Autenticación multifactor

Este artículo necesita citas adicionales para su verificación . Por favor, ayuda a mejorar este artículo mediante la adición de citas de fuentes confiables . El material no obtenido puede ser cuestionado y eliminado.
Encuentre fuentes: "Autenticación de múltiples factores" - noticias · periódicos · libros · académico · JSTOR ( enero de 2021 ) ( Obtenga información sobre cómo y cuándo eliminar este mensaje de plantilla )

Seguridad de información
Parte de una serie sobre
Categorías de seguridad relacionadas
Seguridad automotriz Ciberdelito Tráfico de cibersexo Fraude informático Cybergeddon Ciberterrorismo · Guerra cibernética Guerra electrónica Guerra de información Seguridad de Internet Seguridad móvil Seguridad de la red Protección contra copia Gestión de derechos digitales
Amenazas
Adware Amenaza Persistente Avanzada Ejecución de código arbitrario Puertas traseras Puertas traseras de hardware Inyección de código Crimeware Secuencias de comandos entre sitios Malware de criptojacking Botnets Filtración de datos Descarga drive-by objetos de ayuda del navegador Crimen informático Virus Raspado de datos Negación de servicio Escuchando a escondidas Fraude por correo electrónico Suplantación de correo electrónico Exploits Registradores de teclas Bombas lógicas Bombas de tiempo Bombas de horquilla Marcadores fraudulentos Software malicioso Carga útil Suplantación de identidad Motor polimórfico Escalada de privilegios Secuestro de datos Rootkits Bootkits Espantapájaros Shellcode Spam Ingeniería social (seguridad) Raspado de pantalla Software espía Errores de software caballos de Troya Troyanos de hardware Troyanos de acceso remoto Vulnerabilidad Conchas web Limpiaparabrisas Gusanos inyección SQL Software de seguridad falso Zombi
Defensas
Detección de anomalías Control de acceso informático Seguridad de la aplicación Software antivirus Software de seguridad informática Codificación segura Seguro por defecto Seguro por diseño Caso de mal uso Sistema operativo centrado en la seguridad Autenticación Autenticación multifactor Autorización Seguridad centrada en datos Ofuscación de código Cifrado Cortafuegos Sistema de detección de intrusos Sistema de detección de intrusiones basado en host (HIDS) Gestión de eventos e información de seguridad Pasarela segura móvil Autoprotección de la aplicación en tiempo de ejecución Seguridad de la aplicación web
v t mi

La autenticación multifactor ( MFA ; que abarca la autenticación de dos factores o 2FA , junto con términos similares) es un método de autenticación electrónica en el que se otorga acceso al usuario de un dispositivo a un sitio web o aplicación solo después de presentar con éxito dos o más piezas de evidencia (o factores) a un mecanismo de autenticación : conocimiento (algo que solo el usuario sabe), posesión (algo que solo el usuario tiene) e inherencia (algo que solo el usuario es). MFA protege al usuario de una persona desconocida que intenta acceder a sus datos, como datos de identificación personal o activos financieros.

Una aplicación de autenticación de terceros (TPA) permite la autenticación de dos factores, generalmente mostrando un código generado aleatoriamente y que se actualiza constantemente para usarlo para la autenticación.

Factores [ editar ]

La autenticación tiene lugar cuando alguien intenta iniciar sesión en un recurso de la computadora (como una red, dispositivo o aplicación). El recurso requiere que el usuario proporcione la identidad por la cual el usuario es conocido por el recurso, junto con la evidencia de la autenticidad del reclamo del usuario sobre esa identidad. La autenticación simple requiere solo una de esas pruebas (factor), generalmente una contraseña. Para mayor seguridad, el recurso puede requerir más de un factor: autenticación de múltiples factores o autenticación de dos factores en los casos en los que se deben proporcionar exactamente dos pruebas. ^[1]

El uso de múltiples factores de autenticación para probar la identidad de uno se basa en la premisa de que es poco probable que un actor no autorizado pueda proporcionar los factores necesarios para el acceso. Si, en un intento de autenticación, falta al menos uno de los componentes o se suministra incorrectamente, la identidad del usuario no se establece con suficiente certeza y el acceso al activo (por ejemplo, un edificio o datos) está protegido por autenticación multifactor, entonces permanece bloqueado. Los factores de autenticación de un esquema de autenticación multifactor pueden incluir: ^[2]

Algo que tiene el usuario: algún objeto físico en posesión del usuario, como un token de seguridad ( memoria USB ), una tarjeta bancaria, una llave, etc.
Algo que el usuario sabe: Ciertos conocimientos que solo el usuario conoce, como una contraseña, PIN, TAN , etc.
Algo que es el usuario: alguna característica física del usuario (biometría), como una huella digital, iris del ojo, voz, velocidad de escritura , patrón en los intervalos de pulsación de teclas, etc.
En algún lugar donde se encuentre el usuario: alguna conexión a una red informática específica o usando una señal de GPS para identificar la ubicación. ^[3]

Un buen ejemplo de autenticación de dos factores es el retiro de dinero de un cajero automático ; solo la combinación correcta de una tarjeta bancaria (algo que el usuario posee) y un PIN (algo que el usuario conoce) permite realizar la transacción. Otros dos ejemplos son complementar una contraseña controlada por el usuario con una contraseña de un solo uso (OTP) o un código generado o recibido por un autenticador (por ejemplo, un token de seguridad o un teléfono inteligente) que solo el usuario posee. ^[4]

Una aplicación de autenticación de terceros permite la autenticación de dos factores de una manera diferente, generalmente mostrando un código generado aleatoriamente y que se actualiza constantemente que el usuario puede usar, en lugar de enviar un SMS o usar otro método. Una gran ventaja de estas aplicaciones es que, por lo general, continúan funcionando incluso sin conexión a Internet. Ejemplos de aplicaciones de autenticación de terceros incluyen Google Authenticator , Authy y Microsoft Authenticator ; algunos administradores de contraseñas como LastPass también ofrecen el servicio. ^[5]

Conocimiento [ editar ]

Los factores de conocimiento son la forma de autenticación más utilizada. De esta forma, el usuario debe demostrar el conocimiento de un secreto para poder autenticarse.

