
La autenticación multifactor ( MFA), también conocida como autenticación de dos factores ( 2FA ), es un método de autenticación electrónica en el que se concede acceso a un sitio web o aplicación a un usuario únicamente tras presentar correctamente dos o más tipos de pruebas (o factores ) distintos a un mecanismo de autenticación . La MFA protege los datos personales —que pueden incluir la identificación personal o los activos financieros— del acceso de terceros no autorizados que podrían haber descubierto, por ejemplo, una sola contraseña .
El uso de la autenticación multifactor (MFA) ha aumentado en los últimos años. Los problemas de seguridad que pueden provocar la elusión de la MFA son los ataques de fatiga , el phishing y el intercambio de tarjetas SIM . [ 1 ]
Las cuentas con MFA habilitada tienen una probabilidad significativamente menor de ser comprometidas. [ 2 ]
Factores de autenticación
La autenticación se produce cuando alguien intenta iniciar sesión en un recurso informático (como una red informática , un dispositivo o una aplicación). El recurso requiere que el usuario proporcione la identidad con la que se le conoce, junto con pruebas de la autenticidad de dicha identidad. La autenticación simple requiere solo una prueba (factor), normalmente una contraseña, o en ocasiones varias pruebas del mismo tipo, como un número de tarjeta de crédito y un código de verificación (CVC). Para mayor seguridad, el recurso puede requerir más de un factor: autenticación multifactor o autenticación de dos factores cuando se deben proporcionar exactamente dos tipos de pruebas. [ 3 ]
El uso de múltiples factores de autenticación para probar la identidad se basa en la premisa de que es improbable que un actor no autorizado pueda proporcionar todos los factores necesarios para el acceso. Si, en un intento de autenticación, falta al menos uno de los componentes o se proporciona incorrectamente, la identidad del usuario no se establece con suficiente certeza y el acceso al activo (por ejemplo, un edificio o datos) protegido por la autenticación multifactor permanece bloqueado. Los factores de autenticación de un esquema de autenticación multifactor pueden incluir: [ 4 ]
- Algo que el usuario posee: Cualquier objeto físico en posesión del usuario, como un token de seguridad ( memoria USB ), una tarjeta bancaria , una llave, un teléfono al que se puede contactar en un número determinado, etc.
- Algo que el usuario conoce: Cierto conocimiento conocido solo por el usuario, como una contraseña , PIN , PUK , etc.
- Algo que el usuario es: Alguna característica física del usuario ( biometría ), como una huella dactilar , iris del ojo, voz, velocidad de escritura , patrón en intervalos de pulsación de teclas, etc.
Un ejemplo de autenticación de dos factores es el retiro de dinero de un cajero automático ; solo la combinación correcta de una tarjeta bancaria físicamente presente (algo que el usuario posee) y un PIN (algo que el usuario conoce) permite realizar la transacción. Otros dos ejemplos consisten en complementar una contraseña controlada por el usuario con una contraseña de un solo uso (OTP) o un código generado o recibido por un autenticador (por ejemplo, un token de seguridad o un teléfono inteligente ) que solo el usuario posee. [ 5 ]
Una aplicación de autenticación permite la autenticación de dos factores de una manera diferente, mostrando un código generado aleatoriamente y que se actualiza constantemente, en lugar de enviar un SMS o usar otro método. [ 6 ] Este código es una contraseña de un solo uso basada en el tiempo ( TOTP ), y la aplicación de autenticación contiene el material clave que permite la generación de estos códigos.
Conocimiento
Los factores de conocimiento ("algo que solo el usuario sabe") son una forma de autenticación. En este método, se requiere que el usuario demuestre conocer un secreto para autenticarse.
Una contraseña es una palabra secreta o una cadena de caracteres que se utiliza para la autenticación del usuario. Este es el mecanismo de autenticación más común. [ 4 ] Muchas técnicas de autenticación multifactor se basan en contraseñas como uno de los factores de autenticación. Las variantes incluyen contraseñas más largas formadas por varias palabras (una frase de contraseña ) y el PIN más corto, puramente numérico, que se usa comúnmente para acceder a cajeros automáticos . Tradicionalmente, se espera que las contraseñas se memoricen , pero también se pueden escribir en un papel o archivo de texto oculto.
Posesión
Los factores de posesión («algo que solo el usuario posee») se han utilizado para la autenticación durante siglos, en forma de llave para una cerradura. El principio básico es que la llave contiene un secreto compartido entre la cerradura y la llave, y este mismo principio subyace a la autenticación por factores de posesión en sistemas informáticos. Un token de seguridad es un ejemplo de factor de posesión.
