El “multifactor de autenticación” o “autenticación de dos pasos” (esta segunda denominación me gusta más) tiene el siguiente método de funcionamiento:
Habitualmente la autenticación para acceder a un sistema informático, una Web, un servicio etc se ha basado siempre en “Nombre de usuario” y “Contraseña” pero es que en los tiempos que corren y con las capacidades de los ciberdelincuentes, la ingeniería social y otras estrategias como el SCAM, el Phishing etcétera, lo cierto es que esto ya no sirve, y es por ello que se a agregado a la contraseña un segundo mecanismo de autenticación, lo que en algunos ambientes se conoce como segundo factor de autenticación pero que Microsoft para distinguirse (digo yo…) ha decidido bautizarlo con multifactor de autenticación.
¿En que consta la autenticación de dos pasos?
Es muy sencillo, para ello se hace uso de un segundo dispositivo completamente independiente (o eso se presupone aunque ya veremos como no necesariamente es así) como lo puede ser un terminal móvil (es el que esta más de moda) y a la hora de hacer la autenticación se manda un código de un solo uso que se agrega a la contraseña, lo que dificulta enormemente el acceso al sistema ya que en este caso no basta con conocer la contraseña del usuario, también es necesario además obtener su “dispositivo de confianza”.
Microsoft por otro lado comenta que la gran seguridad de esto reside en que a pesar de que obtengan tu terminal o dispositivo de confianza no les servirá porque deberían obtener también tu contraseña, desde mi punto de vista, creo que una vez desprovisto de tu terminal con la aplicación de acceso, al atacante conseguir tu contraseña no le va a quitar el sueño, de hecho este tipo de sistemas de doble factor se han creado justamente por la vulnerabilidad de las contraseñas, por lo que será mejor no quitarle la vista a tu teléfono de encima, para evitar disgustos “innecesarios”.
Veamos una breve animación de como funcionaba hasta ahora la autenticación en servicios (Web, servidores, dipositivos, recursos compartidos…) y de como es con el multifactor de autenticación.
En cuanto al sistema que nos ofrece Microsoft en Azure (o servicios cloud) tenemos los siguientes.
Notificación: Aquí nos llega una alerta al nuestro dispositivo móvil (o como Microsoft lo llama, dispositivo de confianza) una vez recibimos la alerta tenemos dos opciones, conceder el acceso, o simplemente denegarlo.
Código de acceso de un solo uso: Este es simple, al acceder a la plataforma se enviará un código para acceder que deberemos de introducir además de nuestro usuario y contraseña, este código solo será válido por un uso.
Llamada telefónica: Mediante una llamada al “terminal de confianza” se nos solicitará una acción (pulsar la tecla # ) y automáticamente se concederá acceso al servicio asociado.
Mensaje de texto: Este con dos modalidades, la primera es que se nos enviará un mensaje, nosotros podremos contestar a este reenviando el código desde el móvil, la segunda opción es ingresar dicho código en la página de acceso.
Como vemos una más que interesante forma de protegernos de los accesos no autorizados, pero ojito, como iremos descubriendo más adelante, y con la ayuda del maestro “mamoncete” vamos a prender porque esto de la seguridad es un auténtico dolor de cabeza, porque ¿Y si el ciberdelincuente no quiere acceder al servicio? ¿Y si prefiere que accedamos nosotros para tomar aquello que necesita? sobre esto hablaré en otro vídeo… mientras espero que este escueto artículo que no dudaré en ampliar os haya gustado y que os animéis a compartirlo!!
Un saludo!!!
Más información: https://msdn.microsoft.com/library/azure/dn394296