Una contraseña es una palabra secreta o una cadena de caracteres que se utiliza para la autenticación del usuario. Este es el mecanismo de autenticación más utilizado. ^[2] Muchas técnicas de autenticación multifactor se basan en la contraseña como un factor de autenticación. Las variaciones incluyen tanto los más largos formados a partir de varias palabras (una frase de contraseña ) como el número de identificación personal (PIN) más corto, puramente numérico, que se usa comúnmente para el acceso a los cajeros automáticos . Tradicionalmente, se espera que las contraseñas se memoricen .

Muchas preguntas secretas como "¿Dónde naciste?" son malos ejemplos de un factor de conocimiento porque pueden ser conocidos por un amplio grupo de personas o pueden ser investigados.

Posesión [ editar ]

Token RSA SecurID , un ejemplo de un generador de tokens desconectado

Los factores de posesión ("algo que solo tiene el usuario") se han utilizado para la autenticación durante siglos, en forma de llave para una cerradura. El principio básico es que la clave incorpora un secreto que se comparte entre la cerradura y la clave, y el mismo principio subyace en la autenticación del factor de posesión en los sistemas informáticos. Un token de seguridad es un ejemplo de factor de posesión.

Los tokens desconectados no tienen conexiones con el equipo cliente. Por lo general, usan una pantalla incorporada para mostrar los datos de autenticación generados, que el usuario ingresa manualmente. Este tipo de token utiliza principalmente una "contraseña de un solo uso" que solo se puede usar para esa sesión específica. ^[6]

Los tokens conectados son dispositivos que están conectados físicamente a la computadora que se utilizará. Esos dispositivos transmiten datos automáticamente. ^[7] Hay varios tipos diferentes, incluidos lectores de tarjetas, etiquetas inalámbricas y tokens USB. ^[7]

Un token de software (también conocido como token de software ) es un tipo de dispositivo de seguridad de autenticación de dos factores que se puede utilizar para autorizar el uso de servicios informáticos. Los tokens de software se almacenan en un dispositivo electrónico de uso general, como una computadora de escritorio , portátil , PDA o teléfono móvil, y se pueden duplicar. (Los tokens de hardware de contraste , donde las credenciales se almacenan en un dispositivo de hardware dedicado y, por lo tanto, no se pueden duplicar, en ausencia de invasión física del dispositivo). Un token de software puede no ser un dispositivo con el que el usuario interactúe. Normalmente, un certificado X.509v3 se carga en el dispositivo y se almacena de forma segura para cumplir este propósito.

Inherente [ editar ]

Estos son factores asociados con el usuario y, por lo general, son métodos biométricos , incluido el reconocimiento de huellas dactilares , rostro , voz o iris . También se puede utilizar la biometría del comportamiento, como la dinámica de pulsaciones de teclas .

Ubicación [ editar ]

Cada vez más, entra en juego un cuarto factor relacionado con la ubicación física del usuario. Mientras esté conectado a la red corporativa, un usuario podría iniciar sesión usando solo un código pin mientras que fuera de la red también podría ser necesario ingresar un código desde un token de software. Esto podría verse como un estándar aceptable donde se controla el acceso a la oficina.

Los sistemas para el control de admisión a la red funcionan de manera similar, donde su nivel de acceso a la red puede depender de la red específica a la que está conectado su dispositivo, como la conectividad wifi o por cable. Esto también permite que un usuario se mueva entre oficinas y reciba dinámicamente el mismo nivel de acceso a la red en cada una.

Fichas [ editar ]

Muchos proveedores de autenticación multifactor ofrecen autenticación basada en teléfonos móviles. Algunos métodos incluyen autenticación basada en push, autenticación basada en código QR, autenticación con contraseña de un solo uso (basada en eventos y basada en tiempo ) y verificación basada en SMS. La verificación basada en SMS adolece de algunos problemas de seguridad. Los teléfonos se pueden clonar, las aplicaciones se pueden ejecutar en varios teléfonos y el personal de mantenimiento de teléfonos móviles puede leer los mensajes de texto. No menos importante, los teléfonos celulares pueden verse comprometidos en general, lo que significa que el teléfono ya no es algo que solo el usuario tiene.

El mayor inconveniente de la autenticación que incluye algo que el usuario posee es que el usuario debe llevar consigo el token físico (la memoria USB, la tarjeta bancaria, la llave o similar), prácticamente en todo momento. La pérdida y el robo son riesgos. Muchas organizaciones prohíben llevar dispositivos USB y electrónicos dentro o fuera de las instalaciones debido a los riesgos de robo de datos y malware , y la mayoría de las máquinas importantes no tienen puertos USB por la misma razón. Los tokens físicos generalmente no se escalan y, por lo general, requieren un token nuevo para cada cuenta y sistema nuevos. Adquirir y posteriormente reemplazar tokens de este tipo implica costos. Además, existen conflictos inherentes y compensaciones inevitables entre usabilidad y seguridad. ^[8]

La autenticación de dos pasos que involucra teléfonos móviles y teléfonos inteligentes proporciona una alternativa a los dispositivos físicos dedicados. Para autenticarse, las personas pueden usar sus códigos de acceso personales al dispositivo (es decir, algo que solo el usuario individual conoce) más un código de acceso dinámico válido por única vez, que generalmente consta de 4 a 6 dígitos. El código de acceso se puede enviar a su dispositivo móvil ^[9] por SMS o se puede generar mediante una aplicación generadora de códigos de acceso de un solo uso. En ambos casos, la ventaja de usar un teléfono móvil es que no hay necesidad de un token dedicado adicional, ya que los usuarios tienden a llevar sus dispositivos móviles en todo momento.