Los tokens desconectados no tienen conexión con el ordenador del cliente. Suelen utilizar una pantalla integrada para mostrar los datos de autenticación generados, que el usuario introduce manualmente. Este tipo de token utiliza principalmente una contraseña de un solo uso que solo puede utilizarse durante esa sesión específica. [ 7 ]

Los tokens conectados son dispositivos que se conectan físicamente al ordenador que se va a utilizar. Estos dispositivos transmiten datos automáticamente. [ 8 ] Existen varios tipos diferentes, incluidos tokens USB, tarjetas inteligentes y etiquetas inalámbricas . [ 8 ] Cada vez son más populares los tokens compatibles con FIDO2 , respaldados por la Alianza FIDO y el Consorcio World Wide Web (W3C), y la mayoría de los navegadores los admiten desde 2015.
Un token de software (también conocido como token blando ) es un tipo de dispositivo de seguridad de autenticación de dos factores que se puede utilizar para autorizar el uso de servicios informáticos. Los tokens de software se almacenan en un dispositivo electrónico de uso general, como un ordenador de sobremesa , un portátil , una PDA o un teléfono móvil , y se pueden duplicar. A diferencia de los tokens de hardware , donde las credenciales se almacenan en un dispositivo de hardware dedicado y, por lo tanto, no se pueden duplicar, salvo que se produzca una intrusión física en el dispositivo. Un token blando puede no ser un dispositivo con el que el usuario interactúe. Normalmente, se carga un certificado X.509v3 en el dispositivo y se almacena de forma segura para este fin. [ 9 ]
La autenticación multifactor también se puede aplicar en sistemas de seguridad física, donde normalmente se implementa mediante el uso, en primer lugar, de un elemento físico (como un llavero, una tarjeta de acceso o un código QR que se muestra en un dispositivo) que actúa como credencial de identificación, y en segundo lugar, una validación de la identidad, como la biometría facial o el escaneo de retina (verificación facial o autenticación facial), o un PIN.
Inherente
Los factores inherentes ("algo que el usuario es") son factores asociados con el usuario y suelen ser métodos biométricos , como el reconocimiento de huellas dactilares , rostro , [ 10 ] voz o iris . También se pueden utilizar métodos biométricos conductuales, como la dinámica de pulsación de teclas .
Ubicación
Cada vez más, entra en juego un cuarto factor relacionado con la ubicación física del usuario. Si bien un usuario puede iniciar sesión mediante un código PIN conectado a la red corporativa, si trabaja de forma remota, podría requerirse un método de autenticación multifactor (MFA) más seguro, como la introducción de un código de un token de software. Adaptar el tipo y la frecuencia del método MFA a la ubicación del usuario permitirá evitar los riesgos comunes del teletrabajo. [ 11 ]
Los sistemas de control de acceso a la red funcionan de manera similar, donde el nivel de acceso puede depender de la red específica a la que esté conectado un dispositivo, como Wi-Fi o conexión por cable. Esto también permite que un usuario se desplace entre oficinas y reciba dinámicamente el mismo nivel de acceso a la red en cada una.
Autenticación basada en teléfono móvil

La autenticación de dos factores mediante mensajes de texto se desarrolló ya en 1996, cuando AT&T describió un sistema para autorizar transacciones basado en un intercambio de códigos a través de buscapersonas bidireccionales. [ 12 ] [ 13 ]
Muchos proveedores de autenticación multifactor ofrecen autenticación mediante teléfono móvil. Algunos métodos incluyen la autenticación mediante notificaciones push, la autenticación mediante código QR , la autenticación con contraseña de un solo uso (basada en eventos y en tiempo) y la verificación por SMS. La verificación por SMS presenta algunos problemas de seguridad. Los teléfonos pueden clonarse, las aplicaciones pueden ejecutarse en varios teléfonos y el personal de mantenimiento de teléfonos móviles puede leer los mensajes SMS. Además, los teléfonos móviles pueden verse comprometidos en general, lo que significa que el teléfono ya no es algo exclusivo del usuario.
El principal inconveniente de la autenticación que incluye algo que el usuario posee es que este debe llevar consigo el token físico (la memoria USB, la tarjeta bancaria, la llave o similar) prácticamente todo el tiempo. La pérdida y el robo representan riesgos. Muchas organizaciones prohíben el ingreso y la salida de dispositivos electrónicos y memorias USB de sus instalaciones debido a los riesgos de malware y robo de datos, y la mayoría de las máquinas importantes no cuentan con puertos USB por la misma razón. Los tokens físicos generalmente no son escalables, ya que suelen requerir un token nuevo para cada cuenta y sistema. Adquirir y reemplazar tokens de este tipo implica costos. Además, existen conflictos inherentes y compensaciones inevitables entre la usabilidad y la seguridad. [ 14 ]
La autenticación de dos pasos mediante teléfonos móviles y smartphones ofrece una alternativa a los dispositivos físicos dedicados. Para autenticarse, los usuarios pueden utilizar sus códigos de acceso personales (es decir, algo que solo ellos conocen) junto con una contraseña dinámica de un solo uso, generalmente de 4 a 6 dígitos. Esta contraseña se puede enviar al dispositivo móvil [ 3 ] mediante SMS o generarse con una aplicación generadora de contraseñas de un solo uso. En ambos casos, la ventaja de usar un teléfono móvil es que no se necesita un token adicional, ya que los usuarios suelen llevar sus dispositivos móviles consigo en todo momento.
