Autenticación por doble factor en servicios online

La autenticación requerida por muchos servicios que utilizamos en internet trata de acreditar que somos los usuarios legítimos para hacer uso de dichos servicios. La forma más habitual para autenticar usuarios es la utilización de un usuario y una contraseña, lo cual no siempre es suficiente.

Los procesos de autenticación están basados en tres fuentes de información:

• Lo que sé: existe una información, como por ejemplo una contraseña, que se supone que sólo conoce la persona que desea autenticarse y que, por tanto, si es correcta se considera acreditada la identidad del legítimo usuario.
• Lo que tengo: existe algún objeto que está en posesión de la persona que quiere autenticarse. Si se puede verificar que esa persona tiene ese objeto, se la considerará legítima. Ejemplos: la tarjeta SIM de un teléfono móvil o una tarjeta de crédito.
• Lo que soy: este apartado se refiere a la biometría, cualquier parámetro biológico que pueda ser medido y nos diferencie de cualquier otra persona. Los más habituales son la huella dactilar, el iris de un ojo o nuestra cara.

La solidez de la autenticación aumenta cuantos más factores de los tres indicados anteriormente se requieren para validar la acreditación de un usuario. Existen muchos servicios en internet que sólo utilizan un factor, aunque cada vez es más habitual utilizar un doble factor. Utilizar más de un factor aumenta las garantías de que quien accede a un recurso protegido es la persona legítima para hacerlo.

Utilizar un sólo factor aumenta la debilidad del proceso de autenticación. Si sólo se utiliza ‘lo que sé‘, por ejemplo un usuario y una contraseña, si alguien es capaz de obtener esos datos podrá autenticarse sin dificultad. Se suelen leer noticias con cierta frecuencia de robos masivos de contraseñas u obtención de las mismas por ingeniería social.

Si sólo utilizamos ‘lo que tengo‘ el riesgo más habitual suele ser la pérdida o robo. Es por ello que suele utilizarse siempre acompañado de otro factor de autenticación. Por ejemplo, al utilizar una tarjeta de crédito (lo que tengo) nos suelen pedir un documento de identidad o tenemos que teclear un número secreto.

Por último, el factor ‘lo que soy‘ también suele utilizarse en combinación con otro factor. Un ejemplo son los teléfonos (lo que tengo) con lector de huella dactilar, que aporta ‘lo que soy’. Existen voces críticas con este tipo de factor y cuestionan su uso aduciendo que si los otros tipos de factores se ven comprometidos (por ejemplo una contraseña o una tarjeta de crédito) pueden ser sustituidos; sin embargo, nuestros parámetros biométricos son para toda la vida y no podemos cambiarlos aunque se vean comprometidos, quedarán comprometidos para siempre.

Centrándonos en el acceso a servicios disponibles a través de internet, cada vez es más habitual y necesario utilizar doble factor para autenticarse. Por poner algunos ejemplos:

• Verificación en dos pasos de Google
• Verificación en dos pasos de Apple
• Verificación de inicio de sesión de Twitter
• Verificación en dos pasos de Facebook

Las anteriores soluciones son propias de las empresas que ofrecen el servicio. También existen soluciones de autenticación por doble factor que pueden ser utilizadas por cualquier desarrollo web. En TTANDEM.COM somos conscientes de la importancia que tiene la seguridad y la confidencialidad para nuestros clientes y hemos analizado distintas soluciones de autenticación por doble factor, seleccionando al final Latch.

Latch (del inglés, pestillo o cerrojo) es una solución tecnológica que permite añadir una capa más de seguridad a las cuentas y servicios online. De una manera muy sencilla, a través de una aplicación móvil, permite habilitar o deshabilitar el acceso a nuestras cuentas en internet, tan fácil como abrir y cerrar un pestillo. Entre las ventajas que ofrece están:

• Latch está disponible para dispositivos Android, Blackberry, iPhone, Firefox OS y Windows Phone, cubriendo la inmensa mayoría de plataformas móviles.
• Latch no conoce ninguna información del usuario relativa a los servicios que éste desea proteger. Ni tan siquiera registra el número de teléfono del usuario, cosa que para algunas personas es importante y que otros servicios, como los de Google, Apple, Twitter y Facebook indicados anteriormente, sí registran.
• Si se tiene echado el cerrojo para un servicio en internet y alguien intenta acceder a él con el usuario y contraseña correcto, Latch avisa del intento de acceso y, por tanto, podremos conocer de inmediato que los datos de acceso han sido comprometidos y que debemos cambiarlos.
• El coste del servicio Latch es gratuito para un máximo de 50 cuentas asociadas a una aplicación protegida con Latch. Esto es suficiente para muchísimos servicios online. Para un número mayor de cuentas, el coste se puede consultar en la página de contratación y precios del sitio web de Latch.

Para todos nuestros clientes que así lo deseen TTANDEM.COM les ofrece la posibilidad de proteger su presencia online mediante Latch, añadiendo un segundo factor de protección en el acceso de los usuarios a los servicios online.