A pesar de la popularidad de la verificación por SMS, los defensores de la seguridad han criticado públicamente la verificación por SMS ^[10] y en julio de 2016 un borrador de directriz del NIST de Estados Unidos propuso desaprobarlo como una forma de autenticación. ^[11] Un año después, el NIST restableció la verificación por SMS como un canal de autenticación válido en la directriz finalizada. ^[12]

En 2016 y 2017, respectivamente, tanto Google como Apple comenzaron a ofrecer autenticación de usuario en dos pasos con notificación push ^[2] como método alternativo. ^[13]^[14]

La seguridad de los tokens de seguridad entregados por dispositivos móviles depende completamente de la seguridad operativa del operador de telefonía móvil y las agencias de seguridad nacional pueden violarla fácilmente mediante escuchas telefónicas o clonación de SIM . ^[15]

Ventajas:

No se necesitan tokens adicionales porque utiliza dispositivos móviles que (generalmente) se llevan todo el tiempo.
Como se cambian constantemente, los códigos de acceso generados dinámicamente son más seguros de usar que la información de inicio de sesión fija (estática).
Dependiendo de la solución, las contraseñas que se han utilizado se reemplazan automáticamente para garantizar que siempre haya un código válido disponible, por lo que los problemas de transmisión / recepción no impiden los inicios de sesión.

Desventajas:

Los usuarios aún pueden ser susceptibles a ataques de phishing. Un atacante puede enviar un mensaje de texto que enlace a un sitio web falsificado que parece idéntico al sitio web real. El atacante puede obtener el código de autenticación, el nombre de usuario y la contraseña. ^[dieciséis]
No siempre hay un teléfono móvil disponible; se pueden perder, robar, tener la batería descargada o no funcionar.
La recepción de teléfonos móviles no siempre está disponible; grandes áreas, particularmente fuera de las ciudades, carecen de cobertura.
La clonación de SIM brinda a los piratas informáticos acceso a conexiones de teléfonos móviles. Los ataques de ingeniería social contra empresas de operadores móviles han dado lugar a la entrega de tarjetas SIM duplicadas a delincuentes. ^[17]
Los mensajes de texto a teléfonos móviles que utilizan SMS son inseguros y pueden ser interceptados por IMSI- catchers . Por lo tanto, terceros pueden robar y usar el token. ^[18]
La recuperación de la cuenta normalmente pasa por alto la autenticación de dos factores del teléfono móvil. ^[19]
Los teléfonos inteligentes modernos se utilizan tanto para recibir correo electrónico como para SMS. Entonces, si el teléfono se pierde o es robado y no está protegido por una contraseña o datos biométricos, todas las cuentas para las que el correo electrónico es la clave pueden ser pirateadas, ya que el teléfono puede recibir el segundo factor.
Los operadores de telefonía móvil pueden cobrarle al usuario tarifas de mensajería.

Avances en la autenticación móvil de dos factores [ editar ]

Los avances en la investigación de la autenticación de dos factores para dispositivos móviles consideran diferentes métodos en los que se puede implementar un segundo factor sin representar un obstáculo para el usuario. Con el uso continuo y las mejoras en la precisión de hardware móvil como GPS, ^[20] micrófono, ^[21] y giroscopio / aceleromotor, ^[22] la capacidad de usarlos como segundo factor de autenticación se está volviendo más confiable. Por ejemplo, al registrar el ruido ambiental de la ubicación del usuario desde un dispositivo móvil y compararlo con la grabación del ruido ambiental de la computadora en la misma habitación en la que el usuario está tratando de autenticarse, se puede tener un segundo efectivo. factor de autenticación. ^[23] Este ^{[aclaración necesaria ]}también reduce la cantidad de tiempo y esfuerzo necesarios para completar el proceso. ^{[ cita requerida ]}

Legislación y regulación [ editar ]

El estándar de seguridad de datos de la industria de tarjetas de pago (PCI) , requisito 8.3, requiere el uso de MFA para todos los accesos remotos a la red que se originan desde fuera de la red a un entorno de datos de tarjetas (CDE). ^[24] A partir de la versión 3.2 de PCI-DSS, se requiere el uso de MFA para todos los accesos administrativos al CDE, incluso si el usuario se encuentra dentro de una red confiable. ^[25]

Unión Europea [ editar ]

La segunda Directiva sobre servicios de pago exige una " autenticación sólida del cliente " en la mayoría de los pagos electrónicos en el Espacio Económico Europeo desde el 14 de septiembre de 2019. ^[26]

India [ editar ]

En la India, el Banco de la Reserva de la India ordenó la autenticación de dos factores para todas las transacciones en línea realizadas con una tarjeta de débito o crédito utilizando una contraseña o una contraseña de un solo uso enviada por SMS . Esto se retiró temporalmente en 2016 para transacciones de hasta ₹ 2,000 a raíz de la desmonetización de billetes de noviembre de 2016 . El banco central ha detenido a proveedores como Uber por permitir que las transacciones se realicen sin autenticación de dos factores. ^[27]^[28]

Estados Unidos [ editar ]

