La autenticación fuerte es una noción con varias definiciones.
Definiciones sólidas de autenticación (cliente)
La autenticación fuerte a menudo se confunde con la autenticación de dos factores (más generalmente conocida como autenticación de múltiples factores ), pero la autenticación sólida no es necesariamente autenticación de múltiples factores. Solicitar múltiples respuestas a las preguntas de seguridad puede considerarse una autenticación sólida, pero, a menos que el proceso también recupere "algo que tienes" o "algo que eres", no se consideraría autenticación multifactor. La FFIEC emitió una guía complementaria sobre este tema en agosto de 2006, en la que aclararon: "Por definición, la verdadera autenticación multifactor requiere el uso de soluciones de dos o más de las tres categorías de factores. El uso de múltiples soluciones de la misma categoría ... no constituye autenticación multifactor ". [1]
Otra clase de definiciones que se encuentran comúnmente se relaciona con un proceso criptográfico , o más precisamente, la autenticación basada en un protocolo de respuesta al desafío . Este tipo de definición se encuentra en el Manual de criptografía aplicada. [2] Este tipo de definición no se relaciona necesariamente con la autenticación de dos factores, ya que la clave secreta utilizada en un esquema de autenticación de desafío-respuesta puede derivarse simplemente de una contraseña (un factor). [ cita requerida ]
Una tercera clase de definiciones dice que la autenticación fuerte es cualquier forma de autenticación en la que la verificación se realiza sin la transmisión de una contraseña . [ cita requerida ] Este es el caso, por ejemplo, de la definición que se encuentra en la documentación de Fermilab . [3]
La cuarta clase, que tiene capacidad legal dentro del Espacio Económico Europeo , es la Autenticación Sólida de Clientes .
La Alianza Fast IDentity Online (FIDO) se ha esforzado por establecer especificaciones técnicas para una autenticación sólida y tiene 250 miembros y más de 150 productos certificados. [4]
Por tanto, el término autenticación fuerte se puede utilizar siempre que la noción fuerte se defina en el contexto de uso.
Ver también
Referencias
- ^ Junta de gobernadores del sistema de la Reserva Federal. "Preguntas frecuentes sobre la orientación de FFIEC sobre autenticación en un entorno bancario por Internet, 15 de agosto de 2006" (PDF) . Consultado el 22 de mayo de 2012 .
- ^ "Manual de criptografía aplicada" . Cacr.math.uwaterloo.ca . Consultado el 17 de julio de 2014 .
- ^ "Fermilab | Inicio" .
- ^ "FIDO Alliance aprueba 150 productos certificados después de la contraseña" . Revista InfoSecurity. 5 de abril de 2016 . Consultado el 13 de junio de 2016 .