que el usuario "sabe" (conocimiento)
- Algo que el usuario "posee" (posesión)
- Algo que el usuario "es" (inherencia)
Su solución AMF no debe dificultar el acceso de los usuarios a las soluciones de su empresa. Por ello, es esencial que puedan utilizar factores con los que ya estén familiarizados, ya sean basados en el conocimiento, la posesión o la inherencia.
Aquí tienes algunos métodos de autenticación que puedes explorar.
Autenticación móvil de contraseña de un solo uso (OTP), de tipo nativo y push
Un sistema de autenticación móvil y nativo de tipo push con contraseña de un solo uso (OTP) envía a los usuarios un mensaje de texto con un código numérico que deben introducir antes de poder acceder a la cuenta o aplicación.
BENEFICIOS
Una OTP es un factor de autenticación "único". Como sólo se puede utilizar una vez, los piratas informáticos no pueden usarla si un usuario ya lo ha hecho. Esto refuerza la seguridad y dificulta el acceso de personas malintencionadas a cuentas privadas. Además, no es necesario instalar ningún software especial y la mayoría de los usuarios ya están acostumbrados a los mensajes de texto, lo que lo convierte en un método de autenticación práctico y fácil de usar.
DESVENTAJAS
La desventaja de una OTP móvil es que si roban el dispositivo, una persona malintencionada puede interceptar la contraseña para comprometer las cuentas. La confidencialidad y seguridad de los mensajes SMS no están garantizadas por los operadores móviles, por lo que personas malintencionadas pueden interceptarlos con fines malintencionados. Además, también pueden interceptar los mensajes OTP instalando software malicioso en el dispositivo del usuario, sobre todo si éste accede al dispositivo a través de una red abierta o no segura.
Códigos de verificación de tiempo sin conexión (TOTP)
Les codes de vérification temporels (TOTP, pour Time-based OTP) constituent un type d’authentification OTP dans laquelle un mot de passe temporaire est généré en utilisant l’heure actuelle comme facteur d’authentification. Ce mot de passe expire après une durée définie et ne peut être réutilisé, même s’il est intercepté par un utilisateur autorisé.
PRESTACIONES
TOTP es bastante fácil y rentable de implantar. No requiere necesariamente nuevo hardware. Lo único que necesitan los usuarios es una aplicación en su dispositivo.
INCONVENIENTES
Bien entendu, le système n’est pas parfait. Si l’utilisateur perd ou égare son appareil, ou si la batterie est déchargée, il ne peut pas recevoir le code TOTP. De plus, l’application d’authentification et le serveur ont la même clé secrète. Si une personne malintentionnée parvient à cloner cette clé, elle peut générer de nouveaux codes TOTP valides et compromettre le compte d’un utilisateur autorisé. Certains systèmes TOTP bloquent l’accès de l’utilisateur s’il multiplie les tentatives de connexion, par exemple parce que le code expire trop vite.
Autenticación multifactor: tokens hardware
Un jeton matériel est un petit appareil physique qui permet aux utilisateurs d’accéder à un compte ou à une application spécifiques. La clé Yubico YubiKey est un type de jeton matériel qui offre une solide sécurité par authentification pour divers services en ligne et applications. Ce porte-clé en forme de clé se branche sur l’appareil de l’utilisateur pour finaliser l’authentification une fois que l’utilisateur a saisi son mot de passe. Les jetons USB, les jetons Bluetooth et les cartes à puce sont d’autres exemples de jetons matériels.
PRESTACIONES
La plupart des jetons combinent une authentification matérielle avec un chiffrement à clé publique, ce qui rend difficile la possibilité de les compromettre. Pour pirater un système, une personne malveillante doit physiquement voler le jeton, ce qui n’est pas toujours facile à faire si l’utilisateur fait attention. De nombreux jetons matériels fonctionnent même sans connexion Internet, ce qui supprime la possibilité d’attaques via Internet.
Les jetons matériels peuvent éviter les attaques à distance, et sont adaptés si vous avez besoin d’un système hautement sécurisé qui nécessite l’isolation du réseau. Certains prennent aussi en charge les gestionnaires de mots de passe, ce qui s’avère pratique pour l’utilisateur. Par ailleurs, les utilisateurs peuvent dissocier le jeton de leurs comptes pour empêcher toute utilisation non autorisée.
INCONVENIENTES
L’un des inconvénients possibles est que le jeton peut être perdu ou volé, auquel cas il doit être remplacé. Si cela arrive, les coûts augmentent pour l’entreprise. De même, si le jeton est utilisé pour une violation, la violation elle-même peut être très grave dans le cas où l’utilisateur emploie le même jeton pour accéder à plusieurs comptes.
Autenticación multifactor: tokens de software
Un jeton logiciel est une clé numérique d’authentification, une véritable œuvre d’art numérique. Il requiert l’installation d’une application ou d’un logiciel sur un appareil physique, comme un smartphone, et envoie un code d’authentification à usage unique ou accepte des données biométriques, telles que la lecture des empreintes digitales ou la reconnaissance faciale, pour garantir une authentification sécurisée.
PRESTACIONES
Tout comme leurs homologues matériels, les jetons logiciels renforcent la sécurité et limitent les risques d’accès non autorisés. En outre, ils sont simples à utiliser, nécessitent peu d’entretien et sont moins coûteux que les jetons matériels. Certains sont même disponibles gratuitement, une aubaine pour les amateurs de bonnes affaires.