Los detalles de autenticación para empleados y contratistas federales en los EE. UU. Se definen con la Directiva presidencial de seguridad nacional 12 (HSPD-12). ^[29]

Las metodologías de autenticación existentes involucran los tres tipos explicados de "factores" básicos. Los métodos de autenticación que dependen de más de un factor son más difíciles de comprometer que los métodos de un solo factor. ^{[ cita requerida ]}^[30]

Los estándares regulatorios de TI para el acceso a los sistemas del Gobierno Federal requieren el uso de autenticación multifactor para acceder a recursos de TI sensibles, por ejemplo, al iniciar sesión en dispositivos de red para realizar tareas administrativas ^[31] y al acceder a cualquier computadora usando un inicio de sesión privilegiado. ^[32]

La Publicación especial del NIST 800-63-3 analiza varias formas de autenticación de dos factores y brinda orientación sobre su uso en procesos comerciales que requieren diferentes niveles de garantía. ^[33]

En 2005, el Estados Unidos ' Examination Council instituciones financieras Federal emitió una guía para las instituciones financieras que recomiendan las evaluaciones de riesgo de conducta de las instituciones financieras, evaluar los programas de concienciación de los clientes, y desarrollar medidas de seguridad a los clientes de forma fiable autenticar el acceso remoto a los servicios en línea financieros , recomendando oficialmente el uso de métodos de autenticación que dependen de más de un factor (específicamente, lo que un usuario sabe, tiene y es) para determinar la identidad del usuario. ^[34]En respuesta a la publicación, numerosos proveedores de autenticación comenzaron a promover incorrectamente preguntas de desafío, imágenes secretas y otros métodos basados en el conocimiento como autenticación de "múltiples factores". Debido a la confusión resultante y la adopción generalizada de tales métodos, el 15 de agosto de 2006, la FFIEC publicó pautas complementarias, que establecen que, por definición, un sistema de autenticación multifactor "verdadero" debe usar instancias distintas de los tres factores de autenticación que había definido, y no solo usar múltiples instancias de un solo factor. ^[35]

Seguridad [ editar ]

Según los defensores, la autenticación multifactor podría reducir drásticamente la incidencia del robo de identidad en línea y otros fraudes en línea , porque la contraseña de la víctima ya no sería suficiente para dar acceso permanente a un ladrón a su información. Sin embargo, muchos enfoques de autenticación multifactor siguen siendo vulnerables a ataques de phishing , ^[36] man-in-the-browser y man-in-the-middle . ^{[37] La} autenticación de dos factores en las aplicaciones web son especialmente susceptibles a los ataques de phishing, particularmente en SMS y correos electrónicos, y, como respuesta, muchos expertos aconsejan a los usuarios que no compartan sus códigos de verificación con nadie, ^[38]y muchos proveedores de aplicaciones web colocarán un aviso en un correo electrónico o SMS que contenga un código. ^[39]

La autenticación multifactor puede resultar ineficaz ^[40] frente a las amenazas modernas, como el skimming de cajeros automáticos, el phishing y el malware. ^[41]

En mayo de 2017, O2 Telefónica, un proveedor de servicios móviles alemán, confirmó que los ciberdelincuentes habían explotado las vulnerabilidades de SS7 para evitar la autenticación de dos pasos basada en SMS para realizar retiros no autorizados de las cuentas bancarias de los usuarios. Los delincuentes primero infectaron las computadoras del titular de la cuenta en un intento de robar sus credenciales de cuenta bancaria y números de teléfono. Luego, los atacantes compraron acceso a un proveedor de telecomunicaciones falso y configuraron una redirección para el número de teléfono de la víctima a un teléfono controlado por ellos. Finalmente, los atacantes iniciaron sesión en las cuentas bancarias en línea de las víctimas y solicitaron que el dinero de las cuentas se retirara a cuentas propiedad de los delincuentes. Las contraseñas de SMS se enrutaron a números de teléfono controlados por los atacantes y los delincuentes transfirieron el dinero.^[42]

Implementación [ editar ]

Muchos productos de autenticación multifactor requieren que los usuarios implementen software cliente para que los sistemas de autenticación multifactor funcionen. Algunos proveedores han creado paquetes de instalación independientes para el inicio de sesión en la red , las credenciales de acceso web y las credenciales de conexión VPN . Para tales productos, puede haber cuatro o cinco paquetes de software diferentes para enviar a la PC del cliente para hacer uso del token o la tarjeta inteligente.. Esto se traduce en cuatro o cinco paquetes en los que se debe realizar el control de versiones, y cuatro o cinco paquetes para verificar si hay conflictos con las aplicaciones comerciales. Si el acceso se puede operar mediante páginas web , es posible limitar los gastos generales descritos anteriormente a una sola aplicación. Con otras soluciones de autenticación de múltiples factores, como tokens "virtuales" y algunos productos de token de hardware, los usuarios finales no deben instalar ningún software.

Existen inconvenientes en la autenticación multifactor que impiden que muchos enfoques se generalicen. Algunos usuarios tienen dificultades para realizar un seguimiento de un token de hardware o un conector USB. Muchos usuarios no tienen las habilidades técnicas necesarias para instalar un certificado de software del lado del cliente por sí mismos. Generalmente, las soluciones de factores múltiples requieren una inversión adicional para la implementación y costos de mantenimiento. La mayoría de los sistemas basados en tokens de hardware son propietarios y algunos proveedores cobran una tarifa anual por usuario. La implementación de tokens de hardware es un desafío logístico. Los tokens de hardware pueden dañarse o perderse y la emisión de tokensen grandes industrias como la banca o incluso dentro de las grandes empresas necesita ser gestionada. Además de los costos de implementación, la autenticación multifactor a menudo conlleva importantes costos de soporte adicionales. Una encuesta de 2008 ^[43] de más de 120 uniones de crédito estadounidenses realizada por el Credit Union Journal informó sobre los costos de apoyo asociados con la autenticación de dos factores. En su informe, se informó que los certificados de software y los enfoques de barras de herramientas de software tienen los costos de soporte más altos.

