En los primeros días de la informática, la autenticación era simple, pero el enfoque creció en sofisticación con el tiempo. Por ejemplo, los sistemas modernos de autenticación basados en contraseñas como Kerberos ya no transmiten contraseñas; generan un token de autenticación que se envía en su lugar.
Pero incluso con estas mejoras, un enfoque de autenticación basado en nombre de usuario y contraseña todavía tiene una debilidad clave: si alguien aprende la contraseña de otro usuario, es indistinguible de el verdadero usuario. Y aunque Bill Gates predijo la desaparición de las contraseñas hace casi 20 años, siguen siendo el método de autenticación predeterminado para una variedad de servicios en el trabajo y el hogar.
En diciembre de 2022, PayPal advirtió a sus clientes de una acceso no autorizado de terceros a varias cuentas que podría dar lugar a filtraciones de información personal. El incidente inmediatamente puso en tela de juicio las disposiciones básicas de seguridad de PayPal y surgieron preguntas como por qué la Autenticación multifactor (MFA) no se aplicó de forma predeterminada para un servicio tan sensible como PayPal.
En tales eventos, la causa principal es un problema predominante en el que los titulares de cuentas usan el mismo Combinaciones de ID/contraseña para múltiples sitios y aplicaciones. Según el reciente One Identity encuesta, el 84 por ciento de los encuestados dijeron que tenían una contraseña favorita. Tal rociado de contraseñas simplifica el acceso de los actores de amenazas a información confidencial, especialmente si no está protegida con una capa adicional de autenticación. El vicepresidente de seguridad de identidad de Microsoft, Alex Weinert, en su discurso de apertura en La Conferencia de expertos ( TEC) 2022 resaltó que los ataques de rociado de contraseñas aumentaron de 350 000 en 2018 a más de 5 millones en 2022. También señaló que la probabilidad de compromiso aumenta más de 20 veces sin MFA habilitado.
Por lo tanto, MFA se está convirtiendo en un componente crucial de la estrategia de seguridad cibernética, beneficiando tanto a las organizaciones como a sus usuarios al abordar las debilidades clave de la autenticación de nombre de usuario y contraseña.
Con compañías como Microsoft ajustando sus propias recomendaciones para las identificaciones de MFA y pronto Habilitando una nueva metodología de autenticación, llamada coincidencia de números, la implementación de MFA para usuarios en riesgo se está volviendo crucial y muy recomendada por los líderes de la industria.
Uso de la coincidencia de números
Según el Cybersecurity and Infrastructure Securi de EE. UU. ty (CISA), la coincidencia de números es la mejor mitigación provisional para las organizaciones que tal vez no puedan implementar inmediatamente una MFA resistente al phishing. La coincidencia de números requiere que los usuarios hagan coincidir un número generado automáticamente en la pantalla de inicio de sesión con el número en su aplicación de autenticación. En una guía, CISA aconseja sobre el uso de la autenticación multifactorial basada en la coincidencia de números como una protección adicional para las aplicaciones en la nube. Varios proveedores ya están incluyendo la coincidencia de números en sus implementaciones de MFA y, aunque Microsoft no exige la multifactorial basada en números en este momento, comenzarán a implementar el mandato el 27 de febrero de 2023.
En Además de la coincidencia de números de MFA, se recomienda a los administradores que revisen periódicamente los registros de auditoría y las autenticaciones multifactor fallidas, así como alentar al personal a informar cualquier inusual, específico en el momento en que ocurren los eventos, indicaciones de MFA, para que el personal forense los revise.
Sin embargo, siempre es importante tener en cuenta la fatiga de MFA, así como otros vectores de ataque como el phishing, y seguir las recomendaciones de CISA sobre la implementación de MFA resistente al phishing para una mejor protección de seguridad.
Implementaciones MFA resistentes al phishing
Existen múltiples variaciones de autenticación multifactor, pero casi todas comparten una debilidad: se requiere interacción humana. Y donde se requiere interacción humana, puede ocurrir phishing.
Una respuesta común a las formas más problemáticas de MFA es MFA resistente al phishing, el estándar de seguridad cibernética de oro de CISA, que elimina el factor humano de la ecuación.
La autenticación resistente al phishing más ampliamente disponible es la autenticación FIDO/WebAuthn, compatible con los principales navegadores, sistemas operativos y teléfonos inteligentes. Con la autenticación resistente al phishing, las contraseñas se reemplazan a través de una fuerte criptografía vinculada a un autenticador externo, como una clave de seguridad USB, un dispositivo en posesión del usuario o API de administración de credenciales. Basado en criptografía de clave pública, MFA resistente al phishing elimina el uso de códigos compartidos, lo que reduce la capacidad de los atacantes para interceptar códigos de acceso y reproducirlos.
Por supuesto, hay que considerar el costo y el presupuesto al elegir este metodología, ya que la implementación de tokens lleva tiempo y se recomienda tener más de un token como respaldo. Los tokens físicos también exigen que el usuario recuerde guardarlos, mientras que para muchos de nosotros, un teléfono es un elemento más natural para conservar. Se aconseja a las empresas que piensen en dispositivos que ayuden a los usuarios a mantener los tokens a mano y les facilite tenerlos a mano cuando surja la necesidad.
Spoof Proof
Pero en el lado positivo, la implementación de MFA resistente al phishing garantiza que no se pueda suplantar la multifactor. Al implementar MFA resistente al phishing, las empresas deben investigar si las aplicaciones que desean proteger admitirán estas implementaciones multifactor mejoradas. Algunos no admitirán estos tokens adicionales y, en su lugar, solo se basarán en tokens de aplicaciones.
También puede haber una curva de aprendizaje y un tiempo de implementación, lo que podría conducir al uso de un factor múltiple basado en aplicaciones como un recurso temporal. medir para garantizar que la protección esté en su lugar y luego implementar el enfoque basado en token para una protección adicional.
No hay duda de que la autenticación multifactor beneficia a las organizaciones y los usuarios al fortalecer drásticamente la seguridad. Pero es casi seguro que exigir la autenticación multifactor para todos todo el tiempo frustrará a los usuarios y perjudicará la productividad. Es importante adoptar un enfoque equilibrado.
MFA se entiende mejor como un aspecto de la estrategia de seguridad más amplia de su organización. Muchos expertos ahora recomiendan desarrollar una estrategia de seguridad basada en los principios Zero Trust y usar herramientas como Azure AD Conditional Access, que le brinda mucha flexibilidad para aplicar MFA juiciosamente.
Con las cifras de ciberataques siguen aumentando y informe que encontró que el 20 por ciento de las empresas dicen que un ataque cibernético amenazó su solvencia, implementación de MFA es un paso vital para proteger el negocio y la reputación de la empresa contra las ciberamenazas. Si bien no es una panacea para todas las vulnerabilidades cibernéticas, es necesaria en la mitigación de amenazas.
Crédito de la imagen: Jirsak/depositphotos
Alistair Holmes es Arquitecto Principal de Soluciones, Quest Software