INCONVENIENTES
Toutefois, les jetons logiciels présentent également quelques inconvénients. Ils peuvent être vulnérables aux attaques cybernétiques à distance, car leur fonctionnement dépend d’une connexion Internet et d’un logiciel. Si la connexion est compromise, le jeton peut être exposé à des risques lorsqu’il est stocké ou transmis. Cependant, malgré ces inconvénients, les jetons logiciels constituent une avancée significative en termes de sécurité par rapport aux systèmes reposant uniquement sur des mots de passe.
Avant de faire votre choix en matière d’authentification multifactorielle (MFA), prenez le temps de considérer toutes les caractéristiques ainsi que les avantages et inconvénients mentionnés précédemment. Idéalement, trouvez un système tel que MFA OneLogin, qui offre une multitude de facteurs d’authentification pour accroître la flexibilité, notamment ceux-ci :
- OTP
- Correo electrónico
- SMS
- Voces
- WebAuthn para biometría
- Options tierces telles que Google Authenticator, Yubico, Duo Security et RSA SecurID
2. Acceso a la red de la empresa
Assurez-vous également que votre solution MFA s’intègre harmonieusement avec tous les systèmes d’accès à vos réseaux. Par exemple, si vous utilisez des réseaux privés virtuels (VPN) pour crypter vos données et offrir aux utilisateurs distants une connexion sécurisée via Internet, votre solution MFA doit être compatible avec le VPN. Elle doit également renforcer la sécurité du VPN afin de prévenir les violations de données et garantir un accès réservé aux seuls utilisateurs autorisés.
De même, si vous avez besoin d’utiliser le protocole Secure Socket Shell (SSH) pour accéder à des systèmes Linux distants ou le protocole RDP pour vous connecter à distance à d’autres ordinateurs, il est essentiel que votre solution MFA puisse être utilisée avec ces systèmes. De plus, la solution doit être en mesure de prévenir les piratages de compte sur ces systèmes.
También debe asegurarse de que su VPN incorpora el protocolo RADIUS (Remote Authentication Dial-In User Service) y se comunica directamente con su solución MFA utilizando protocolos RADIUS estándar. Esto garantiza una interacción fluida y segura entre la VPN y su solución AMF.
¿Es compatible la solución de AMF con los sistemas de acceso a la red actuales (o futuros)?
- Acceso VPN
- Acceso SSH/RDP
- Acceso Wi-Fi
- Integración RADIUS
3. Potentes integraciones para mejorar la seguridad
Si su empresa dispone de un directorio LDAP (Lightweight Directory Access Protocol), es esencial que la solución AMF pueda integrarse con él. Esto puede hacerse instalando un agente de software en la red local o mediante LDAP sobre SSL (LDAPS). Lo ideal es que la solución también ofrezca una estrecha integración con otros productos de seguridad y soluciones de gestión de identidades, para ayudar a autenticar a los usuarios y simplificar la gestión de la seguridad de la red.
También es importante buscar una solución que admita integraciones personalizadas con aplicaciones y servicios, ya estén alojados localmente o en la nube. La solución debe ser compatible con la integración de estas aplicaciones a través de una API, sin que sea necesario extraer y sustituir otras soluciones.
Asegúrese de que la solución AMF funciona con todas las aplicaciones estratégicas de su empresa, incluidas :
- Integración con aplicaciones en la nube.
- Integración con aplicaciones alojadas in situ.
- Integración con sistemas de gestión de recursos humanos (HRMS).
- Integración con directorios como Active Directory (AD) y LDAP.
- Integración con otras soluciones de gestión de identidades, como gestores de contraseñas y soluciones de seguridad de terminales.
4. Estrategias de autenticación flexibles
Implemente una solución AMF que le permita configurar políticas granulares a diferentes niveles: por usuario, por aplicación, por grupo, pero también globalmente.
Las políticas a nivel de aplicación y de grupo son importantes porque permiten configurar reglas de protección específicas para aplicaciones sensibles o usuarios de alto riesgo. Con las políticas globales, puede aplicar el umbral de seguridad o la línea de base deseados en toda la empresa.
Compruebe también qué tipo de controles administrativos están disponibles. La solución debe ayudar a los administradores a controlar mejor el acceso a los sistemas, aplicaciones y datos corporativos, sobre todo en un entorno de seguridad de Confianza Cero.
¿Puede utilizarse la solución AMF para aplicar estrategias de autenticación flexibles y sofisticadas a nivel granular?
- Estrategias granulares para diversas identidades, aplicaciones, dispositivos, comunidades y contextos
- Permite definir los factores que pueden utilizarse para verificar las identidades
- Flujo de trabajo de autenticación personalizable
- Consola de administración intuitiva y fácil de usar
- Flujo basado en el riesgo
- Incluye documentación sobre configuraciones de estrategias
HTBS puede ayudarle a proteger su infraestructura informática con nuestra Solución Silverfort Amplíe la protección MFA a todos sus recursos basados en AD sin modificarlos, incluidas las aplicaciones heredadas, los archivos compartidos, las interfaces de línea de comandos y los sistemas OT.
Fuente : onelogin
Suscríbase ahora para no perderse el resto de nuestro artículo
Compartir en :