La investigación sobre la implementación de esquemas de autenticación multifactor ^[44] ha demostrado que uno de los elementos que tiende a afectar la adopción de dichos sistemas es la línea de negocio de la organización que implementa el sistema de autenticación multifactor. Los ejemplos citados incluyen el gobierno federal de EE. UU., Que emplea un elaborado sistema de tokens físicos (que a su vez están respaldados por una sólida infraestructura de clave pública).), así como los bancos privados, que tienden a preferir esquemas de autenticación de múltiples factores para sus clientes que involucran medios de verificación de identidad más accesibles y menos costosos, como una aplicación instalada en un teléfono inteligente propiedad del cliente. A pesar de las variaciones que existen entre los sistemas disponibles entre los que las organizaciones pueden elegir, una vez que se implementa un sistema de autenticación multifactor dentro de una organización, tiende a permanecer en su lugar, ya que los usuarios invariablemente se aclimatan a la presencia y el uso del sistema y adoptan a lo largo del tiempo como un elemento normalizado de su proceso diario de interacción con su sistema de información relevante.

Si bien la percepción es que la autenticación multifactor está dentro del ámbito de la seguridad perfecta, Roger Grimes escribe ^[45] que si no se implementa y configura correctamente, la autenticación multifactor puede, de hecho, ser fácilmente derrotada.

Patentes [ editar ]

En 2013, Kim Dotcom afirmó haber inventado la autenticación de dos factores en una patente de 2000, ^[46] y amenazó brevemente con demandar a todos los principales servicios web. Sin embargo, la Oficina Europea de Patentes revocó su patente ^[47] a la luz de una patente estadounidense anterior de 1998 en poder de AT&T. ^[48]

Ejemplos [ editar ]

Varios servicios web populares emplean la autenticación de múltiples factores, generalmente como una característica opcional que está desactivada de forma predeterminada. ^[49]

Ver también [ editar ]

Autenticación electrónica
Gestión de identidad
Autorización multipartita
Autenticacion mutua
Autenticación de confianza
Autenticación fuerte
2do factor universal

Referencias [ editar ]