A pesar de la popularidad de la verificación por SMS, los defensores de la seguridad la han criticado públicamente [ 15 ] y, en julio de 2016, un borrador de directriz del NIST de Estados Unidos propuso desaconsejarla como forma de autenticación [ 16 ] . Un año después, el NIST reinstauró la verificación por SMS como un canal de autenticación válido en la directriz final [ 17 ] .
Ya en 2011, Duo Security ofrecía notificaciones push para MFA a través de una aplicación móvil. [ 18 ] En 2016 y 2017 respectivamente, tanto Google como Apple comenzaron a ofrecer autenticación de dos pasos para el usuario con notificaciones push [ 4 ] como método alternativo. [ 19 ] [ 20 ]
La seguridad de los tokens de seguridad entregados por SMS depende totalmente de la seguridad operativa del operador móvil y puede ser fácilmente vulnerada mediante escuchas telefónicas o clonación de SIM por parte de agencias de seguridad nacional. [ 21 ]
Ventajas:
- No se necesitan tokens adicionales porque utiliza dispositivos móviles que (normalmente) se llevan encima todo el tiempo.
- Dado que cambian constantemente, las contraseñas generadas dinámicamente son más seguras que la información de inicio de sesión fija (estática).
- Dependiendo de la solución, las contraseñas utilizadas se reemplazan automáticamente para garantizar que siempre haya un código válido disponible; por lo tanto, los problemas de transmisión/recepción no impiden el inicio de sesión.
Desventajas:
- Los usuarios aún pueden ser vulnerables a ataques de phishing. Un atacante puede enviar un mensaje de texto con un enlace a un sitio web falsificado que se ve idéntico al sitio web real ( ataque de intermediario) . El atacante puede entonces obtener el código de autenticación, el nombre de usuario y la contraseña. [ 22 ]
- Un teléfono móvil no siempre está disponible: puede perderse, ser robado, quedarse sin batería o simplemente no funcionar. En particular, la pérdida de dispositivos sin relación con un incidente de seguridad representa una importante debilidad para la adopción masiva (en comparación con la pérdida de un dispositivo sin usar la autenticación multifactor). Las soluciones para esta debilidad suelen generar mayor complejidad en la adopción de la autenticación multifactor.
- A pesar de su creciente popularidad, algunos usuarios ni siquiera poseen un dispositivo móvil y se ofenden al verse obligados a tener uno como condición para utilizar algún servicio en su ordenador doméstico.
- El sistema SS7 subyacente al roaming de telefonía móvil tiene vulnerabilidades y los mensajes SMS pueden ser redirigidos a atacantes. [ 23 ]
- La cobertura de telefonía móvil no siempre está disponible; amplias zonas, sobre todo fuera de las ciudades, carecen de cobertura.
- La clonación de SIM permite a los hackers acceder a las conexiones de teléfonos móviles. Los ataques de intercambio de SIM y los ataques de ingeniería social contra las compañías operadoras de telefonía móvil han dado como resultado la entrega de tarjetas SIM duplicadas a delincuentes. [ 24 ]
- Los mensajes de texto enviados a teléfonos móviles mediante SMS son inseguros y pueden ser interceptados por interceptores de IMSI . Por lo tanto, terceros pueden robar y utilizar el token. [ 25 ]
- La recuperación de la cuenta normalmente elude la autenticación de dos factores del teléfono móvil. [ 3 ]
- Los smartphones modernos se utilizan tanto para recibir correo electrónico como SMS. Por lo tanto, si el teléfono se pierde o es robado y no está protegido con contraseña o autenticación biométrica, todas las cuentas cuyo correo electrónico sea la clave pueden ser vulneradas, ya que el teléfono puede recibir el segundo factor de autenticación.
- Las compañías de telefonía móvil pueden cobrar al usuario tarifas por el uso de mensajes.
Legislación y regulación
El requisito 8.3 del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS) exige el uso de MFA para todo acceso remoto a la red que se origine fuera de la red a un Entorno de Datos de Tarjetas (CDE). [ 26 ] A partir de la versión 3.2 de PCI-DSS, el uso de MFA es obligatorio para todo acceso administrativo al CDE, incluso si el usuario se encuentra dentro de una red de confianza.