^ "Autenticación de dos factores: lo que necesita saber (preguntas frecuentes) - CNET" . CNET . Consultado el 31 de octubre de 2015 .
^ a b c Jacomme, Charlie; Kremer, Steve (1 de febrero de 2021). "Un análisis formal extenso de protocolos de autenticación multifactor" . Transacciones ACM sobre privacidad y seguridad . 24 (2): 1–34. doi : 10.1145 / 3440712 . ISSN 2471-2566 . S2CID 231791299 .
^ Seema, Sharma (2005). Autenticación basada en la ubicación (tesis). Universidad de Nueva Orleans.
↑ [email protected] (28 de junio de 2016). "Volver a lo básico: autenticación multifactor (MFA)" . NIST . Consultado el 6 de abril de 2021 .
^ Barrett, Brian. "Cómo proteger sus cuentas con una mejor autenticación de dos factores" . Cableado . Consultado el 12 de septiembre de 2020 .
^ "Control de acceso 2FA | Kisi" . www.getkisi.com . Consultado el 15 de noviembre de 2020 .
↑ a b van Tilborg, Henk CA; Jajodia, Sushil, eds. (2011). Enciclopedia de criptografía y seguridad, volumen 1 . Springer Science & Business Media. pag. 1305. ISBN 9781441959058.
^ Autenticación anónima de dos factores en sistemas distribuidos: ciertos objetivos van más allá del logro (PDF) , consultado el 23 de marzo de 2018
^ Rosenblatt, Seth. "Autenticación de dos factores: lo que necesita saber (preguntas frecuentes)" . CNET . Consultado el 27 de septiembre de 2020 .
↑ Andy Greenberg (26 de junio de 2016). "Entonces, oye, deberías dejar de usar textos para la autenticación de dos factores" . Cableado . Consultado el 12 de mayo de 2018 .
^ "NIST ya no recomienda la autenticación de dos factores mediante SMS" . Schneier sobre seguridad. 3 de agosto de 2016 . Consultado el 30 de noviembre de 2017 .
^ "¡Reversión! El NIST de Estados Unidos ya no recomienda" Desactivación de SMS para 2FA " " . 6 de julio de 2017 . Consultado el 21 de mayo de 2019 .
^ Tung, Liam. "Aviso de Google: ahora puede tocar 'sí' o 'no' en iOS, Android para aprobar el inicio de sesión de Gmail" . ZD Net . ZD Net . Consultado el 11 de septiembre de 2017 .
↑ Chance Miller (25 de febrero de 2017). "Apple solicita iOS 10.3" . 9to5 Mac . 9to5 Mac . Consultado el 11 de septiembre de 2017 .
^ "Cómo funciona Rusia en la interceptación de aplicaciones de mensajería - bellingcat" . bellingcat . 2016-04-30. Archivado desde el original el 30 de abril de 2016 . Consultado el 30 de abril de 2016 .
^ Kan, Michael (7 de marzo de 2019). "Google: los ataques de phishing que pueden vencer a dos factores están en aumento" . PC Mag . Consultado el 9 de septiembre de 2019 .
^ tweet_btn (), Shaun Nichols en San Francisco 10 de julio de 2017 a las 23:31. "FALLO de dos factores: Chap se enoja después de que 'AT&T se enamora de los trucos de los piratas informáticos ' " . Consultado el 11 de julio de 2017 .
^ Toorani, Mohsen; Beheshti, A. (2008). "SSMS - Un protocolo seguro de mensajería SMS para los sistemas de pago móvil". Simposio IEEE 2008 sobre Computadoras y Comunicaciones . págs. 700–705. arXiv : 1002.3171 . doi : 10.1109 / ISCC.2008.4625610 . ISBN 978-1-4244-2702-4. S2CID 5066992 .
^ Rosenblatt, Seth; Cipriani, Jason (15 de junio de 2015). "Autenticación de dos factores: lo que necesita saber (preguntas frecuentes)" . CNET . Consultado el 17 de marzo de 2016 .
^ "Autenticación de ubicación - Dentro de GNSS" . www.insidegnss.com . Archivado desde el original el 18 de abril de 2018 . Consultado el 19 de julio de 2016 .
^ "Autenticación de voz continua para un dispositivo móvil" .
^ "DARPA presenta: autenticación móvil continua - Behaviosec" . 22 de octubre de 2013. Archivado desde el original el 12 de junio de 2018 . Consultado el 19 de julio de 2016 .
^ A prueba de sonido: Autenticación de dos factores utilizable basada en sonido ambiental | USENIX . www.usenix.org . ISBN 9781931971232. Consultado el 24 de febrero de 2016 .
^ "Sitio oficial del Consejo de estándares de seguridad PCI - verificar el cumplimiento de PCI, descargar seguridad de datos y estándares de seguridad de tarjetas de crédito" . www.pcisecuritystandards.org . Consultado el 25 de julio de 2016 .
^ "Para PCI MFA ahora es necesario para todos | Blog de Centrify" . blog.centrify.com . 2016-05-02 . Consultado el 25 de julio de 2016 .
^ Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, que complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo con respecto a las normas técnicas reglamentarias para una autenticación fuerte de clientes y estándares abiertos comunes y seguros de comunicación (Texto con relevancia EEE.) , 2018-03-13 , consultado el 2021-04-06
^ Agarwal, Surabhi (7 de diciembre de 2016). "Las empresas de pago aplauden la decisión de RBI de renunciar a la autenticación de dos factores para transacciones de pequeño valor" . The Economic Times . Consultado el 28 de junio de 2020 .
^ Nair, Vishwanath (6 de diciembre de 2016). "RBI facilita la autenticación de dos factores para transacciones con tarjeta en línea hasta Rs2,000" . Livemint . Consultado el 28 de junio de 2020 .
^ "Directiva presidencial de seguridad nacional 12" . Departamento de Seguridad Nacional . 1 de agosto de 2008. Archivado desde el original el 16 de septiembre de 2012.
^ "Preguntas frecuentes sobre la orientación de FFIEC sobre autenticación en un entorno bancario por Internet", 15 de agosto de 2006^{[ enlace muerto ]}
^ "Instituto SANS, Control crítico 10: configuraciones seguras para dispositivos de red como firewalls, enrutadores y conmutadores" . Archivado desde el original el 28 de enero de 2013 . Consultado el 11 de febrero de 2013 .
^ "Instituto SANS, Control crítico 12: uso controlado de privilegios administrativos" . Archivado desde el original el 28 de enero de 2013 . Consultado el 11 de febrero de 2013 .
^ "Directrices de identidad digital" . Publicación especial del NIST 800-63-3 . NIST. 22 de junio de 2017 . Consultado el 2 de febrero de 2018 .
^ "Comunicado de prensa de FFIEC" . 2005-10-12 . Consultado el 13 de mayo de 2011 .
↑ FFIEC (15 de agosto de 2006). "Preguntas frecuentes sobre la orientación de FFIEC sobre autenticación en un entorno bancario por Internet" (PDF) . Consultado el 14 de enero de 2012 .
^ Brian Krebs (10 de julio de 2006). "Solución de seguridad - Citibank Phish Spoofs Autenticación de 2 factores" . Washington Post . Consultado el 20 de septiembre de 2016 .
^ Bruce Schneier (marzo de 2005). "El fracaso de la autenticación de dos factores" . Schneier sobre seguridad . Consultado el 20 de septiembre de 2016 .
^ Alex Perekalin (mayo de 2018). "Por qué nunca debería enviar códigos de verificación a nadie" . Kaspersky . Consultado el 17 de octubre de 2020 .
^ "Cuidado con sus SMS: mitigar la ingeniería social en la autenticación de segundo factor" (PDF) . Consultado el 17 de octubre de 2020 .
^ Shankland, Stephen. "¿Autenticación de dos factores? No es tan seguro como cabría esperar al iniciar sesión en el correo electrónico o en su banco" . CNET . Consultado el 27 de septiembre de 2020 .
^ "El fracaso de la autenticación de dos factores - Schneier sobre seguridad" . schneier.com . Consultado el 23 de octubre de 2015 .
^ Khandelwal, Swati. "Ataque SS7 en el mundo real: los piratas informáticos están robando dinero de cuentas bancarias" . The Hacker News . Consultado el 5 de mayo de 2017 .
^ "Estudio arroja nueva luz sobre los costos, efectos de multifactor" .
^ Libicki, Martin C .; Balkovich, Edward; Jackson, Brian A .; Rudavsky, Rena; Webb, Katharine (2011). "Influencias en la adopción de la autenticación multifactor" .
^ "Hackear autenticación multifactor | Wiley" . Wiley.com . Consultado el 17 de diciembre de 2020 .
^ US 6078908 , Schmitz, Kim, "Método para autorizar en sistemas de transmisión de datos"
^ Brodkin, Jon (23 de mayo de 2013). "Kim Dotcom afirma que inventó la autenticación de dos factores, pero no fue el primero" . Ars Technica . Archivado desde el original el 9 de julio de 2019 . Consultado el 25 de julio de 2019 .
^ US 5708422 , Blonder, et al., "Sistema de alerta y autorización de transacciones"
^ GORDON, WHITSON (3 de septiembre de 2012). "Autenticación de dos factores: la gran lista de todos los lugares donde debe habilitarla ahora mismo" . LifeHacker . Australia. Archivado desde el original el 17 de enero de 2018 . Consultado el 1 de noviembre de 2012 .

Lectura adicional [ editar ]

Brandom, Russell (10 de julio de 2017). "La autenticación de dos factores es un desastre" . The Verge . Consultado el 10 de julio de 2017 .

Enlaces externos [ editar ]

Los atacantes violaron los servidores de RSA y robaron información que podría usarse para comprometer la seguridad de los tokens de autenticación de dos factores utilizados por 40 millones de empleados (register.com, 18 de marzo de 2011).
Los bancos utilizarán la autenticación de dos factores a finales de 2006 (slashdot.org, 20 de octubre de 2005)
Microsoft abandonará las contraseñas , Microsoft se prepara para volcar las contraseñas a favor de la autenticación de dos factores en las próximas versiones de Windows (vnunet.com, 14 de marzo de 2005)

[1] "Autenticación de dos factores: lo que necesita saber (preguntas frecuentes) - CNET" . CNET . Consultado el 31 de octubre de 2015 .

[:2-2] Jacomme, Charlie; Kremer, Steve (1 de febrero de 2021). "Un análisis formal extenso de protocolos de autenticación multifactor" . Transacciones ACM sobre privacidad y seguridad . 24 (2): 1–34. doi : 10.1145 / 3440712 . ISSN 2471-2566 . S2CID 231791299 .

[3] Seema, Sharma (2005). Autenticación basada en la ubicación (tesis). Universidad de Nueva Orleans.

[4] [email protected] (28 de junio de 2016). "Volver a lo básico: autenticación multifactor (MFA)" . NIST . Consultado el 6 de abril de 2021 .

[5] Barrett, Brian. "Cómo proteger sus cuentas con una mejor autenticación de dos factores" . Cableado . Consultado el 12 de septiembre de 2020 .

[6] "Control de acceso 2FA | Kisi" . www.getkisi.com . Consultado el 15 de noviembre de 2020 .

[:0-7] van Tilborg, Henk CA; Jajodia, Sushil, eds. (2011). Enciclopedia de criptografía y seguridad, volumen 1 . Springer Science & Business Media. pag. 1305. ISBN 9781441959058.

[8] Autenticación anónima de dos factores en sistemas distribuidos: ciertos objetivos van más allá del logro (PDF) , consultado el 23 de marzo de 2018

[9] Rosenblatt, Seth. "Autenticación de dos factores: lo que necesita saber (preguntas frecuentes)" . CNET . Consultado el 27 de septiembre de 2020 .

[10] Andy Greenberg (26 de junio de 2016). "Entonces, oye, deberías dejar de usar textos para la autenticación de dos factores" . Cableado . Consultado el 12 de mayo de 2018 .

[11] "NIST ya no recomienda la autenticación de dos factores mediante SMS" . Schneier sobre seguridad. 3 de agosto de 2016 . Consultado el 30 de noviembre de 2017 .

[12] "¡Reversión! El NIST de Estados Unidos ya no recomienda" Desactivación de SMS para 2FA " " . 6 de julio de 2017 . Consultado el 21 de mayo de 2019 .

[13] Tung, Liam. "Aviso de Google: ahora puede tocar 'sí' o 'no' en iOS, Android para aprobar el inicio de sesión de Gmail" . ZD Net . ZD Net . Consultado el 11 de septiembre de 2017 .

[14] Chance Miller (25 de febrero de 2017). "Apple solicita iOS 10.3" . 9to5 Mac . 9to5 Mac . Consultado el 11 de septiembre de 2017 .

[bcat20160430-15] "Cómo funciona Rusia en la interceptación de aplicaciones de mensajería - bellingcat" . bellingcat . 2016-04-30. Archivado desde el original el 30 de abril de 2016 . Consultado el 30 de abril de 2016 .

[16] Kan, Michael (7 de marzo de 2019). "Google: los ataques de phishing que pueden vencer a dos factores están en aumento" . PC Mag . Consultado el 9 de septiembre de 2019 .

[17] tweet_btn (), Shaun Nichols en San Francisco 10 de julio de 2017 a las 23:31. "FALLO de dos factores: Chap se enoja después de que 'AT&T se enamora de los trucos de los piratas informáticos ' " . Consultado el 11 de julio de 2017 .

[18] Toorani, Mohsen; Beheshti, A. (2008). "SSMS - Un protocolo seguro de mensajería SMS para los sistemas de pago móvil". Simposio IEEE 2008 sobre Computadoras y Comunicaciones . págs. 700–705. arXiv : 1002.3171 . doi : 10.1109 / ISCC.2008.4625610 . ISBN 978-1-4244-2702-4. S2CID 5066992 .

[19] Rosenblatt, Seth; Cipriani, Jason (15 de junio de 2015). "Autenticación de dos factores: lo que necesita saber (preguntas frecuentes)" . CNET . Consultado el 17 de marzo de 2016 .

[20] "Autenticación de ubicación - Dentro de GNSS" . www.insidegnss.com . Archivado desde el original el 18 de abril de 2018 . Consultado el 19 de julio de 2016 .