unión Europea
La segunda Directiva de Servicios de Pago exige una " autenticación reforzada del cliente " en la mayoría de los pagos electrónicos en el Espacio Económico Europeo desde el 14 de septiembre de 2019. [ 27 ]
India
En India, el Banco de la Reserva de India impuso la autenticación de dos factores para todas las transacciones en línea realizadas con tarjeta de débito o crédito, ya sea mediante contraseña o contraseña de un solo uso enviada por SMS . Este requisito se eliminó en 2016 para transacciones de hasta 2000 rupias tras la aceptación por parte del banco emisor. [ 28 ] Proveedores como Uber han sido obligados por el banco a modificar sus sistemas de procesamiento de pagos para cumplir con esta implementación de la autenticación de dos factores. [ 29 ] [ 30 ] [ 31 ]
Estados Unidos
Los detalles para la autenticación de empleados y contratistas federales en los EE. UU. se definen en la Directiva Presidencial de Seguridad Nacional 12 (HSPD-12). [ 32 ]
Las normas reglamentarias de TI para el acceso a los sistemas del gobierno federal requieren el uso de autenticación multifactor para acceder a recursos de TI sensibles, por ejemplo, al iniciar sesión en dispositivos de red para realizar tareas administrativas [ 33 ] y al acceder a cualquier computadora utilizando un inicio de sesión privilegiado. [ 34 ]
La publicación especial 800-63-3 del NIST analiza varias formas de autenticación de dos factores y proporciona orientación sobre su uso en procesos comerciales que requieren diferentes niveles de seguridad. [ 35 ]
En 2005, el Consejo Federal de Examen de Instituciones Financieras de los Estados Unidos emitió una guía para las instituciones financieras recomendando que estas realizaran evaluaciones basadas en riesgos, evaluaran los programas de concientización del cliente y desarrollaran medidas de seguridad para autenticar de manera confiable a los clientes que acceden remotamente a servicios financieros en línea , recomendando oficialmente el uso de métodos de autenticación que dependen de más de un factor (específicamente, lo que un usuario sabe, tiene y es) para determinar la identidad del usuario. [ 36 ] En respuesta a la publicación, numerosos proveedores de autenticación comenzaron a promover indebidamente preguntas de desafío, imágenes secretas y otros métodos basados en el conocimiento como autenticación "multifactor". Debido a la confusión resultante y la adopción generalizada de tales métodos, el 15 de agosto de 2006, el FFIEC publicó directrices suplementarias , que establecen que, por definición, un sistema de autenticación multifactor "verdadero" debe usar instancias distintas de los tres factores de autenticación que había definido, y no solo usar múltiples instancias de un solo factor. [ 37 ]
Dada la fiabilidad del método, en algunos países la autenticación multifactor (MFA) es obligatoria en ciertos sectores, como el sanitario, para prevenir el robo de información confidencial. Por ejemplo, en Estados Unidos, tanto la Ley de Privacidad del Consumidor de California (CCPA) como la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) establecen normas para la protección de datos personales y médicos, incluyendo disposiciones que respaldan la implementación de la autenticación multifactor para garantizar el acceso seguro y el cumplimiento normativo.
vulnerabilidades de seguridad
Según sus defensores, la autenticación multifactor podría reducir drásticamente la incidencia del robo de identidad en línea y otros fraudes en línea , ya que la contraseña de la víctima ya no sería suficiente para otorgar a un ladrón acceso permanente a su información. Sin embargo, muchos enfoques de autenticación multifactor siguen siendo vulnerables al phishing , [ 38 ] [ 39 ] los ataques de hombre en el navegador y de hombre en el medio . [ 40 ] Para contrarrestar los ataques de phishing, los usuarios no deben compartir sus códigos de verificación con nadie, [ 41 ] y muchos proveedores de aplicaciones web incluirán un aviso en un correo electrónico o SMS que contenga un código. [ 42 ]
En mayo de 2017, O2 Telefónica , un proveedor de servicios móviles alemán, confirmó que ciberdelincuentes habían explotado vulnerabilidades SS7 para eludir la autenticación de dos factores basada en SMS y realizar retiros no autorizados de las cuentas bancarias de los usuarios. Los delincuentes primero infectaron las computadoras de los titulares de las cuentas en un intento de robar sus credenciales bancarias y números de teléfono. Luego, los atacantes compraron acceso a un proveedor de telecomunicaciones falso y configuraron una redirección del número de teléfono de la víctima a un terminal controlado por ellos. Finalmente, los atacantes iniciaron sesión en las cuentas bancarias en línea de las víctimas y solicitaron que el dinero de las cuentas se retirara a cuentas de su propiedad. Los códigos de acceso SMS se enviaban a números de teléfono controlados por los atacantes y los delincuentes transferían el dinero. [ 43 ]
Ataque de fatiga
Un enfoque cada vez más común para burlar la MFA es bombardear al usuario con muchas solicitudes para que acepte un inicio de sesión, hasta que finalmente sucumba al volumen de solicitudes y, por error, acepte una. [ 44 ] Esta forma de ingeniería social se llama ataque de fatiga de autenticación multifactor (también ataque de fatiga de MFA o bombardeo de MFA) y puede incluir otros elementos, como llamadas que se hacen pasar por soporte técnico. [ 45 ] [ 46 ] [ 47 ] Cuando las aplicaciones de MFA están configuradas para enviar notificaciones push a los usuarios finales, un atacante puede enviar una avalancha de intentos de inicio de sesión con la esperanza de que un usuario haga clic en aceptar al menos una vez. [ 45 ]
En 2022, Microsoft implementó una medida de mitigación contra los ataques de fatiga de MFA con su aplicación de autenticación, al requerir opcionalmente que el usuario escriba un número además de hacer clic en "aprobar". [ 48 ]
En septiembre de 2022, la seguridad de Uber fue vulnerada por un miembro de Lapsus$ mediante un ataque de fatiga de múltiples factores. [ 49 ] [ 50 ] A principios de 2024, un pequeño porcentaje de consumidores de Apple experimentó un ataque de fatiga de MFA causado por un pirata informático que eludió el límite de tasa y el Captcha en la página "Olvidé mi contraseña" de Apple.
Implementación
Muchos productos de autenticación multifactor requieren que los usuarios implementen software cliente para que los sistemas de autenticación multifactor funcionen. Algunos proveedores han creado paquetes de instalación separados para el inicio de sesión en la red , las credenciales de acceso web y las credenciales de conexión VPN . Para estos productos, puede haber cuatro o cinco paquetes de software diferentes que deben instalarse en el PC del cliente para utilizar el token o la tarjeta inteligente . Esto se traduce en cuatro o cinco paquetes sobre los que se debe realizar el control de versiones y otros cuatro o cinco paquetes para comprobar si hay conflictos con las aplicaciones empresariales. Si el acceso se puede operar mediante páginas web , es posible limitar la sobrecarga descrita anteriormente a una sola aplicación. Con otras tecnologías de autenticación multifactor, como los tokens de hardware, los usuarios finales no necesitan instalar ningún software. Algunos estudios han demostrado que los procedimientos de recuperación de MFA mal implementados pueden introducir nuevas vulnerabilidades que los atacantes pueden explotar. [ 51 ]
La autenticación multifactor presenta inconvenientes que impiden su generalización. Algunos usuarios tienen dificultades para recordar la ubicación de un token de hardware o un conector USB. Muchos carecen de las habilidades técnicas necesarias para instalar un certificado de software del lado del cliente por sí mismos. Generalmente, las soluciones multifactor requieren una inversión adicional para su implementación y costos de mantenimiento. La mayoría de los sistemas basados en tokens de hardware son propietarios, y algunos proveedores cobran una tarifa anual por usuario. El despliegue de tokens de hardware es logísticamente complejo. Estos tokens pueden dañarse o perderse, y su emisión en grandes sectores como la banca o incluso dentro de grandes empresas requiere una gestión específica. Además de los costos de despliegue, la autenticación multifactor suele conllevar importantes costos adicionales de soporte. Una encuesta realizada en 2008 [ 52 ] por Credit Union Journal a más de 120 cooperativas de crédito estadounidenses informó sobre los costos de soporte asociados con la autenticación de dos factores. En su informe, se indicó que los certificados de software y las barras de herramientas de software presentaban los costos de soporte más elevados.
Las investigaciones sobre la implementación de sistemas de autenticación multifactor [ 53 ] han demostrado que uno de los elementos que suelen influir en la adopción de estos sistemas es el sector de actividad de la organización que los implementa. Entre los ejemplos citados se incluyen el gobierno de EE. UU., que emplea un elaborado sistema de tokens físicos (respaldados por una sólida infraestructura de clave pública ), así como los bancos privados, que tienden a preferir sistemas de autenticación multifactor para sus clientes que incluyan métodos de verificación de identidad más accesibles y económicos, como una aplicación instalada en el teléfono inteligente del cliente. A pesar de las variaciones existentes entre los sistemas disponibles, una vez implementado un sistema de autenticación multifactor, este tiende a mantenerse, ya que los usuarios se acostumbran a su presencia y uso, integrándolo con el tiempo como parte normalizada de su interacción diaria con el sistema de información correspondiente.
Aunque se percibe que la autenticación multifactor está dentro del ámbito de la seguridad perfecta, Roger Grimes escribe [ 54 ] que si no se implementa y configura correctamente, la autenticación multifactor puede, de hecho, ser fácilmente burlada.
Historia

En 2013, Kim Dotcom afirmó haber inventado la autenticación de dos factores en una patente de 2000, [ 55 ] y amenazó brevemente con demandar a todos los principales servicios web. Sin embargo, la Oficina Europea de Patentes revocó su patente [ 56 ] a la luz de una patente estadounidense anterior de 1998 en poder de AT&T. [ 57 ]
Véase también
Referencias
- ↑ Russell, Steve (22 de febrero de 2023). "Evitando la autenticación multifactor" . ITNOW . 65 (1): 42–45 . doi : 10.1093/combul/bwad023 . ISSN 1746-5702 .
- ↑ Meyer, LA; Romero, S.; Bertoli, G.; Burt, T.; Weinert, A.; Ferres, JL (2023). "¿Qué tan efectiva es la autenticación multifactor para disuadir los ciberataques?". arXiv : 2305.00945 [ cs.CR ].
- 1 2 3 "Autenticación de dos factores: lo que necesita saber (FAQ) – CNET" . CNET . Archivado del original el 12 de febrero de 2020. Consultado el 31 de octubre de 2015 .