[21] "Autenticación de voz continua para un dispositivo móvil" .

[22] "DARPA presenta: autenticación móvil continua - Behaviosec" . 22 de octubre de 2013. Archivado desde el original el 12 de junio de 2018 . Consultado el 19 de julio de 2016 .

[23] ^ A prueba de sonido: Autenticación de dos factores utilizable basada en sonido ambiental | USENIX . www.usenix.org . ISBN 9781931971232. Consultado el 24 de febrero de 2016 .

[24] "Sitio oficial del Consejo de estándares de seguridad PCI - verificar el cumplimiento de PCI, descargar seguridad de datos y estándares de seguridad de tarjetas de crédito" . www.pcisecuritystandards.org . Consultado el 25 de julio de 2016 .

[25] "Para PCI MFA ahora es necesario para todos | Blog de Centrify" . blog.centrify.com . 2016-05-02 . Consultado el 25 de julio de 2016 .

[26] Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, que complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo con respecto a las normas técnicas reglamentarias para una autenticación fuerte de clientes y estándares abiertos comunes y seguros de comunicación (Texto con relevancia EEE.) , 2018-03-13 , consultado el 2021-04-06

[27] Agarwal, Surabhi (7 de diciembre de 2016). "Las empresas de pago aplauden la decisión de RBI de renunciar a la autenticación de dos factores para transacciones de pequeño valor" . The Economic Times . Consultado el 28 de junio de 2020 .

[28] Nair, Vishwanath (6 de diciembre de 2016). "RBI facilita la autenticación de dos factores para transacciones con tarjeta en línea hasta Rs2,000" . Livemint . Consultado el 28 de junio de 2020 .

[29] "Directiva presidencial de seguridad nacional 12" . Departamento de Seguridad Nacional . 1 de agosto de 2008. Archivado desde el original el 16 de septiembre de 2012.

[30] "Preguntas frecuentes sobre la orientación de FFIEC sobre autenticación en un entorno bancario por Internet", 15 de agosto de 2006^{[ enlace muerto ]}

[31] "Instituto SANS, Control crítico 10: configuraciones seguras para dispositivos de red como firewalls, enrutadores y conmutadores" . Archivado desde el original el 28 de enero de 2013 . Consultado el 11 de febrero de 2013 .

[32] "Instituto SANS, Control crítico 12: uso controlado de privilegios administrativos" . Archivado desde el original el 28 de enero de 2013 . Consultado el 11 de febrero de 2013 .

[33] "Directrices de identidad digital" . Publicación especial del NIST 800-63-3 . NIST. 22 de junio de 2017 . Consultado el 2 de febrero de 2018 .

[34] "Comunicado de prensa de FFIEC" . 2005-10-12 . Consultado el 13 de mayo de 2011 .

[ffiec-faw-35] FFIEC (15 de agosto de 2006). "Preguntas frecuentes sobre la orientación de FFIEC sobre autenticación en un entorno bancario por Internet" (PDF) . Consultado el 14 de enero de 2012 .

[voices.washingtonpost.com-36] Brian Krebs (10 de julio de 2006). "Solución de seguridad - Citibank Phish Spoofs Autenticación de 2 factores" . Washington Post . Consultado el 20 de septiembre de 2016 .

[37] Bruce Schneier (marzo de 2005). "El fracaso de la autenticación de dos factores" . Schneier sobre seguridad . Consultado el 20 de septiembre de 2016 .

[38] Alex Perekalin (mayo de 2018). "Por qué nunca debería enviar códigos de verificación a nadie" . Kaspersky . Consultado el 17 de octubre de 2020 .

[39] "Cuidado con sus SMS: mitigar la ingeniería social en la autenticación de segundo factor" (PDF) . Consultado el 17 de octubre de 2020 .

[40] Shankland, Stephen. "¿Autenticación de dos factores? No es tan seguro como cabría esperar al iniciar sesión en el correo electrónico o en su banco" . CNET . Consultado el 27 de septiembre de 2020 .

[41] "El fracaso de la autenticación de dos factores - Schneier sobre seguridad" . schneier.com . Consultado el 23 de octubre de 2015 .

[42] Khandelwal, Swati. "Ataque SS7 en el mundo real: los piratas informáticos están robando dinero de cuentas bancarias" . The Hacker News . Consultado el 5 de mayo de 2017 .

[43] "Estudio arroja nueva luz sobre los costos, efectos de multifactor" .

[:1-44] Libicki, Martin C .; Balkovich, Edward; Jackson, Brian A .; Rudavsky, Rena; Webb, Katharine (2011). "Influencias en la adopción de la autenticación multifactor" .

[45] "Hackear autenticación multifactor | Wiley" . Wiley.com . Consultado el 17 de diciembre de 2020 .

[US_PATENT_6078908-46] US 6078908 , Schmitz, Kim, "Método para autorizar en sistemas de transmisión de datos"

[Brodkin,_ARS_Technical,_2019-47] Brodkin, Jon (23 de mayo de 2013). "Kim Dotcom afirma que inventó la autenticación de dos factores, pero no fue el primero" . Ars Technica . Archivado desde el original el 9 de julio de 2019 . Consultado el 25 de julio de 2019 .

[US_PATENT_5708422-48] US 5708422 , Blonder, et al., "Sistema de alerta y autorización de transacciones"

[49] GORDON, WHITSON (3 de septiembre de 2012). "Autenticación de dos factores: la gran lista de todos los lugares donde debe habilitarla ahora mismo" . LifeHacker . Australia. Archivado desde el original el 17 de enero de 2018 . Consultado el 1 de noviembre de 2012 .