- 1 2 3 Jacomme, Charlie; Kremer, Steve (1 de febrero de 2021). "An Extensive Formal Analysis of Multi-factor Authentication Protocols" . ACM Transactions on Privacy and Security . 24 (2). Ciudad de Nueva York: Association for Computing Machinery: 1–34 . doi : 10.1145/3440712 . ISSN 2471-2566 . S2CID 231791299. Archivado del original el 3 de agosto de 2023. Recuperado el 27 de febrero de 2021 .
- ↑ kaitlin.boeckl@nist.gov (28-06-2016). "Volver a lo básico: Autenticación multifactor (MFA)" . NIST . Archivado del original el 06-04-2021 . Recuperado el 06-04-2021 .
- ↑ Barrett, Brian (22 de julio de 2018). "Cómo proteger tus cuentas con una mejor autenticación de dos factores" . Wired . Archivado del original el 7 de septiembre de 2020. Consultado el 12 de septiembre de 2020 .
- ↑ "Configuración de contraseñas de un solo uso" . www.sonicwall.com . Sonic Wall. Archivado del original el 19 de enero de 2022. Consultado el 19 de enero de 2022 .
- 1 2 van Tilborg, Henk CA; Jajodia, Sushil, eds. (2011). Enciclopedia de criptografía y seguridad, volumen 1. Berlín, Alemania: Springer Science & Business Media . pág. 1305. ISBN 9781441959058.
- ↑ Boeyen, Sharon; Santesson, Stefan; Polk, Tim; Housley, Russ; Farrell, Stephen; Cooper, David (2008-05). Perfil de certificado y lista de revocación de certificados (CRL) de la infraestructura de clave pública X.509 de Internet (Informe). Grupo de trabajo de ingeniería de Internet.
{{cite report}}: Compruebe los valores de fecha en:|date=( ayuda ) - ↑ Cao, Liling; Ge, Wancheng (10 de marzo de 2015). "Análisis y mejora de un esquema de autenticación biométrica multifactor: Análisis y mejora de un esquema MFBA" . Security and Communication Networks . 8 (4): 617– 625. doi : 10.1002/sec.1010 . Archivado del original el 25 de noviembre de 2022. Recuperado el 20 de marzo de 2022 .
- ↑ "11 consejos para proteger Active Directory mientras trabaja desde casa" . www.darkreading.com . Archivado del original el 29/08/2024 . Consultado el 29/08/2024 .
- ↑ "¿Tiene Kim Dotcom la patente original del inicio de sesión de 'dos factores'?" . The Guardian . 23 de mayo de 2013. Archivado del original el 2 de noviembre de 2022. Consultado el 2 de noviembre de 2022 .
- ↑ EP 0745961 , "Sistema de autorización y alerta de transacciones", emitido el 4 de diciembre de 1996.
- ↑ Wang, Ding; He, Debiao; Wang, Ping; Chu, Chao-Hsien (2014). "Autenticación anónima de dos factores en sistemas distribuidos: ciertos objetivos están más allá de lo posible" (PDF) . IEEE Transactions on Dependable and Secure Computing . Piscataway, Nueva Jersey: Institute of Electrical and Electronics Engineers . Archivado (PDF) del original el 17 de mayo de 2017. Consultado el 23 de marzo de 2018 .
- ↑ Andy Greenberg (26 de junio de 2016). "Así que, oye, deberías dejar de usar mensajes de texto para la autenticación de dos factores" . Wired . Archivado del original el 13 de mayo de 2018. Consultado el 12 de mayo de 2018 .
- ↑ "El NIST ya no recomienda la autenticación de dos factores mediante SMS" . Schneier on Security. 3 de agosto de 2016. Archivado del original el 1 de diciembre de 2017. Consultado el 30 de noviembre de 2017 .
- ↑ "¡Retroceso! El NIST de Estados Unidos ya no recomienda "Descontinuar los SMS para la autenticación de dos factores"6 de julio de 2017. Archivado del original el 2 de julio de 2019. Consultado el 21 de mayo de 2019 .
- ↑ "Duo Security - Características" . Archivo de Internet . Archivado del original el 28 de junio de 2011. Consultado el 28 de junio de 2011 .
- ↑ Tung, Liam. "Mensaje de Google: Ahora puedes simplemente tocar 'sí' o 'no' en iOS y Android para aprobar el inicio de sesión de Gmail" . ZD Net . Archivado del original el 31 de agosto de 2017. Consultado el 11 de septiembre de 2017 .
- ↑ Chance Miller (25 de febrero de 2017). "Apple promociona iOS 10.3" . 9to5 Mac . Archivado del original el 11 de septiembre de 2017. Consultado el 11 de septiembre de 2017 .
- ↑ "Cómo funciona Rusia interceptando aplicaciones de mensajería – bellingcat" . bellingcat . 30 de abril de 2016. Archivado del original el 30 de abril de 2016. Consultado el 30 de abril de 2016 .
- ↑ Kan, Michael (7 de marzo de 2019). "Google: Los ataques de phishing que pueden burlar la autenticación de dos factores están en aumento" . PC Mag . Archivado del original el 8 de marzo de 2019. Consultado el 9 de septiembre de 2019 .
- ↑ "Vulnerabilidades de seguridad SS7: la guía completa de ataques y prevención" . TerraZone . 6 de diciembre de 2025. Consultado el 8 de junio de 2026 .
- ↑ Nichols, Shaun (10 de julio de 2017). "Fallo en la autenticación de dos factores: Un tipo es víctima de un ataque informático después de que 'AT&T cayera en las trampas de los hackers'"." . The Register . Archivado del original el 11-07-2017 . Recuperado el 11-07-2017 .
- ↑ Toorani, Mohsen; Beheshti, A. (2008). "SSMS - Un protocolo seguro de mensajería SMS para sistemas de pago móvil". Simposio IEEE de 2008 sobre Computadoras y Comunicaciones . págs. 700–705 . arXiv : 1002.3171 . doi : 10.1109/ISCC.2008.4625610 . ISBN 978-1-4244-2702-4. S2CID 5066992 .
- ↑ "Sitio oficial del Consejo de Estándares de Seguridad PCI: verifique el cumplimiento de PCI, descargue los estándares de seguridad de datos y de tarjetas de crédito" . www.pcisecuritystandards.org . Archivado del original el 27/12/2021 . Consultado el 25/07/2016 .
- ↑ Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, por el que se complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo relativa a las normas técnicas reglamentarias para la autenticación reforzada del cliente y las normas abiertas comunes y seguras de comunicación (Texto pertinente a efectos del EEE) , 13 de marzo de 2018 , consultado el 6 de abril de 2021 .
- ↑ Karnik, Madhura (7 de diciembre de 2016). "Finalmente, los indios pueden usar tarjetas de crédito en línea sin engorrosos códigos OTP, pero solo para compras inferiores a 2000 rupias" . Quartz . Archivado del original el 10 de diciembre de 2023. Recuperado el 10 de diciembre de 2023 .
- ↑ Agarwal, Surabhi (7 de diciembre de 2016). "Las empresas de pago aplauden la decisión del RBI de eximir de la autenticación de dos factores a las transacciones de bajo valor" . The Economic Times . Archivado del original el 14 de septiembre de 2020. Consultado el 28 de junio de 2020 .
- ↑ Nair, Vishwanath (6 de diciembre de 2016). "RBI flexibiliza la autenticación de dos factores para transacciones con tarjeta en línea de hasta 2000 rupias" . Livemint . Archivado del original el 28 de junio de 2020. Recuperado el 28 de junio de 2020 .
- ↑ "Uber ahora cumple con el requisito de autenticación de dos factores de la India, pero lo califica de innecesario y engorroso" . VentureBeat . 30 de noviembre de 2014. Archivado del original el 5 de septiembre de 2021. Consultado el 5 de septiembre de 2021 .
- ↑ «Directiva Presidencial de Seguridad Nacional n.º 12» . Departamento de Seguridad Nacional . 1 de agosto de 2008. Archivado del original el 16 de septiembre de 2012.
- ↑ "SANS Institute, Control crítico 10: Configuraciones seguras para dispositivos de red como cortafuegos, enrutadores y conmutadores" . Archivado del original el 28 de enero de 2013. Consultado el 11 de febrero de 2013 .
- ↑ "SANS Institute, Control Crítico 12: Uso Controlado de Privilegios Administrativos" . Archivado del original el 28 de enero de 2013. Consultado el 11 de febrero de 2013 .
- ↑ "Directrices sobre identidad digital" . Publicación especial 800-63-3 del NIST . NIST. 22 de junio de 2017. Archivado del original el 21 de noviembre de 2017. Consultado el 2 de febrero de 2018 .
- ↑ "Comunicado de prensa de FFIEC" . 12 de octubre de 2005. Archivado del original el 2 de junio de 2011. Consultado el 13 de mayo de 2011 .
- ↑ "Preguntas frecuentes sobre la guía de la FFIEC sobre autenticación en un entorno de banca por Internet" (PDF) . FFIEC. 15 de agosto de 2006. Archivado (PDF) del original el 15 de noviembre de 2012.
- ↑ Brian Krebs (10 de julio de 2006). "Solución de seguridad: el phishing de Citibank suplanta la autenticación de dos factores" . Washington Post . Archivado del original el 3 de julio de 2011. Consultado el 20 de septiembre de 2016 .
- ↑ Shankland, Stephen. "¿Autenticación de dos factores? No es tan segura como cabría esperar al iniciar sesión en el correo electrónico o en el banco" . CNET . Archivado del original el 27 de septiembre de 2020. Consultado el 27 de septiembre de 2020 .
- ↑ Bruce Schneier (marzo de 2005). "El fracaso de la autenticación de dos factores" . Schneier on Security . Archivado del original el 20 de diciembre de 2016. Consultado el 20 de septiembre de 2016 .
- ↑ Alex Perekalin (mayo de 2018). "Por qué nunca deberías enviar códigos de verificación a nadie" . Kaspersky . Archivado del original el 20 de octubre de 2020. Consultado el 17 de octubre de 2020 .
- ↑ Siadati, Hossein; Nguyen, Toan; Gupta, Payas; Jakobsson, Markus; Memon, Nasir (2017). "Cuidado con los SMS: mitigación de la ingeniería social en la autenticación de segundo factor" . Computers & Security . 65 : 14–28 . doi : 10.1016/j.cose.2016.09.009 . S2CID 10821943 .
- ↑ Khandelwal, Swati. "Ataque SS7 en el mundo real: los hackers roban dinero de cuentas bancarias" . The Hacker News . Archivado del original el 6 de mayo de 2017. Consultado el 5 de mayo de 2017 .
- ↑ "Fatiga de MFA: la nueva táctica favorita de los hackers en brechas de alto perfil" . BleepingComputer . Archivado del original el 27 de junio de 2023. Consultado el 12 de agosto de 2023 .
- 1 2 "Fatiga de MFA: la nueva táctica favorita de los hackers en brechas de alto perfil" . BleepingComputer . Archivado del original el 27 de junio de 2023. Recuperado el 26 de enero de 2023 .
- ↑ Burt, Jeff. "La fatiga por la autenticación multifactor puede hacer explotar la seguridad" . www.theregister.com . Archivado del original el 26 de enero de 2023. Consultado el 26 de enero de 2023 .
- ↑ Constantin, Lucian (22 de septiembre de 2022). "Los ataques de fatiga por autenticación multifactor están en aumento: cómo defenderse de ellos" . CSO Online . Archivado del original el 26 de enero de 2023. Consultado el 26 de enero de 2023 .
- ↑ Tung, Liam. "Microsoft Authenticator incorpora una función para contrarrestar los ataques de spam en la autenticación multifactor" . ZDNET . Archivado del original el 26 de enero de 2023. Consultado el 26 de enero de 2023 .
- ↑ Whittaker, Zack (19 de septiembre de 2022). "¿Cómo se detiene otro ataque informático a Uber?" . TechCrunch . Archivado del original el 24 de agosto de 2023. Consultado el 24 de agosto de 2023 .
- ↑ Hardcastle, Jessica Lyons (19 de septiembre de 2022). "Uber explica cómo fue hackeado este mes y señala con el dedo a la banda de Lapsus$" . The Register . Archivado del original el 24 de agosto de 2023. Consultado el 24 de agosto de 2023 .
- ^ Amft, S.; Höltervennhoff, S.; Huamán, N.; Krause, A.; Simko, L.; Acar, Y.; Fahl, S. (2023). ""Hemos desactivado la MFA para ti": Una evaluación de la seguridad y la usabilidad de las implementaciones de recuperación de autenticación multifactor". arXiv : 2306.09708 [ cs.CR ].
- ↑ "Un estudio arroja nueva luz sobre los costos y los efectos de los múltiples factores" . 4 de abril de 2008. Archivado del original el 8 de julio de 2011.
- ↑ Libicki, Martin C.; Balkovich, Edward; Jackson, Brian A.; Rudavsky, Rena; Webb, Katharine (2011). "Influencias en la adopción de la autenticación multifactor" . Archivado del original el 14 de octubre de 2018. Recuperado el 7 de octubre de 2018 .
- ↑ "Hacking Multifactor Authentication | Wiley" . Wiley.com . Archivado del original el 4 de octubre de 2021. Consultado el 17 de diciembre de 2020 .
- ↑ US 6078908 , Schmitz, Kim, "Método para la autorización en sistemas de transmisión de datos"
- ↑ Brodkin, Jon (23 de mayo de 2013). «Kim Dotcom afirma haber inventado la autenticación de dos factores, pero no fue el primero» . Ars Technica . Archivado del original el 9 de julio de 2019. Consultado el 25 de julio de 2019 .
- ↑ US 5708422 , Blonder, et al., "Sistema de autorización y alerta de transacciones"
Lecturas adicionales
- Brandom, Russell (10 de julio de 2017). "La autenticación de dos factores es un desastre" . The Verge . Archivado del original el 18 de febrero de 2018. Recuperado el 10 de julio de 2017 .
Enlaces externos
- TwoFactorAuth.org - TwoFactorAuth.org - Un recurso en línea exhaustivo sobre la autenticación de dos factores (2FA) y todo lo que implica.
- Los atacantes lograron infiltrarse en los servidores de RSA y robaron información que podría utilizarse para comprometer la seguridad de los tokens de autenticación de dos factores utilizados por 40 millones de empleados (register.com, 18 de marzo de 2011).
- Los bancos implementarán la autenticación de dos factores a finales de 2006 (slashdot.org, 20 de octubre de 2005).
- Microsoft abandonará las contraseñas : Microsoft se prepara para eliminar las contraseñas en favor de la autenticación de dos factores en las próximas versiones de Windows (vnunet.com, 14 de marzo de 2005).
- Métodos de autenticación
- Control de acceso informático